Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 vs KRITISNIS2 KRITIS VergleichKRITIS-Verordnung ÄnderungenNIS2 KRITIS UnterschiedeBSI-Gesetz NIS2KRITIS neu 2025

NIS2 vs. KRITIS — Was hat sich geändert?

NIS2 vs. KRITIS-Verordnung: Unterschiede bei Sektoren, Schwellenwerten, Pflichten und Fristen für bisherige KRITIS-Betreiber.

Veröffentlicht: 24. März 2026Letzte Aktualisierung: 24. März 202611 Min. Lesezeit

NIS2 vs. KRITIS — Was hat sich geändert?

Mit der NIS2-Umsetzung durch das NIS2UmsuCG ersetzt Deutschland das bisherige KRITIS-Regime durch ein erweitertes Cybersicherheitsrecht mit mehr betroffenen Sektoren und strengeren Pflichten. Vereinfacht heißt das: Aus rund 4.500 KRITIS-Betreibern werden perspektivisch rund 30.000 NIS2-betroffene Unternehmen, aus 10 KRITIS-Sektoren werden 18 NIS2-Sektoren, und aus einer stark national geprägten 72-Stunden-Logik wird ein europäisch harmonisiertes Meldesystem mit Frühwarnung innerhalb von 24 Stunden.

Letzte Aktualisierung: 24. März 2026

Die kurze Antwort auf das Keyword NIS2 vs KRITIS lautet deshalb: NIS2 ersetzt die klassische KRITIS-Logik nicht vollständig, sondern überlagert und erweitert sie. Für bisherige KRITIS-Betreiber bedeutet das regelmäßig mehr Pflichten statt weniger, weil neben dem modernisierten BSI-Gesetz, den bekannten Betreiberpflichten und teils weiterhin relevanten KRITIS-Schwellenwerten jetzt zusätzlich unternehmensweite Governance-, Risiko-, Lieferketten- und Meldeanforderungen gelten.

Wenn Sie den Meldekontext vertiefen möchten, hilft das Glossar zur Meldepflicht. Für regulatorische Abgrenzungen außerhalb des KRITIS-Kontexts sind außerdem DORA vs. NIS2, CRA vs. NIS2 und das Glossar zu Risikomanagement sinnvolle Ergänzungen.

NIS2 KRITIS Vergleich in einem Satz

NIS2 erweitert den bisherigen KRITIS-Rahmen von einer anlagenbezogenen Regulierung einzelner kritischer Infrastrukturen zu einem breiten, unternehmensbezogenen Cybersicherheitsregime für wesentliche und wichtige Einrichtungen. Genau deshalb ist der Begriff NIS2 KRITIS Vergleich für viele Unternehmen so relevant: Wer früher sicher außerhalb der KRITIS-Verordnung lag, kann heute trotzdem NIS2-pflichtig sein.

Der Denkfehler liegt meist in der Ausgangsfrage. Viele Unternehmen fragen noch immer: "Sind wir KRITIS?" Die passendere Frage unter NIS2 lautet inzwischen: "Gehören wir zu einem erfassten Sektor, überschreiten wir die Größenkriterien und betreiben wir Dienste, deren Ausfall erhebliche Auswirkungen hätte?" Diese neue Logik verschiebt die Compliance-Prüfung von der einzelnen Anlage auf die gesamte Organisation.

Für bestehende KRITIS-Betreiber ist die Lage ebenfalls klarer geworden. Sie verlieren ihren Status nicht automatisch, sondern bleiben in der Regel in einer Doppelrolle: einerseits Betreiber kritischer Anlagen mit spezifischen nationalen Pflichten, andererseits wesentliche Einrichtung im Sinne der NIS2-Umsetzung. Genau daraus entsteht der zusätzliche Umstellungsaufwand.

Vergleichstabelle: KRITIS vs. NIS2

Die wichtigste Antwort lässt sich in einer Tabelle zusammenfassen: KRITIS und NIS2 unterscheiden sich vor allem bei Scope, Schwellenwerten, Sektoren, Pflichten und Sanktionen.

VergleichspunktBisheriges KRITIS-RegimeNIS2-Regime in Deutschland
ScopeVor allem kritische Anlagen und Betreiber mit sektorbezogenen SchwellenwertenGanze Unternehmen und Einrichtungen aus 18 Sektoren
GrundlogikAnlagenbezogen, stark schwellenwertorientiertUnternehmensbezogen, sektor- und größenbezogen
SchwellenwerteHäufig Versorgung von mindestens 500.000 Personen oder vergleichbare sektorale KriterienIn vielen Fällen mindestens 50 Mitarbeitende und 10 Mio. EUR Umsatz/Bilanzsumme, bei wesentlichen Einrichtungen typischerweise mindestens 250 Mitarbeitende und 50 Mio. EUR Umsatz bzw. 43 Mio. EUR Bilanzsumme
SektorenKlassisch 10 KRITIS-Sektoren18 NIS2-Sektoren nach Anhängen I und II der Richtlinie
PflichtenAngemessene organisatorische und technische Vorkehrungen, Nachweise, branchenspezifische Sicherheitsstandards, Meldung erheblicher StörungenRisikomanagement, Governance, Leitungsorgan-Schulung, Supply Chain Security, Registrierung, 24h-Frühwarnung, 72h-Meldung, 1-Monats-Abschlussbericht
PerspektiveKritische Infrastruktur als einzelne Anlage oder EinrichtungWesentliche und wichtige Einrichtung als Unternehmen
BußgelderNationaler BSIG-/KRITIS-RahmenFür wesentliche Einrichtungen bis 10 Mio. EUR oder 2 % Umsatz, für wichtige Einrichtungen bis 7 Mio. EUR oder 1,4 % Umsatz
AufsichtVor allem BSI und sektorspezifische AufsichtBSI-zentriertes Aufsichtsmodell plus nationale NIS2-Strukturen
Zusatzebene seit 2026KRITIS-Dachgesetz für physische Resilienz kritischer EinrichtungenNIS2 für Cyberresilienz; daneben bleibt das KRITIS-Dachgesetz relevant

Die Tabelle zeigt auch die strategische Veränderung: KRITIS war lange ein Spezialregime für einen relativ kleinen Kreis besonders kritischer Betreiber. NIS2 ist dagegen Massenregulierung für einen deutlich größeren Teil der deutschen Wirtschaft in sicherheitsrelevanten Sektoren.

Erweiterter Geltungsbereich — Warum NIS2 mehr Unternehmen erfasst

NIS2 erfasst deutlich mehr Unternehmen, weil der europäische Gesetzgeber zwei Hebel gleichzeitig verändert hat: mehr Sektoren und niedrigere Zugangshürden als im klassischen KRITIS-System. Die Richtlinie (EU) 2022/2555 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen und knüpft dabei typischerweise an Unternehmensgröße, Sektorzugehörigkeit und die konkrete Rolle in der Wertschöpfung an.

Im alten KRITIS-System war die Ausgangslage enger. Betroffen war vor allem, wer eine besonders kritische Anlage in Energie, Wasser, Gesundheit, Transport, Ernährung, Finanz- und Versicherungswesen, IT und Telekommunikation oder ähnlichen Kernsektoren betrieb und dabei definierte Schwellenwerte überschritt. Das war für die besonders kritischen Versorgungsfunktionen sinnvoll, ließ aber viele relevante digitale Dienstleister, industrielle Anbieter und mittelgroße Organisationen außerhalb des Regimes.

NIS2 schließt genau diese Lücke. Die Richtlinie erfasst 18 Sektoren aus den Anhängen I und II, darunter Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Produktion bestimmter kritischer Güter und digitale Dienste. Dadurch weitet sich der Kreis der Betroffenen deutlich über den bisherigen KRITIS-Kern hinaus aus.

Für die Praxis ist dieser Unterschied gravierend. Ein Managed Service Provider, ein mittelgroßer Cloud-Dienstleister, ein Labor, ein Hersteller kritischer Komponenten oder ein großer Lebensmittelproduzent war bisher nicht zwingend KRITIS-Betreiber. Unter NIS2 kann dasselbe Unternehmen aber als wichtige oder besonders wichtige Einrichtung erfasst werden. Wer weiter nur in KRITIS-Kategorien denkt, unterschätzt deshalb das eigene Risiko systematisch.

Gelten die KRITIS-Schwellenwerte weiterhin?

Die KRITIS-Schwellenwerte verschwinden nicht, aber sie verlieren ihre frühere Monopolstellung für die Einordnung. Genau das ist der Kern vieler Fragen zu KRITIS-Verordnung Änderungen.

Im klassischen KRITIS-System war die Schwellenwertprüfung oft der zentrale Filter. Die Maßzahl von 500.000 versorgten Personen oder eine vergleichbare sektorale Kenngröße entschied in vielen Fällen darüber, ob eine Anlage als kritische Infrastruktur behandelt wurde. Diese Logik bleibt für bestimmte nationale Einordnungen wichtig, insbesondere für kritische Anlagen und für die physische Resilienz nach dem KRITIS-Dachgesetz.

Für NIS2 genügt diese Prüfung aber nicht mehr. Die neue Logik fragt zusätzlich nach der Größe des Unternehmens, der Zugehörigkeit zu einem in den Anhängen erfassten Sektor und teilweise nach besonderen Rollenzuschreibungen. Das bedeutet praktisch: Ein Unternehmen kann unter NIS2 fallen, obwohl es keinen klassischen KRITIS-Schwellenwert erreicht. Umgekehrt kann ein KRITIS-Betreiber weiterhin anlagenbezogen reguliert sein und zusätzlich unter die NIS2-Unternehmenslogik fallen.

Die richtige Management-Botschaft lautet daher: Schwellenwerte bleiben relevant, aber sie sind nur noch ein Teil der Gesamtprüfung. Wer 2026 noch mit einer alten KRITIS-Checkliste arbeitet, beantwortet die neue NIS2-Frage nicht vollständig.

BSI-Gesetz NIS2 — Was sich rechtlich ändert

NIS2 ersetzt das BSI-Gesetz nicht, sondern verändert es tiefgreifend. Für Unternehmen ist dieser Punkt wichtig, weil viele Entscheider fälschlich annehmen, NIS2 sei ein vollständig neues Nebengesetz. Tatsächlich wird die Richtlinie in Deutschland vor allem über das BSIG und flankierende nationale Regelungen operationalisiert.

Rechtlich heißt das: Das bisherige BSI-zentrierte KRITIS-Regime wird nicht abgeschafft, sondern umgebaut. Das BSI bleibt zentrale Cybersicherheitsbehörde, aber seine Rolle weitet sich auf einen wesentlich größeren Kreis regulierter Einrichtungen aus. Parallel dazu kommen stärkere europäische Vorgaben zu Risikomanagement, Management-Verantwortung, Registrierung und Meldepflichten hinzu.

Für bisherige KRITIS-Betreiber ist vor allem der Governance-Sprung relevant. NIS2 verlangt ausdrücklich, dass Leitungsorgane Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich selbst schulen lassen. Diese Management-Perspektive war im alten KRITIS-Alltag zwar faktisch sinnvoll, aber normativ weniger deutlich und weniger harmonisiert ausformuliert.

Hinzu kommt der Lieferkettenfokus. NIS2 erwähnt Sicherheitsaspekte in der Supply Chain ausdrücklich. Das verändert die operative Arbeit deutlich, weil regulatorische Aufmerksamkeit jetzt nicht mehr nur auf eigene Anlagen und Prozesse fällt, sondern auch auf Dienstleister, Zulieferer, Cloud-Abhängigkeiten und Drittparteien. Wer im alten KRITIS-Modell stark an Perimeterschutz dachte, muss unter NIS2 breiter steuern.

Neue Pflichten unter NIS2 — Was KRITIS-Betreiber zusätzlich erwartet

NIS2 verschärft die Anforderungen nicht nur formal, sondern in der täglichen Betriebsorganisation. Für bisherige KRITIS-Betreiber ergeben sich vor allem fünf relevante Änderungen.

1. Mehr Management-Verantwortung

Die Geschäftsleitung rückt stärker in den Fokus, weil NIS2 die Billigung und Überwachung von Cybersicherheitsmaßnahmen dem Leitungsorgan ausdrücklich zuweist. Das erhöht den Dokumentationsdruck in Geschäftsführung, Vorstand, Compliance und Revision. Cybersecurity ist damit noch weniger delegierbares IT-Thema als zuvor.

2. Mehr organisatorische Breite

Die Pflichten erfassen die Einrichtung unternehmensweit. Risikomanagement, Business Continuity, Krisenkommunikation, Incident Handling, Policies und Schulung müssen kohärent zusammenspielen. Für viele KRITIS-Betreiber ist das nicht völlig neu, aber NIS2 verlangt eine deutlich systematischere Verknüpfung.

3. Mehr Fokus auf Lieferketten und Drittparteien

NIS2 verpflichtet zu einer Betrachtung von Sicherheitsrisiken in der Lieferkette. Das betrifft insbesondere IT-Dienstleister, Managed Services, Outsourcing, Beschaffung kritischer Komponenten und Abhängigkeiten von Cloud- oder Plattformanbietern. Diese Perspektive ist enger mit dem tatsächlichen Angriffsbild moderner Vorfälle verbunden als die frühere Konzentration auf die eigene kritische Anlage.

4. Mehr formalisierte Registrierung und Aufsicht

Die größere Zahl regulierter Einrichtungen führt zu stärker standardisierten Registrierungs- und Nachweisprozessen. Unternehmen müssen ihre Betroffenheit früher erkennen, Zuständigkeiten sauber hinterlegen und belastbare Ansprechpartner für BSI, CSIRT oder andere Behörden benennen.

5. Mehr Schulungs- und Awareness-Druck

NIS2 verlangt Schulung des Leitungsorgans und fördert regelmäßige Schulung relevanter Beschäftigter. Das ist mehr als Awareness im engeren Sinn. Es geht darum, dass Management und Fachbereiche Meldewege, Eskalationslogik, Lieferkettenrisiken und Governance-Pflichten tatsächlich verstehen. Wer Schulung nur als Folie im Intranet behandelt, verfehlt die Anforderung.

Meldepflichten: 24 Stunden statt 72 Stunden als neue Taktung

Die Meldepflichten werden unter NIS2 früher und strukturierter ausgelöst. Das ist einer der sichtbarsten Unterschiede im NIS2 KRITIS Vergleich.

Im bisherigen deutschen KRITIS- und BSIG-Kontext waren erhebliche Störungen bereits meldepflichtig, in der Praxis wurde aber häufig stärker mit einer nachgelagerten 72-Stunden-Logik oder sektoralen Routinen gearbeitet. NIS2 harmonisiert die Erwartung unionsweit und schreibt eine gestufte Meldearchitektur vor: Frühwarnung binnen 24 Stunden nach Kenntnis eines erheblichen Vorfalls, Incident Notification binnen 72 Stunden, Abschlussbericht binnen einem Monat.

Für die Praxis ist das mehr als eine Fristverkürzung. Die 24-Stunden-Frühwarnung erzwingt interne Prozesse, mit denen Vorfälle sehr früh bewertet und eskaliert werden können. Das Unternehmen muss also nicht nur einen Angriff erkennen, sondern innerhalb eines Tages beurteilen, ob ein erheblicher Vorfall vorliegt, welche Systeme betroffen sind, welche Auswirkungen drohen und wer die Meldung freigibt.

Bisherige KRITIS-Betreiber sollten deshalb ihre Incident-Playbooks prüfen. Wer noch auf ein Modell setzt, in dem Security, Fachbereich, Recht und Kommunikation erst nach mehreren Eskalationsstufen zusammenfinden, wird die NIS2-Taktung kaum verlässlich halten. Sinnvoll ist ein einheitlicher Meldeprozess, der den strengeren 24-Stunden-Takt als Standard annimmt und spätere Detailinformationen nachliefert.

Eine gute interne Kurzform lautet:

  1. Innerhalb von Stunden klassifizieren.
  2. Innerhalb von 24 Stunden frühwarnen.
  3. Innerhalb von 72 Stunden substanziiert melden.
  4. Innerhalb eines Monats abschließen und Lessons Learned dokumentieren.

Was sich für bisherige KRITIS-Betreiber konkret ändert

Bisherige KRITIS-Betreiber müssen nicht bei null anfangen, aber sie müssen ihr bisheriges Programm erweitern. Wer bereits Nachweise, Sicherheitsorganisation, Meldewege und BSI-Kommunikation aufgebaut hat, startet mit einem Vorsprung. Dieser Vorsprung reicht allerdings nur, wenn die bestehende Struktur auf die neue NIS2-Logik umgestellt wird.

Operativ bedeutet das meist:

  1. Die Betroffenheitsanalyse muss nicht nur die Anlage, sondern das gesamte Unternehmen betrachten.
  2. Die Governance muss die Geschäftsleitung formell einbinden.
  3. Das Risikomanagement muss Lieferkette und Drittparteien deutlich stärker berücksichtigen.
  4. Die Meldearchitektur muss auf die 24h/72h/1-Monat-Logik umgestellt werden.
  5. Schulung und Awareness müssen Management, Security, Betrieb, Einkauf und Fachbereiche einschließen.

Zusätzlich entsteht 2026 ein zweiter wichtiger Layer: das KRITIS-Dachgesetz. Für bestimmte kritische Einrichtungen kommen damit neben der Cyberresilienz auch Anforderungen an physische Resilienz, Gefahrenanalysen, Schutzmaßnahmen und Registrierung hinzu. Genau deshalb ist die Aussage "NIS2 ersetzt KRITIS vollständig" zu kurz. Treffender ist: NIS2 ersetzt die alte Engführung des Cyber-KRITIS-Regimes, während das KRITIS-Dachgesetz die physische Resilienz kritischer Einrichtungen zusätzlich ausbaut.

Übergangsfristen und Umstellungsdruck

Die Umstellung ist keine theoretische Fernzukunft, sondern ein laufender Transformationsprozess. Für Deutschland ist dabei entscheidend, dass das NIS2-Umsetzungsgesetz seit dem 6. Dezember 2025 den nationalen Rechtsrahmen prägt und das KRITIS-Dachgesetz seit dem 17. März 2026 die physische Resilienz kritischer Einrichtungen ergänzt.

Für Unternehmen ergeben sich daraus zwei unterschiedliche Fristenlogiken. NIS2 verlangt rasche organisatorische Umstellung bei Registrierung, Governance, Risikomanagement und Vorfallmeldung. Das KRITIS-Dachgesetz setzt zusätzliche Fristen für Registrierung und nachgelagerte Resilienznachweise bei den betroffenen kritischen Einrichtungen. Wer bislang nur Cybersecurity betrachtet hat, muss also gegebenenfalls parallel eine physische Resilienzschiene aufbauen.

Der größte Fehler ist deshalb Abwarten. Viele bisherige KRITIS-Betreiber glauben, sie seien wegen ihrer bisherigen Regulierung bereits "fertig". Tatsächlich verschiebt sich aber der Prüfungsmaßstab. Behörden, Aufsicht, Auditoren und interne Revision werden künftig stärker danach fragen, ob NIS2-spezifische Governance, Lieferkette, Management-Einbindung und Meldefähigkeit belastbar umgesetzt sind.

Entscheidungshilfe: Sind Sie nur KRITIS, nur NIS2 oder beides?

Die schnellste Einordnung gelingt über drei Fragen.

  1. Betreiben Sie eine klassische kritische Anlage mit weiterhin relevantem KRITIS-Schwellenwert?
  2. Gehört Ihr Unternehmen zu einem NIS2-Sektor und überschreitet es die maßgeblichen Größenkriterien?
  3. Sind zusätzlich physische Resilienzpflichten nach dem KRITIS-Dachgesetz einschlägig?

Wenn Sie nur die erste Frage mit Ja beantworten, bleiben Sie im engeren KRITIS-Rahmen, sollten aber trotzdem prüfen, ob NIS2 mittelbar doch greift. Wenn Sie nur die zweite Frage mit Ja beantworten, sind Sie NIS2-pflichtig, obwohl Sie nie klassischer KRITIS-Betreiber waren. Wenn Sie beide Fragen mit Ja beantworten, liegt die heute häufigste Konstellation vor: Doppelregulierung mit Cyber- und gegebenenfalls physischen Resilienzpflichten.

Die Compliance-Strategie sollte dann nicht aus parallelen Silos bestehen. Sinnvoller ist ein gemeinsamer Steuerungsrahmen mit einem Risikomodell, einer Incident-Logik, einem Lieferkettenprozess und getrennten Rechtsmappings für KRITIS, NIS2 und gegebenenfalls weitere Regime wie DORA vs. NIS2 oder CRA vs. NIS2.

Häufige Fehlannahmen im NIS2 KRITIS Vergleich

Die häufigsten Missverständnisse lassen sich knapp korrigieren.

"Wir sind nicht KRITIS, also sind wir auch nicht NIS2-pflichtig."

Das ist falsch, weil NIS2 viele Unternehmen erfasst, die nie klassische KRITIS-Betreiber waren. Gerade digitale Dienstleister, industrielle Hersteller, mittelgroße Versorger und große Unternehmen aus Annex-II-Sektoren werden durch diese Annahme häufig überrascht.

"Die alten KRITIS-Schwellenwerte reichen für die Prüfung weiter aus."

Das ist ebenfalls falsch, weil NIS2 zusätzlich größen- und sektorbezogen prüft. Die alte Schwellenwertlogik bleibt nur ein Teil der Gesamtbewertung.

"Für bestehende KRITIS-Betreiber ändert sich kaum etwas."

Das ist zu kurz, weil NIS2 Governance, Lieferkette, Management-Schulung und Meldefristen deutlich nachschärft. Hinzu kommt das KRITIS-Dachgesetz als physische Resilienzebene.

"NIS2 ersetzt das BSIG vollständig."

Das stimmt nicht. NIS2 wird in Deutschland gerade über das BSIG operationalisiert. Für Unternehmen ändert sich viel, aber nicht in Form einer vollständigen Ablösung des nationalen Rechts.

"24 Stunden Meldefrist bedeutet, dass innerhalb von 24 Stunden alles feststehen muss."

Auch das ist falsch. Innerhalb von 24 Stunden ist die Frühwarnung erforderlich, nicht der vollständig ausgearbeitete Abschlussbericht. Trotzdem braucht das Unternehmen sehr schnelle interne Eskalations- und Bewertungsprozesse.

Fazit: NIS2 macht aus KRITIS ein breiteres Compliance-Programm

Die sauberste Zusammenfassung für NIS2 vs KRITIS lautet: NIS2 ersetzt nicht einfach alte KRITIS-Regeln, sondern erweitert sie zu einem deutlich breiteren Cybersicherheitsrahmen für Unternehmen in 18 Sektoren. Der Unterschied liegt vor allem in der unternehmensbezogenen Erfassung, den strengeren Governance-Pflichten, der Lieferkettenperspektive und der eng getakteten Meldearchitektur.

Für bisherige KRITIS-Betreiber ist das keine Entwarnung, sondern ein Ausbau des Pflichtenkatalogs. Wer bisherige Sicherheitsmaßnahmen, Nachweise und Meldewege auf NIS2 überträgt, ohne Management-Verantwortung, Lieferkette, Registrierung und 24-Stunden-Frühwarnung mitzudenken, wird Lücken behalten. Wer die Umstellung dagegen jetzt strukturiert plant, kann bestehende KRITIS-Reife sinnvoll in ein belastbares NIS2-Programm überführen.

Wenn Ihr Unternehmen die Unterschiede zwischen KRITIS, NIS2 und angrenzenden EU-Regimen sauber einordnen und die zuständigen Rollen im Management, in Compliance und in den Fachbereichen auf einen gemeinsamen Stand bringen soll, ist unsere EU AI Act Schulung ein sinnvoller nächster Schritt. Sie hilft dabei, regulatorische Verantwortung, Nachweise und interne Schulung systematisch aufzubauen, statt einzelne Pflichten isoliert abzuarbeiten.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →