Startseite
Zurück zur Übersicht

KRITIS

KRITIS ist die Abkürzung für Kritische Infrastrukturen und bezeichnet in Deutschland Einrichtungen und Anlagen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde. Dazu zählen Sektoren wie Energie, Wasser, Ernährung, Gesundheit, Transport, Finanzwesen sowie Informations- und Kommunikationstechnik. Die rechtliche Grundlage bildet das BSI-Gesetz in Verbindung mit der KRITIS-Verordnung, die konkrete Schwellenwerte definieren, ab denen ein Betreiber als KRITIS-relevant eingestuft wird. Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes Ende 2025 und dem KRITIS-Dachgesetz Anfang 2026 wurde der Regulierungsrahmen in Deutschland erheblich erweitert und verschärft.

KRITIS-Betreiber unterliegen konkreten Cybersicherheitspflichten, die weit über allgemeine Empfehlungen hinausgehen. Sie müssen sich beim BSI registrieren, technische und organisatorische Sicherheitsmaßnahmen umsetzen, Sicherheitsvorfälle melden und ihre Schutzmaßnahmen regelmäßig nachweisen. Mit dem KRITIS-Dachgesetz kommen seit 2026 zusätzlich Pflichten zum physischen Schutz kritischer Anlagen hinzu, für die eine separate Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe erforderlich ist. KRITIS-Betreiber tragen damit in der Praxis eine doppelte Registrierungs- und Nachweispflicht gegenüber zwei Behörden.

In der Praxis betrifft KRITIS nicht nur große Konzerne. Kommunale Stadtwerke, Krankenhäuser in städtischer Trägerschaft oder regionale Wasserversorger können ebenso unter die KRITIS-Schwellenwerte fallen wie bundesweit tätige Unternehmen. Für IT-Verantwortliche in diesen Organisationen bedeutet das, dass die eingesetzten Systeme und Endgeräte erhöhten Anforderungen an Sicherheit, Dokumentation und Nachweisbarkeit genügen müssen, die weit über das hinausgehen, was in nicht regulierten Unternehmen üblich ist.

Der wesentliche Unterschied zwischen KRITIS und NIS2 liegt im Geltungsbereich. Während NIS2 einen breiten Kreis von Unternehmen und Einrichtungen erfasst, bezeichnet KRITIS im engeren Sinne nur die rund 1.800 Betreiber kritischer Anlagen, die einen definierten Versorgungsschwellenwert überschreiten und damit den strengsten Anforderungen unterliegen. In der öffentlichen Diskussion werden beide Begriffe häufig synonym verwendet, was zu Fehleinschätzungen bei der eigenen regulatorischen Betroffenheit führen kann.

Für KRITIS-Betreiber ist die lückenlose Absicherung und Dokumentation aller eingesetzten Endgeräte ein zentraler Bestandteil der gesetzlich geforderten Schutzmaßnahmen. Wie sich das mit einer DSGVO-konformen und revisionssicheren Geräteverwaltung umsetzen lässt, zeigt ein Blick auf die entsprechenden Möglichkeiten.