NIS2 und KRITIS: Unterschiede einfach erklärt
Was ist KRITIS?
KRITIS (Kritische Infrastrukturen) ist ein etablierter Begriff des deutschen Rechts. Betreiber, die definierte Schwellenwerte überschreiten (etwa eine bestimmte Versorgungsrelevanz), gelten als KRITIS-Betreiber und unterliegen seit dem IT-Sicherheitsgesetz besonderen Pflichten nach dem BSI-Gesetz – etwa dem Nachweis angemessener Vorkehrungen gegenüber dem BSI. Im neu gefassten BSIG heißen sie „Betreiber kritischer Anlagen": Wer bestimmenden Einfluss auf eine kritische Anlage ausübt, trägt die Pflichten (§ 28 Abs. 8 BSIG); die Anlagenkategorien und Schwellenwerte legt eine Rechtsverordnung fest.
Was ändert NIS2?
NIS2 ist EU-Recht und deutlich breiter angelegt: Es erfasst nicht nur einen engen Kreis von Betreibern oberhalb hoher Schwellenwerte, sondern alle wesentlichen und wichtigen Einrichtungen in den erfassten Sektoren ab mittlerer Unternehmensgröße. Dadurch fallen weit mehr Unternehmen unter NIS2 als bisher unter KRITIS. In Deutschland ist NIS2 seit dem 6. Dezember 2025 über das NIS2-Umsetzungsgesetz (BGBl. 2025 I Nr. 301) in das neu gefasste BSI-Gesetz integriert.
NIS2 und KRITIS im Vergleich
| KRITIS | NIS2 | |
|---|---|---|
| Herkunft | deutsches Recht (BSI-Gesetz, seit 2015) | EU-Richtlinie (EU) 2022/2555, national umgesetzt |
| Adressaten | Betreiber kritischer Anlagen oberhalb hoher Versorgungs-Schwellenwerte | wesentliche/„besonders wichtige“ und wichtige Einrichtungen ab mittlerer Unternehmensgröße |
| Größenordnung | wenige tausend Betreiber | zehntausende Unternehmen (allein in Deutschland ca. 29.500) |
| Kernpflichten | erhöhte Anforderungen, Systeme zur Angriffserkennung, Nachweise alle 3 Jahre (§§ 31, 39 BSIG) | Risikomanagement, Registrierung, Meldekette, Governance (§§ 30, 32, 33, 38 BSIG) |
| Nachweislogik | proaktive Nachweise durch Audits/Prüfungen/Zertifizierungen | Dokumentation + Aufsicht; proaktiv nur bei besonders wichtigen Einrichtungen |
Was gilt für Betreiber kritischer Anlagen im neuen BSIG?
KRITIS-Betreiber sind unter dem neuen Recht praktisch immer zugleich NIS2-Einrichtungen – und tragen obendrauf die schärfsten Pflichten des Gesetzes:
- Erhöhte Anforderungen (§ 31 BSIG): Maßnahmen, die über das Schutzniveau normaler Einrichtungen hinausgehen können – inklusive Einsatz von Systemen zur Angriffserkennung.
- Erweiterte Registrierung (§ 33 Abs. 2 BSIG): zusätzlich Anlagenkategorie, Versorgungskennzahlen, kritische Komponenten und eine jederzeit erreichbare Kontaktstelle.
- Erweiterte Meldepflichten (§ 32 Abs. 3 BSIG): Angaben zur betroffenen Anlage und den Auswirkungen auf die kritische Dienstleistung.
- Turnusnachweise (§ 39 BSIG): Umsetzung der Maßnahmen alle drei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen belegen – inklusive der aufgedeckten Mängel.
Überschneidungen und Abgrenzung
- Cyber vs. physisch: NIS2 adressiert Cybersicherheit. Die physische Resilienz kritischer Einrichtungen regelt separat das KRITIS-Dachgesetz (Umsetzung der EU-CER-Richtlinie).
- Teilmenge: Viele bisherige KRITIS-Betreiber sind zugleich „besonders wichtige Einrichtungen" unter NIS2 – mit dann strengeren bzw. zusätzlichen Pflichten.
- Gemeinsames Ziel: nachgewiesene Widerstandsfähigkeit und funktionierende Krisenprozesse – dokumentierte Übungen zahlen auf beide Regime ein.
Wer ist von beidem betroffen?
Große Betreiber kritischer Dienste (z. B. in Energie, Wasser, Gesundheit) unterliegen regelmäßig beiden Pflichtenkreisen. Für den Mittelstand ist aber die wichtigere Botschaft: Viele Unternehmen, die neu unter NIS2 fallen, waren bisher nicht KRITIS – sie müssen Krisen- und Incident-Response-Prozesse jetzt erstmals nachweisbar üben, ohne den Apparat eines Großbetreibers. Eine erste Einordnung liefert die Betroffenheitsprüfung; die Fristen stehen im Beitrag zur NIS2-Registrierung.
Häufige Fragen
Ist KRITIS jetzt in NIS2 aufgegangen?
Teilweise. Das NIS2-Umsetzungsgesetz hat die KRITIS-Cybersicherheitspflichten in das neu gefasste BSI-Gesetz integriert: KRITIS-Betreiber heißen dort „Betreiber kritischer Anlagen“ und tragen zusätzlich zu den NIS2-Pflichten erhöhte Anforderungen (§ 31 BSIG) und turnusmäßige Nachweispflichten (§ 39 BSIG). Die physische Resilienz regelt künftig separat das KRITIS-Dachgesetz zur EU-CER-Richtlinie.
Mein Unternehmen war nie KRITIS – kann es trotzdem unter NIS2 fallen?
Ja, das ist sogar der Regelfall der neuen Betroffenen: NIS2 greift ab mittlerer Unternehmensgröße (50 Beschäftigte oder über 10 Mio. € Umsatz und Bilanzsumme) in 18 Sektoren – weit unterhalb der KRITIS-Schwellenwerte. Wer neu betroffen ist, muss Registrierung, Risikomanagement und Meldekette erstmals aufbauen.
Welche Nachweise müssen Betreiber kritischer Anlagen erbringen?
Nach § 39 BSIG müssen sie die Umsetzung ihrer Maßnahmen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen – erstmals zu einem vom BSI festgelegten Zeitpunkt (frühestens drei Jahre nach Geltungsbeginn als Betreiber), danach alle drei Jahre. Aufgedeckte Sicherheitsmängel sind mitzuliefern; das BSI kann Mängelbeseitigungspläne verlangen.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.