Compliance & Standards
KRITIS-Schutz: Was Betreiber kritischer Infrastruktur wissen müssen
Oskar Braun12 Min.
Regulierung | Kritische Infrastrukturen
KRITIS:
Schutzpflichten für Betreiber kritischer Infrastrukturen
Krankenhäuser, Kraftwerke, Wasserversorger, Banken - Betreiber kritischer Infrastrukturen unterliegen in Deutschland besonderen Sicherheitspflichten nach §8a BSIG. Der Ausfall dieser Systeme würde Millionen Menschen gefährden. NIS2 und das KRITIS-DachG verschärfen die Anforderungen weiter.
Zuletzt aktualisiert: März 2026
Regulierte Sektoren
10
Nach BSI-KRITIS-Verordnung (BSI-KritisV)
Rechtsgrundlage
§8a BSIG
Nachweispflicht alle 2 Jahre beim BSI
Nachweiszeitraum
2 Jahre
Audit, Zertifizierung oder Prüfung
Schwellenwert (typisch)
500.000
Versorgungseinheiten (je nach Sektor)
- KRITIS-Sektoren
-
- BSIG Nachweispflicht
-
- Nachweiszeitraum
-
- Versorgungseinheiten (Schwellenwert)
-
Grundlagen
Was sind Kritische Infrastrukturen?
Kritische Infrastrukturen (KRITIS) sind laut BSI-Definition Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
In Deutschland sind KRITIS-Betreiber durch das BSI-Gesetz (BSIG) und die BSI-KRITIS-Verordnung (BSI-KritisV) rechtlich definiert. Ein Betreiber gilt als KRITIS, wenn er in einem der zehn regulierten Sektoren tätig ist und einen sektorspezifischen Schwellenwert überschreitet - typischerweise 500.000 Versorgungseinheiten (Einwohner, Patienten, Kunden).
Betreiber kritischer Infrastrukturen sind attraktive Ziele für staatliche Hackergruppen, Ransomware-Akteure und Hacktivisten. Der BSI-Lagebericht 2024 zeigt: Krankenhäuser, Energieversorger und Behörden sind bevorzugte Angriffsziele - mit potenziell lebensbedrohlichen Konsequenzen bei erfolgreichen Angriffen.
§8a
Technische und organisatorische Maßnahmen
KRITIS-Betreiber müssen angemessene technische und organisatorische Maßnahmen (Stand der Technik) implementieren, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu vermeiden.
§8b
Registrierungs- und Meldepflichten
Pflicht zur Registrierung beim BSI mit Benennung einer Kontaktstelle. Erhebliche IT-Störungen müssen innerhalb von 72 Stunden an das BSI gemeldet werden. Das BSI koordiniert die Reaktion und warnt andere Betreiber.
§8a Abs. 3
Zweijährliche Nachweispflicht
KRITIS-Betreiber müssen alle zwei Jahre nachweisen, dass sie die §8a-Anforderungen erfüllen - durch Sicherheitsaudits, Prüfungen oder Zertifizierungen (z. B. ISO 27001, BSI IT-Grundschutz, B3S-Standards).
IT-SiG 2.0
Systeme zur Angriffserkennung (SzA)
Seit Mai 2023 sind KRITIS-Betreiber verpflichtet, Systeme zur Angriffserkennung (SzA) zu betreiben - in der Praxis SIEM-Systeme mit kontinuierlichem Monitoring, typischerweise durch ein SOC oder einen MSSP.
BSI-KritisV
Die 10 KRITIS-Sektoren mit Schwellenwerten
Die BSI-KRITIS-Verordnung legt sektorspezifische Schwellenwerte fest, ab denen ein Betreiber als kritische Infrastruktur gilt. Betreiber, die diese Schwellenwerte überschreiten, unterliegen den Pflichten nach §8a BSIG.
| Sektor | Beispiel-Branchen | Beispiel-Schwellenwert |
|---|---|---|
| Energie | Strom, Gas, Fernwärme, Mineralöl | 420 MW installierte Nettoleistung |
| Wasser | Trinkwasser, Abwasser | 500.000 versorgte Einwohner |
| Ernährung | Lebensmittelproduktion und -versorgung | 434.500 Tonnen/Jahr |
| IT und TK | Rechenzentren, Carrier, DNS | 100.000 Kunden (IXP) |
| Gesundheit | Krankenhäuser, Labore, Pharma | 30.000 vollstationäre Fälle/Jahr |
| Finanz- und Versicherungswesen | Banken, Börsen, Zahlungsverkehr | 15 Mio. Transaktionen/Jahr |
| Transport und Verkehr | Luftfahrt, Schiene, See, Straße | 12 Mio. Fahrgäste/Jahr (Schiene) |
| Siedlungsabfallentsorgung | Abfallwirtschaft | 500.000 versorgte Einwohner |
| Staat und Verwaltung | Bundesbehörden, Parlamente, Justiz | Bundesbehörden (pauschal) |
| Medien und Kultur (KRITIS-DachG) | Rundfunk, Kultureinrichtungen | Noch nicht abschließend geregelt |
Quelle: BSI-KRITIS-Verordnung (BSI-KritisV) in der aktuellen Fassung. Die Schwellenwerte variieren je nach Dienstleistungsart innerhalb eines Sektors. Vollständige Schwellenwerte unter gesetze-im-internet.de/bsi-kritisv.
Nachweispflichten
§8a BSIG: Pflichten und anerkannte Nachweise
§8a BSIG verpflichtet KRITIS-Betreiber, alle zwei Jahre gegenüber dem BSI nachzuweisen, dass sie angemessene IT-Sicherheitsmaßnahmen nach dem Stand der Technik implementiert haben. Das BSI akzeptiert verschiedene Frameworks als Nachweis.
Eine ISO-27001-Zertifizierung ist der international anerkannteste Nachweis und wird vom BSI ausdrücklich akzeptiert. Alternativ bietet BSI IT-Grundschutz einen deutschen, praxisnahen Ansatz mit konkreten Maßnahmenkatalogen. Branchenspezifische Sicherheitsstandards (B3S) ergänzen diese allgemeinen Frameworks um sektorspezifische Anforderungen.
Seit Mai 2023 gilt eine zusätzliche Pflicht: KRITIS-Betreiber müssen Systeme zur Angriffserkennung (SzA) betreiben. Das BSI hat eine Orientierungshilfe veröffentlicht, die konkrete Anforderungen an Protokollierung, Erkennung, Verarbeitung und Reaktion beschreibt.
Anerkannte Nachweisrahmen für §8a BSIG
ISO 27001
Internationaler ISMS-Standard
Empfohlen Vom BSI ausdrücklich anerkannt. Deckt alle wesentlichen §8a-Anforderungen ab. International anerkannt, ideal für Unternehmen mit internationaler Ausrichtung.
IT-Grundschutz
BSI IT-Grundschutz (Standard-Absicherung)
Empfohlen Deutsches Spezialframework mit über 200 konkreten Bausteinen. ISO-27001-Zertifikat auf Basis IT-Grundschutz möglich. Besonders verbreitet bei Behörden und öffentlichen Betreibern.
B3S
Branchenspezifische Sicherheitsstandards
Vom BSI freigegebene sektorspezifische Standards (z. B. B3S Krankenhaus, B3S Energieversorgung). Ergänzen allgemeine Standards um Sektorbesonderheiten.
IEC 62443
OT/SCADA-Standard für industrielle Systeme
Relevanter Standard für KRITIS-Betreiber mit Operational Technology (OT) - Energie, Wasser, Produktion. Adressiert IT/OT-Konvergenz als kritisches Risiko.
Regulatorische Entwicklung
KRITIS-DachG und NIS2: Die neue Regulierungsebene
KRITIS und NIS2 sind eng verknüpft, aber nicht deckungsgleich. NIS2 erweitert den regulierten Kreis erheblich; das KRITIS-DachG ergänzt IT-Sicherheitspflichten um physische Resilienzanforderungen.
KRITIS-DachG
Physische Sicherheitsanforderungen
Das KRITIS-Dachgesetz ergänzt die IT-Sicherheitspflichten nach §8a BSIG um verbindliche physische Sicherheitsanforderungen. KRITIS-Betreiber müssen nun auch ihre physischen Anlagen gegen Sabotage und Angriffe schützen.
- Perimeterschutz: Zäune, Zutrittskontrolle, Videoüberwachung
- Sicherheitskonzepte für kritische Anlagen und Betriebsstätten
- Koordination mit Behörden (Polizei, Verfassungsschutz)
- Verbindliche Mindeststandards für physische Resilienz
- Neue Sektoren: Weltraum und Medien/Kultur
- Meldepflichten auch für physische Sicherheitsvorfälle
NIS2-Richtlinie
Erweiterter Anwendungsbereich
NIS2 (EU 2022/2555) - seit Oktober 2024 in deutsches Recht umgesetzt - erweitert den regulierten Kreis von ca. 2.000 KRITIS-Betreibern auf bis zu 30.000 deutsche Unternehmen. KRITIS-Betreiber sind automatisch "wesentliche Einrichtungen" nach NIS2.
- 30.000 statt 2.000 betroffene Unternehmen in Deutschland
- Neue Sektoren: Cloud, Rechenzentren, chemische Industrie
- Persönliche Geschäftsleitungs-Haftung bei NIS2-Verstößen
- Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Umsatzes
- 24h-Frühwarnung + 72h-Meldung + 1-Monats-Abschlussbericht
- Supply-Chain-Sicherheitspflichten gegenüber Lieferanten
Bedrohungslage
KRITIS als bevorzugtes Angriffsziel
Laut BSI-Lagebericht 2024 sind Betreiber kritischer Infrastrukturen bevorzugte Ziele für staatliche Hackergruppen, Ransomware-Akteure und Hacktivisten. Die Konsequenzen erfolgreicher Angriffe sind verheerend: Ausfall der Stromversorgung, Unterbrechung der Wasserversorgung, Betriebsstörungen in Krankenhäusern.
Besonders kritisch ist die zunehmende Konvergenz von IT und Operational Technology (OT). Viele KRITIS-Betreiber setzen Steuerungssysteme (SCADA, SPS) ein, die ursprünglich nicht für Netzwerkanbindung konzipiert wurden und nun mit IT-Netzwerken verbunden sind - mit erheblichen Sicherheitsrisiken.
Aufsehenerregende Vorfälle der letzten Jahre zeigen das reale Schadenspotenzial: Landkreis Anhalt-Bitterfeld (2021), Klinikum Dortmund (2023), Viasat-Hack (2022) mit Auswirkungen auf europäische Windparks - KRITIS-Schutz ist keine abstrakte Compliance-Übung, sondern gesellschaftliche Notwendigkeit.
KRITIS in Zahlen
10
Regulierte Sektoren nach BSI-KRITIS-Verordnung
~2.000
KRITIS-Betreiber in Deutschland (§8a BSIG)
~30.000
Betroffene Unternehmen nach NIS2-Erweiterung
§8a-Nachweis
Alle 2 Jahre - Audit, Zertifizierung oder Prüfung
BSI-KritisV 2016
In Kraft seit 2016, seitdem mehrfach aktualisiert
72 Stunden
Meldefrist bei erheblichen IT-Störungen an das BSI
„§8a BSIG ist kein Bürokratieprojekt - er verlangt echte, wirksame Sicherheitsmaßnahmen. Als Prüfer mit §8a-Prüfverfahrenskompetenz erlebe ich in Audits: Die Unternehmen, die Informationssicherheit als strategisches Ziel verstehen statt als Compliance-Checkbox, bestehen die Prüfung mit Abstand am besten.“
Chris Wojzechowski
Prüfer mit §8a BSIG Prüfverfahrenskompetenz · AWARE7 GmbH
Warum AWARE7 für KRITIS-Betreiber
Was uns von anderen Anbietern unterscheidet
Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.
Forschung und Lehre als Fundament
Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.
Digitale Souveränität - keine Kompromisse
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.
Festpreis in 24h - planbare Projektzeiträume
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.
Ihr fester Ansprechpartner - jederzeit erreichbar
Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.
Für wen sind wir der richtige Partner?
Mittelstand mit 50–2.000 MA
Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.
IT-Verantwortliche & CISOs
Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.
Regulierte Branchen
KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.
Mitwirkung an Industriestandards
LLM
OWASP · 2023
OWASP Top 10 for Large Language Models
Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.
BSI
BSI · Allianz für Cyber-Sicherheit
Management von Cyber-Risiken
Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).
Häufige Fragen zu KRITIS
Antworten auf die häufigsten Fragen rund um KRITIS-Pflichten, Schwellenwerte, §8a BSIG und NIS2 für Betreiber kritischer Infrastrukturen.
Was sind Kritische Infrastrukturen (KRITIS)?
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Diese Definition stammt vom Bundesamt für Sicherheit in der Informationstechnik (BSI). In Deutschland sind KRITIS-Betreiber rechtlich durch das BSI-Gesetz (BSIG) und die BSI-KRITIS-Verordnung (BSI-KritisV) definiert. Sie unterliegen besonderen Sicherheits- und Nachweispflichten, die über die allgemeinen gesetzlichen Anforderungen hinausgehen.
Welche 10 Sektoren gehören zu KRITIS?
Die BSI-KRITIS-Verordnung definiert zehn Sektoren als kritische Infrastruktur: (1) Energie: Strom, Gas, Fernwärme, Mineralöl und Kraftstoffe. (2) Wasser: Trinkwasserversorgung und Abwasserentsorgung. (3) Ernährung: Lebensmittelproduktion und -versorgung. (4) IT und Telekommunikation: Dienste der Informationstechnik und Telekommunikation. (5) Transport und Verkehr: Luftfahrt, Schienenverkehr, Binnenschifffahrt, Seeschifffahrt und Straßenverkehr. (6) Gesundheit: Krankenhäuser, Labore, Apotheken und Pharmaunternehmen. (7) Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen und Zahlungsverkehrsbetreiber. (8) Siedlungsabfallentsorgung: Abfallwirtschaft und -entsorgung. (9) Staat und Verwaltung: Bundesbehörden, Parlamente und Justiz. (10) Medien und Kultur: Rundfunk und bedeutende Kultureinrichtungen.
Was fordert §8a BSIG?
§8a BSIG (BSI-Gesetz) verpflichtet Betreiber kritischer Infrastrukturen dazu, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der betriebenen kritischen Infrastrukturen maßgeblich sind. Diese Maßnahmen müssen dem Stand der Technik entsprechen. KRITIS-Betreiber müssen alle zwei Jahre nachweisen, dass sie diese Anforderungen erfüllen - durch Sicherheitsaudits, Prüfungen oder Zertifizierungen. Der Nachweis wird gegenüber dem BSI erbracht. Zusätzlich besteht eine Meldepflicht für erhebliche IT-Störungen (innerhalb von 72 Stunden) sowie eine Registrierungspflicht beim BSI.
Wie wird der KRITIS-Schwellenwert bestimmt?
Der KRITIS-Schwellenwert bestimmt, ab welcher Versorgungskapazität ein Betreiber als kritische Infrastruktur gilt. Er ist sektorspezifisch in der BSI-KRITIS-Verordnung (BSI-KritisV) festgelegt. Die meisten Schwellenwerte liegen bei 500.000 "Versorgungseinheiten" - je nach Sektor kann das Einwohner, Kunden, Patienten, Transaktionen oder andere Größen sein. Beispiele: Energie: 3.700 GWh/Jahr installierte Erzeugungskapazität oder Trinkwasser: 500.000 versorgte Einwohner. Gesundheit: 30.000 vollstationäre Behandlungsfälle pro Jahr. Finanzsektor: 15 Mio. Transaktionen/Jahr. Für IT und TK: 100.000 Kunden. Unternehmen sollten ihren eigenen KRITIS-Status durch eine strukturierte Selbstprüfung anhand der BSI-KritisV ermitteln.
Was ist das KRITIS-DachG?
Das KRITIS-Dachgesetz (KRITIS-DachG) ist ein deutsches Gesetz, das die physischen Sicherheitsanforderungen für KRITIS-Betreiber regelt und die bisherigen IT-Sicherheitspflichten um physische Resilienzanforderungen ergänzt. Während §8a BSIG die IT-Sicherheit adressiert, schreibt das KRITIS-DachG Maßnahmen zur physischen Sicherheit vor: Perimeterschutz (Zäune, Zugangskontrolle, Videoüberwachung), Sicherheitskonzepte für kritische Anlagen, Koordination mit Behörden und Polizei sowie verbindliche Mindeststandards für physische Resilienz. Das KRITIS-DachG erweitert zudem den Kreis der regulierten Einrichtungen und führt neue Sektoren (Weltraum, Medien und Kultur) ein.
Wie hängen KRITIS und NIS2 zusammen?
KRITIS und NIS2 sind eng miteinander verknüpft, aber nicht deckungsgleich. KRITIS ist der deutsche Begriff für regulierte Betreiber kritischer Infrastrukturen nach BSIG; NIS2 (Richtlinie EU 2022/2555) ist der europäische Rahmen, der seit Oktober 2024 in deutsches Recht umgesetzt wurde. KRITIS-Betreiber fallen automatisch unter NIS2 als "wesentliche Einrichtungen". NIS2 geht jedoch deutlich weiter als KRITIS: Statt ca. 2.000 KRITIS-Betreibern betrifft NIS2 bis zu 30.000 deutsche Unternehmen. NIS2 erweitert die regulierten Sektoren (u. a. Cloud-Anbieter, Rechenzentren, chemische Industrie) und verschärft die Anforderungen - insbesondere durch persönliche Geschäftsleitungs-Haftung. Mehr dazu auf unserer Seite zu <a href="/themen/nis2/" style="color: inherit; text-decoration: underline;">NIS2</a>.
Welche Frameworks werden als §8a-Nachweis akzeptiert?
Das BSI akzeptiert verschiedene Sicherheitsframeworks als Nachweis für §8a BSIG-Konformität: ISO/IEC 27001 (internationaler Standard für Informationssicherheits-Managementsysteme) ist der am häufigsten eingesetzte Nachweis und wird vom BSI ausdrücklich anerkannt. BSI IT-Grundschutz (Basis- oder Standard-Absicherung) ist der deutsche Ansatz mit detaillierten Maßnahmenkatalogen; eine ISO-27001-Zertifizierung auf Basis IT-Grundschutz ist möglich. Branchenspezifische Sicherheitsstandards (B3S) sind vom BSI freigegebene sektorspezifische Standards, die von Branchenverbänden entwickelt wurden - z. B. für Krankenhäuser (B3S Krankenhaus) oder Energieversorger. IEC 62443 ist der relevante Standard für OT/SCADA-Systeme in Sektoren wie Energie oder Wasser. Eine Kombination dieser Frameworks ist möglich und oft sinnvoll.
Wie hilft AWARE7 KRITIS-Betreibern?
AWARE7 unterstützt KRITIS-Betreiber mit spezialisierten Leistungen für den gesamten §8a-Nachweis-Zyklus: Gap-Analyse gegen ISO 27001, BSI IT-Grundschutz oder sektorspezifische B3S-Standards; ISMS-Aufbau und -Betrieb; Penetrationstests und Schwachstellenscans zur Überprüfung der technischen Maßnahmen; Unterstützung bei der Umsetzung der Systeme zur Angriffserkennung (SzA/SIEM-Anforderungen); Vorbereitung auf BSI-Prüfungen und externe Audits; NIS2-Gap-Analyse für Unternehmen, die durch die Richtlinie neu reguliert werden. Chris Wojzechowski verfügt über die §8a BSIG Prüfverfahrenskompetenz, die für bestimmte Prüftätigkeiten im KRITIS-Umfeld erforderlich ist.
§8a BSIG-Nachweis vorbereiten
AWARE7 begleitet KRITIS-Betreiber durch den gesamten Nachweis-Zyklus - von der Gap-Analyse bis zur erfolgreichen BSI-Prüfung. Chris Wojzechowski verfügt über die §8a BSIG Prüfverfahrenskompetenz.
Kostenlos · 30 Minuten · Unverbindlich
