Kritische Infrastruktur (KRITIS): Definition, Schutz und NIS2
KRITIS - Kritische Infrastrukturen in Deutschland: welche Sektoren betroffen sind, welche Cybersicherheitspflichten gelten, und wie die NIS2-Richtlinie den Schutz verschärft.
Inhaltsverzeichnis (9 Abschnitte)
Krankenhäuser, Kraftwerke, Wasserversorgung, Banken - die Kompromittierung dieser Systeme kann Leben gefährden und ganze Gesellschaften destabilisieren. Deshalb gelten für Betreiber kritischer Infrastrukturen in Deutschland besondere Cybersicherheitspflichten - verschärft durch die NIS2-Richtlinie ab Oktober 2024.
Was ist kritische Infrastruktur (KRITIS)?
Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden (Definition BSI).
Der Begriff “KRITIS” ist in Deutschland der gebräuchliche Kurzterm und bezieht sich auf die rechtlich definierten Betreiber nach BSI-Gesetz und BSI-KRITIS-Verordnung.
Die KRITIS-Sektoren in Deutschland
Das BSI und die BSI-KRITIS-Verordnung definieren 10 Sektoren als kritische Infrastruktur:
| Sektor | Branchen | Schwellenwert |
|---|---|---|
| Energie | Strom, Gas, Fernwärme, Mineralöl, Kraftstoffe | 500.000 Versorgungseinheiten |
| Wasser | Trinkwasser, Abwasser | 500.000 Versorgungseinheiten |
| Ernährung | Lebensmittelversorgung | 500.000 Versorgungseinheiten |
| IT und TK | Dienste der Informationstechnik und Telekommunikation | 500.000 Nutzer |
| Transport und Verkehr | Luftfahrt, Schienenverkehr, Seeschifffahrt, Straße | Sektor-spezifisch |
| Gesundheit | Krankenhäuser, Labore, Apotheken, Pharma | 30.000 Fälle/Jahr |
| Finanz- und Versicherungswesen | Banken, Börsen, Versicherungen, Zahlungsverkehr | Sektor-spezifisch |
| Siedlungsabfallentsorgung | Abfallentsorgung | 500.000 Einwohner |
| Staat und Verwaltung | Bundesbehörden, Parlamente, Justiz | - |
| Medien und Kultur | Rundfunk, Kultureinrichtungen | - |
Wer fällt darunter? Betreiber, die in diesen Sektoren tätig sind und die definierten Schwellenwerte überschreiten. Die meisten Schwellenwerte liegen bei 500.000 “Versorgungseinheiten” (Kunden, Haushalte, Patienten).
Die rechtlichen Pflichten für KRITIS-Betreiber
IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0)
Das IT-Sicherheitsgesetz 2.0 (in Kraft seit Mai 2021) verschärfte die Anforderungen an KRITIS-Betreiber erheblich:
Pflichten nach IT-SiG 2.0:
- Mindestsicherheitsstandards einhalten (angemessene technische und organisatorische Maßnahmen)
- Systeme zur Angriffserkennung (SzA) verpflichtend ab Mai 2023
- Meldepflicht bei erheblichen IT-Störungen an BSI (innerhalb von 72 Stunden)
- Registrierungspflicht beim BSI mit Benennung einer Kontaktstelle
- Nachweispflicht - alle 2 Jahre durch Audits, Zertifizierungen oder Prüfungen belegen
Systeme zur Angriffserkennung (SzA) - Pflicht seit Mai 2023
KRITIS-Betreiber müssen Systeme zur Angriffserkennung (SzA) betreiben:
Anforderungen an SzA (BSI-Orientierungshilfe):
- Protokollierung von Ereignissen (Logging)
- Erkennung von Angriffen (Detection)
- Verarbeitung der erfassten Informationen (Processing)
- Ableitung von Abwehrmaßnahmen (Response)
In der Praxis: SIEM-Systeme mit 24/7-Monitoring - entweder ein eigenes SOC oder ein MSSP (Managed Security Service Provider).
Meldepflichten
Meldung an BSI bei erheblichen Störungen:
- Betriebsstörungen die auf einen Cyberangriff schließen lassen
- Innerhalb von 72 Stunden nach Kenntnisnahme
- Formular über das BSI-Meldeportal
BSI reagiert mit:
- Analyse und Früh warnung an andere KRITIS-Betreiber
- Technische Hilfe bei der Bewältigung
- Koordination mit anderen Behörden (BKA, BfV)
NIS2 und die Erweiterung des KRITIS-Konzepts
Die NIS2-Richtlinie (EU 2022/2555) - seit Oktober 2024 in deutsches Recht umgesetzt - erweitert den regulierten Bereich erheblich. Statt ca. 2.000 KRITIS-Betreibern sind nun bis zu 30.000 deutsche Unternehmen betroffen.
Neue Kategorien nach NIS2
Wesentliche Einrichtungen (Essential Entities):
- KRITIS-Betreiber (automatisch einbezogen)
- Große Unternehmen (>250 MA oder >50M EUR Umsatz) in kritischen Sektoren
- Qualifizierte Vertrauensdiensteanbieter, DNS-Betreiber, TLD-Registrare
Wichtige Einrichtungen (Important Entities):
- Mittelständische Unternehmen (>50 MA oder >10M EUR Umsatz) in kritischen Sektoren
- Ermessen des Mitgliedsstaats bei kleineren Unternehmen in bestimmten Sektoren
NIS2-Sektoren (erweitert gegenüber IT-SiG):
- Alle bisherigen KRITIS-Sektoren
- NEU: Raumfahrt, Post und Kurier, Abfallwirtschaft, chemische Industrie, Lebensmittelproduktion, digitale Infrastruktur (Cloud, Rechenzentren, CDN)
- NEU: Öffentliche Verwaltung (Bund und Länder)
NIS2-Pflichten im Überblick
Sicherheitsmaßnahmen (Art. 21 NIS2):
| Maßnahme | Inhalt |
|---|---|
| Risikoanalyse | Regelmäßige Bewertung von IT-Risiken |
| Incident Handling | Erkennung, Analyse, Eindämmung von Vorfällen |
| Business Continuity | BCM, Backup, Notfallwiederherstellung |
| Supply Chain | Sicherheit bei Lieferanten und Dienstleistern |
| Systembeschaffung | Security by Design bei Einkauf |
| Vulnerability Management | Schwachstellenmanagement und Patches |
| Kryptographie | Einsatz von Verschlüsselung |
| HR-Sicherheit | Schulungen, Hintergrundchecks |
| Zugangskontrolle | MFA, PAM, Least Privilege |
| Asset Management | Inventar aller IT-Assets |
Meldepflichten nach NIS2:
Erheblicher Vorfall:
→ 24h: Frühwarnung (war Cyberangriff vermutet?)
→ 72h: Erste Meldung (Erkenntnisstand, Schwere, Auswirkungen)
→ 1M: Abschlussbericht (vollständige Analyse, Gegenmaßnahmen)Geschäftsleitungs-Haftung: Leitungsorgane (Geschäftsführer, Vorstände) können persönlich für NIS2-Verstöße haftbar gemacht werden und zeitweilig von der Leitungsfunktion ausgeschlossen werden.
Bußgelder:
- Wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes
KRITIS-DachG - der physische Schutz
Das KRITIS-Dachgesetz (KRITIS-DachG) ergänzt die IT-Sicherheitspflichten um physische Sicherheitsanforderungen:
- Perimeterschutz (Zäune, Zugangskontrolle, Videoüberwachung)
- Sicherheitskonzepte für Anlagen
- Koordination mit Behörden und Polizei
- Verbindliche Mindeststandards für physische Resilienz
Cybersecurity für KRITIS in der Praxis
Risikobasierter Ansatz
KRITIS-Betreiber müssen ihren Sicherheitsansatz auf dem Stand der Technik halten - aber ohne pauschale Verpflichtung zu spezifischen Produkten. Der Maßstab ist immer das angemessene Verhältnis von Sicherheitsmaßnahmen zu identifizierten Risiken.
Anerkannte Standards:
- ISO 27001 - internationaler ISMS-Standard, von BSI anerkannt
- BSI IT-Grundschutz - deutscher Spezialstandard mit konkreten Maßnahmen
- IEC 62443 - OT/SCADA-Spezialstandard für industrielle Steuerungssysteme
- Branchenspezifische Standards (B3S) - vom BSI anerkannte Sicherheitsstandards je Sektor
OT/IT-Konvergenz als kritisches Risiko
Viele KRITIS-Betreiber haben Operational Technology (OT) - Steuerungssysteme für physische Prozesse (SCADA, DCS, SPS). Diese sind oft:
- Alt und schwer zu patchen
- Ursprünglich nicht für Netzwerkanbindung konzipiert
- Jetzt mit IT-Netzwerken und dem Internet verbunden
Angriffe auf OT können physische Schäden verursachen: Ausfall von Stromnetzen, Vergiftung von Wasserversorgung, Störung von Produktionsanlagen.
Schutzmaßnahmen:
- Strikte Netzwerksegmentierung zwischen IT und OT
- Air Gaps wo möglich und sinnvoll
- OT-spezifische Sicherheitslösungen (Claroty, Dragos, Nozomi)
- Asset-Inventar für alle OT-Geräte
Incident Response für KRITIS
KRITIS-Betreiber müssen ihre Incident Response besonders sorgfältig planen:
KRITIS-Incident-Besonderheiten:
- Meldepflichten an BSI/CERT-Bund (72h)
- Koordination mit anderen KRITIS-Betreibern (ISAC)
- Rechtliche Meldepflichten (DSGVO, branchenspezifisch)
- Kommunikation mit Aufsichtsbehörden (BNetzA, BaFin, etc.)
- Öffentlichkeitskommunikation bei gesellschaftlichen Auswirkungen
- Besondere Dokumentationspflichten für Prüfer
Bedrohungslage für KRITIS
BSI Lagebericht 2024 zeigt: KRITIS-Betreiber sind bevorzugte Angriffsziele:
- Ransomware: Krankenhäuser, Gemeinden, Energieversorger besonders betroffen
- APT-Gruppen (staatliche Akteure): Langfristige Spionage in Energieversorgern und Wasserwerken
- Hacktivismus: DDoS-Angriffe auf Bundesbehörden durch pro-russische Gruppen
- Supply Chain: Angriffe über IT-Dienstleister als Eintrittspunkt in KRITIS-Netze
Besonders kritische Vorfälle:
- Landkreis Anhalt-Bitterfeld (2021): Ransomware legt Kreisservices wochenlang lahm
- Klinikum Dortmund (2023): Ransomware führt zu Einschränkungen im Betrieb
- Europäische Windparks (2022): Satellitenkommunikation ausgeschaltet nach Viasat-Hack
Praktische Schritte für KRITIS-Betreiber
1. KRITIS-Selbstcheck:
- Fallen Sie unter die Schwellenwerte der KRITIS-Verordnung?
- Sind Sie von NIS2 als “wesentliche” oder “wichtige” Einrichtung betroffen?
- Beim BSI registriert? (Pflicht!)
2. Gap-Analyse:
- ISMS vorhanden und zertifiziert (ISO 27001)?
- Systeme zur Angriffserkennung implementiert?
- Meldeprozesse definiert und getestet?
- Business Continuity Plan vorhanden?
3. Maßnahmenplan:
- Risikobewertung nach ISO 27001 oder BSI IT-Grundschutz
- Sofortmaßnahmen für kritischste Lücken
- Mittelfristige Implementierung von SIEM/SOC
- Regelmäßige Penetrationstests und Audits
4. Dokumentation:
- Alle Sicherheitsmaßnahmen nachweislich dokumentieren
- Zweijahriger Nachweiszyklus beim BSI einplanen
Fazit
KRITIS-Schutz ist keine Compliance-Übung - er schützt Systeme, von denen Millionen Menschen täglich abhängen. NIS2 hat den regulierten Kreis stark erweitert und die Anforderungen verschärft. Unternehmen, die in kritischen Sektoren tätig sind, sollten jetzt prüfen, ob sie betroffen sind - und ihre Sicherheitsarchitektur entsprechend ausrichten.
Quellen & Referenzen
- [1] BSI: Schutz kritischer Infrastrukturen - BSI
- [2] KRITIS-Dachgesetz (KRITIS-DachG) - BMI
- [3] NIS2-Richtlinie (EU 2022/2555) - Europäische Union
- [4] BSI-KRITIS-Verordnung - Bundesregierung
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
6 Publikationen
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Evaluating the Usability and Security of Personal Password Stores (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Understanding User Perceptions of Security Indicators in Web Browsers (2024)
- A Systematic Analysis of NIS2 Compliance Challenges for SMEs (2024)
