Wer sich mit IT-Sicherheit, Regulierung oder dem Schutz Kritischer Infrastrukturen in Deutschland befasst, stößt früher oder später auf OpenKRITIS. Die Plattform hat sich in den letzten Jahren zur zentralen Anlaufstelle für KRITIS-Betreiber, Prüfer und Berater entwickelt. Doch was genau bietet OpenKRITIS? Wer steht dahinter? Und warum ist die Plattform gerade jetzt so relevant wie nie zuvor?
Dieser Artikel ordnet OpenKRITIS in den regulatorischen Kontext ein, erklärt die KRITIS-Sektoren und Schwellenwerte, beleuchtet die aktuellen gesetzlichen Anforderungen und zeigt, welche Pflichten auf Betreiber Kritischer Infrastrukturen zukommen.
OpenKRITIS ist keine Behörde und kein kommerzielles Softwareprodukt. Es handelt sich um eine fachlich fundierte Wissensplattform, die regulatorische Anforderungen aus dem BSI-Gesetz, der NIS2-Richtlinie und dem KRITIS-Dachgesetz strukturiert aufbereitet. Betrieben wird die Plattform durch die Insignals GmbH, die daneben auch individuelle Beratungsleistungen für regulierte Unternehmen anbietet.
Die Plattform richtet sich an unterschiedliche Zielgruppen: KRITIS-Betreiber, die ihre regulatorischen Pflichten verstehen müssen. Prüfer, die Nachweise und Audits durchführen. Berater, die Unternehmen bei der Umsetzung unterstützen. Und Entscheider, die die Auswirkungen der Regulierung auf ihr Unternehmen einschätzen wollen.
Die Plattform deckt eine breite Palette an Themen und Formaten ab:
Für KRITIS-Betreiber ist OpenKRITIS damit eine der wertvollsten frei zugänglichen Ressourcen im deutschsprachigen Raum.
Kritische Infrastrukturen – kurz KRITIS – sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Ihr Ausfall oder ihre Beeinträchtigung würde nachhaltige Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen nach sich ziehen.
Das Konzept ist nicht abstrakt. Wenn ein Wasserwerk ausfällt, haben Hunderttausende kein Trinkwasser. Wenn ein Krankenhaus seine IT verliert, können keine Notfalloperationen stattfinden. Wenn das Stromnetz kollabiert, steht alles still. Genau deshalb hat der Gesetzgeber für diese Bereiche besondere Schutzanforderungen geschaffen.
In Deutschland werden Kritische Infrastrukturen über zwei Dimensionen definiert: die Sektorzugehörigkeit und die Schwellenwerte der BSI-Kritisverordnung (BSI-KritisV). Nur wer beide Kriterien erfüllt, gilt formal als KRITIS-Betreiber.
Die BSI-Kritisverordnung definiert konkret, welche Anlagen als Kritische Infrastruktur gelten. Der Grundgedanke: Eine Anlage ist dann kritisch, wenn sie rechnerisch mindestens 500.000 Menschen versorgt. Dieser Versorgungsgrad wird für jeden Sektor in messbare Schwellenwerte umgerechnet.
| Sektor | Anlagenkategorie (Beispiele) | Schwellenwert |
|---|---|---|
| Energie | Erzeugungsanlage (Strom) | 36 MW Leistung |
| Übertragungs-/Verteilernetz | 3.700 GWh/Jahr | |
| Gasförderanlage / Fernleitung | 5.190 GWh Gas | |
| Heizwerk / Fernwärme | 2.300 GWh Wärme | |
| Wasser | Gewinnungs-/Verteilungsanlage | 22 Mio. m³/Jahr |
| Kläranlage | 500.000 Einwohner | |
| Ernährung | Lebensmittelherstellung | 434.500 t Speisen/Jahr |
| Gesundheit | Krankenhaus | 30.000 vollstat. Fälle/Jahr |
| Arzneimittelproduktion | 90,68 Mio. EUR Umsatz | |
| Labor | 1,5 Mio. Aufträge/Jahr | |
| Transport & Verkehr | Flughafen | 20 Mio. Passagiere/Jahr |
| Bahnverkehr | 23.000 Züge/Jahr | |
| IT & Telekommunikation | Zugangsnetz | 100.000 Teilnehmer |
| Rechenzentrum | 3,5 MW IT-Leistung | |
| Finanz- & Versicherungswesen | Autorisierungssystem (ATM) | 15 Mio. Transaktionen/Jahr |
| Versicherungssystem | 500.000 Leistungsfälle/Jahr | |
| Siedlungsabfallentsorgung | Sammlung / Beförderung | 500.000 versorgte Einwohner |
Wichtig: Die Schwellenwerte wurden in den letzten Jahren mehrfach angepasst. Besonders auffällig ist die Absenkung im Energiesektor: Der Schwellenwert für Stromerzeugungsanlagen wurde von ehemals 420 MW auf 36 MW reduziert. Dadurch fallen deutlich mehr Anlagen in den Geltungsbereich. Zum Stichtag 31. Dezember 2025 waren beim BSI insgesamt 1.179 Betreiber mit 2.136 Anlagen als KRITIS registriert.
Das regulatorische Umfeld für Kritische Infrastrukturen in Deutschland steht 2026 auf drei Säulen. Jede dieser Säulen adressiert unterschiedliche Aspekte, und erst zusammen ergeben sie das vollständige Bild.
Das NIS2-Umsetzungsgesetz setzt die europäische NIS2-Richtlinie in deutsches Recht um. Es ist am 6. Dezember 2025 in Kraft getreten und reformiert das BSI-Gesetz grundlegend. Der Kerngedanke: Cybersicherheit ist kein freiwilliges Thema mehr, sondern eine gesetzliche Pflicht mit empfindlichen Sanktionen.
Das Gesetz erweitert den Kreis der regulierten Unternehmen massiv – von einigen tausend KRITIS-Betreibern auf rund 29.000 bis 30.000 betroffene Einrichtungen. Besonders brisant: Es gab keine Übergangsfrist. Seit dem Inkrafttreten gelten die Sicherheitsmaßnahmen und Meldepflichten sofort.
Das KRITIS-Dachgesetz wurde am 29. Januar 2026 vom Bundestag beschlossen und am 6. März 2026 vom Bundesrat bestätigt. Es setzt die europäische CER-Richtlinie (EU) 2022/2557 um und regelt erstmals die physische Resilienz Kritischer Infrastrukturen in Deutschland.
Während das NIS2-Gesetz auf IT-Sicherheit fokussiert, adressiert das Dachgesetz den Schutz vor physischen Bedrohungen: Naturkatastrophen, Sabotage, Terrorismus. Betreiber kritischer Anlagen müssen künftig Resilienzmaßnahmen umsetzen, Business-Continuity-Management betreiben und sich bis spätestens 17. Juli 2026 beim BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) registrieren.
Die BSI-Kritisverordnung bestimmt, welche Anlagen konkret als Kritische Infrastruktur gelten. Sie definiert die Sektoren, Anlagenkategorien und Schwellenwerte – quasi das technische Fundament der gesamten KRITIS-Regulierung. Die Verordnung wurde zuletzt Ende 2023 novelliert und um den Sektor Siedlungsabfallentsorgung erweitert.
Die Begriffe KRITIS und NIS2 werden häufig in einem Atemzug genannt, bezeichnen aber unterschiedliche Dinge. Eine saubere Abgrenzung ist für Betreiber entscheidend, weil sich daraus unterschiedliche Pflichten ergeben.
| Kriterium | KRITIS (klassisch) | NIS2 (ab 2025) |
|---|---|---|
| Rechtsgrundlage | BSI-Gesetz + BSI-KritisV | NIS2UmsuCG (BSIG-neu) |
| Betroffene | ca. 1.200 Betreiber / 2.100 Anlagen | ca. 29.000–30.000 Einrichtungen |
| Identifikation | Schwellenwerte (BSI-KritisV) | Unternehmensgröße + Sektorzugehörigkeit |
| Schwellenwerte | Anlagenspezifisch (z.B. 36 MW, 22 Mio. m³) | Ab 50 Mitarbeitende oder 10 Mio. € Umsatz |
| Fokus | Spezifische kritische Anlagen | Gesamte Geschäftsprozesse, End-to-End |
| Governance | Technische Sicherheitsmaßnahmen | Dokumentierte Governance + persönliche Haftung der Geschäftsführung |
| Prüfung | Nachweis alle 3 Jahre | Nachweispflicht + behördliche Stichproben |
| Bußgelder | Bis 2 Mio. € | Bis 10 Mio. € oder 2 % Jahresumsatz |
| Registrierung | Beim BSI | Beim BSI (Frist: 3 Monate nach Inkrafttreten) |
Der entscheidende Punkt: Die klassische KRITIS-Regulierung und NIS2 existieren parallel. KRITIS-Betreiber, die bisher schon reguliert waren, bleiben es weiterhin – tragen aber jetzt zusätzliche NIS2-Pflichten. Und tausende Unternehmen, die bisher nicht als KRITIS galten, fallen durch NIS2 erstmals unter regulatorische Anforderungen.
Das novellierte BSI-Gesetz kennt daher drei Kategorien betroffener Unternehmen:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichtsbehörde für die IT-Sicherheit Kritischer Infrastrukturen. Durch das NIS2-Umsetzungsgesetz wurden seine Befugnisse erheblich ausgeweitet. Der Bund hat die Schaffung von über 1.500 neuen Stellen beim BSI eingeplant, um die wachsenden Aufgaben bewältigen zu können.
Die Aufgaben des BSI im KRITIS-Kontext umfassen:
Betreiber kritischer Anlagen müssen sich erstmals auch beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Wer die Frist versäumt, riskiert Sanktionen nach dem KRITIS-Dachgesetz.
Die Kosten für die Umsetzung sind erheblich. Laut Schätzungen der Bundesregierung betragen die jährlichen Compliance-Kosten für die Wirtschaft rund 1,65 Milliarden Euro. Hinzu kommen einmalige Umstellungskosten von 1,37 Milliarden Euro und administrative Informationspflichten von 121 Millionen Euro pro Jahr. Diese Zahlen verdeutlichen: KRITIS-Compliance ist ein substanzielles Investitionsprogramm.
Ein Punkt, der viele Geschäftsführer aufschreckt: Die persönliche Haftung für Cybersicherheit ist unter NIS2 nicht delegierbar. Die Geschäftsleitung muss Risikomanagement-Maßnahmen genehmigen, deren Umsetzung überwachen und selbst an Schulungen teilnehmen. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Für wichtige Einrichtungen liegen die Grenzen bei 7 Millionen Euro oder 1,4 Prozent.
Wer sich mit der praktischen Umsetzung von NIS2 im Mittelstand auseinandersetzen möchte, findet in unserem Artikel zur NIS2-Beratung in Hamburg konkrete Handlungsempfehlungen.
Ob Ihr Unternehmen unter die KRITIS-Regulierung oder NIS2 fällt, lässt sich systematisch prüfen. Die folgende Checkliste führt Sie durch die relevanten Fragen.
☐ Sektorzugehörigkeit: Ist Ihr Unternehmen in einem der regulierten Sektoren tätig? (Energie, Wasser, Ernährung, Gesundheit, Transport, IT/TK, Finanzwesen, Abfallentsorgung, Weltraum)
☐ Schwellenwerte (KRITIS): Überschreitet Ihre Anlage die in der BSI-KritisV definierten Schwellenwerte für den jeweiligen Sektor?
☐ Unternehmensgröße (NIS2): Hat Ihr Unternehmen mindestens 50 Mitarbeitende oder einen Jahresumsatz von über 10 Mio. EUR?
☐ NIS2-Sektoren: Sind Sie in einem der erweiterten NIS2-Sektoren tätig? (zusätzlich: verarbeitendes Gewerbe, Chemie, Lebensmittel, Post/Kurier, digitale Dienste, Forschung, Abfallwirtschaft)
☐ Lieferkette: Sind Sie Zulieferer für Unternehmen, die unter KRITIS oder NIS2 fallen?
☐ Sonderfälle: Betreiben Sie qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste oder digitale Infrastruktur? (gilt unabhängig von der Größe)
☐ Registrierung: Haben Sie sich bereits beim BSI registriert? Ist eine Registrierung beim BBK erforderlich?
Die Stärke von OpenKRITIS liegt in der strukturierten Aufbereitung komplexer regulatorischer Anforderungen. Drei Bereiche stechen besonders hervor.
Viele Unternehmen haben bereits ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 oder nutzen den BSI-Grundschutz. Die Frage ist: Was davon erfüllt bereits die NIS2-Anforderungen? Und wo bestehen Lücken?
Das NIS2-Mapping von OpenKRITIS ordnet die einzelnen Anforderungen des NIS2-Umsetzungsgesetzes bestehenden Sicherheitsstandards zu. Konkret wird gemappt auf:
Dieses Mapping ist für Prüfer und Betreiber gleichermaßen wertvoll. Es zeigt, welche bestehenden Maßnahmen anerkannt werden und wo nachgebessert werden muss.
Die OpenKRITIS Summer School 2026 richtet sich an regulierte Unternehmen und bietet intensive Workshops zu Themen wie NIS2-Umsetzung, KRITIS-Regulierung, ISMS-Aufbau und Resilienz. Die Kurse finden in kleinen Gruppen im Rheinland statt und bieten einen praxisorientierten Einstieg.
Darüber hinaus veranstaltet OpenKRITIS alle zwei Monate ein Betreiberforum in Köln, bei dem sich regulierte Unternehmen über aktuelle Entwicklungen und praktische Herausforderungen austauschen können.
OpenKRITIS dokumentiert fortlaufend den aktuellen Stand der Gesetzgebung, veröffentlicht Analysen zu Gesetzesentwürfen und ordnet behördliche Anforderungen ein. Für viele Betreiber und deren Berater ist die Plattform das erste Nachschlagewerk, wenn es um Fristen, Registrierungspflichten oder Prüfungsanforderungen geht.
Die regulatorische Landschaft 2026 ist dicht getaktet. Hier die wichtigsten Termine im Überblick:
Die Frage lautet längst nicht mehr, ob Unternehmen in KRITIS-Compliance investieren, sondern wie viel. Die Sanktionsrahmen haben sich mit NIS2 dramatisch verschärft:
Neben den finanziellen Sanktionen drohen auch reputative Schäden. Das BSI kann bei schwerwiegenden Verstößen die Öffentlichkeit informieren. Und die persönliche Haftung der Geschäftsführung macht das Thema zur Chefsache.
Unternehmen, die noch keinen strukturierten Ansatz zur Cybersicherheit verfolgen, sollten dies zeitnah ändern. Unsere IT-Sicherheitsberatung in Hamburg unterstützt Sie dabei, die regulatorischen Anforderungen effizient umzusetzen.
Die Regulierungsdynamik wird nicht nachlassen. Auf europäischer Ebene steht bereits der Cyber Resilience Act (CRA) in den Startlöchern, der Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen definiert. Die EU-Kommission arbeitet zudem an einer Überarbeitung des Cybersecurity Act (CSA2), der die ENISA stärken und EU-weite Zertifizierungsschemata vorantreiben soll.
Für KRITIS-Betreiber bedeutet das: Die Anforderungen werden weiter steigen. Wer heute die Grundlagen legt – ein funktionierendes ISMS, dokumentierte Prozesse, geschulte Mitarbeitende – wird morgen deutlich weniger Aufwand haben, neue Anforderungen zu integrieren.
OpenKRITIS bleibt dabei eine zentrale Ressource, um die Entwicklungen zu verfolgen und die eigene Compliance-Strategie darauf auszurichten.
Die Anforderungen an Betreiber Kritischer Infrastrukturen sind komplex – und die Fristen laufen. Ob Registrierung beim BSI, Aufbau eines ISMS oder Vorbereitung auf behördliche Prüfungen: Wir unterstützen Sie bei der Umsetzung.
Betrifft NIS2 Ihr Unternehmen?
KRITIS-Betreiber und deren Zulieferer müssen handeln. Wir beraten Sie.
Jetzt NIS2-Beratung anfragen →OpenKRITIS ist eine unabhängige Informationsplattform zum Schutz Kritischer Infrastrukturen in Deutschland. Die Plattform wird von Paul Weissmann herausgegeben und durch die Insignals GmbH mit Sitz in Bonn betrieben. Sie bietet strukturierte Informationen zu KRITIS-Regulierung, NIS2 und dem KRITIS-Dachgesetz. OpenKRITIS ist keine Behörde und keine Software, sondern ein Wissensprojekt mit ergänzenden Beratungsangeboten.
Als Kritische Infrastruktur gelten Unternehmen, deren Anlagen die Schwellenwerte der BSI-Kritisverordnung überschreiten. Die Sektoren umfassen Energie, Wasser, Ernährung, Gesundheit, Transport, IT und Telekommunikation, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung. Der Grundsatz: Eine Anlage ist dann kritisch, wenn sie rechnerisch mindestens 500.000 Menschen versorgt. Zum Stichtag Ende 2025 waren rund 1.179 Betreiber mit 2.136 Anlagen beim BSI registriert.
KRITIS bezeichnet das bestehende deutsche Regelwerk für Betreiber Kritischer Infrastrukturen mit anlagenspezifischen Schwellenwerten. NIS2 ist die europäische Cybersicherheitsrichtlinie, deren deutsche Umsetzung (NIS2UmsuCG) seit Dezember 2025 gilt und den Kreis der regulierten Unternehmen auf rund 30.000 ausweitet. KRITIS-Betreiber unterliegen beiden Regelwerken gleichzeitig. NIS2 geht über KRITIS hinaus und verlangt dokumentierte Governance-Prozesse, persönliche Geschäftsführerhaftung und strengere Meldepflichten.
Das KRITIS-Dachgesetz (KRITISDachG) setzt die EU-Richtlinie (EU) 2022/2557 zur Resilienz kritischer Einrichtungen (CER-Richtlinie) in deutsches Recht um. Es wurde am 29. Januar 2026 vom Bundestag beschlossen und am 6. März 2026 vom Bundesrat bestätigt. Das Gesetz regelt erstmals die physische Resilienz Kritischer Infrastrukturen – also den Schutz vor Naturkatastrophen, Sabotage und Terrorismus. Betreiber kritischer Anlagen müssen sich bis zum 17. Juli 2026 beim BBK registrieren.
Die Sanktionen wurden mit NIS2 deutlich verschärft. Besonders wichtige Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen gelten Obergrenzen von 7 Millionen Euro oder 1,4 Prozent. Neu ist die persönliche Haftung der Geschäftsleitung, die nicht auf den IT-Leiter oder CISO delegiert werden kann. Zusätzlich kann das BSI bei schwerwiegenden Verstößen die Öffentlichkeit informieren.
Ja. Sowohl unter KRITIS als auch unter NIS2 gilt das Prinzip der Selbstidentifikation. Unternehmen müssen eigenständig prüfen, ob sie unter die Regulierung fallen, und sich innerhalb der gesetzlichen Fristen beim BSI registrieren. Das BSI-Meldeportal ist seit dem 6. Januar 2026 online. Wer unsicher ist, ob eine Betroffenheit vorliegt, sollte eine fachkundige Beratung in Anspruch nehmen. Unser externer Datenschutzbeauftragter in Hamburg unterstützt auch bei der Schnittstelle zwischen Datenschutz und Informationssicherheit.
Inhaltsverzeichnis
IT-Sicherheitsgesetz 3.0 seit 6.12.2025 in Kraft – ohne Übergangsfrist. Pflichten, Bußgelder bis 10 Mio. € → Prüfen Sie jetzt Ihre Betroffenheit.
WeiterlesenNIS-2-Richtlinie einfach erklärt: NIS2-Richtlinie zu Cybersicherheit und Informationssicherheit für Unternehmen. NIS 2 Pflichten, Sektoren, Meldepflichten und Umsetzung – was Sie jetzt wissen müssen.
WeiterlesenNeue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Branchenstandards Februar 2026 - Februar 2026: Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Bra
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
