Volljurist und Compliance-Experte
21 Mar 2026
6 min
.svg)
KRITIS-Betreiber (ca. 1.800 Unternehmen) sind eine Teilmenge der NIS2-Betroffenen (ca. 30.000 Einrichtungen), nicht deren Gegenstück.
Das NIS2UmsuCG unterscheidet drei Kategorien: besonders wichtige Einrichtungen (bwE), wichtige Einrichtungen (wE) und Betreiber kritischer Anlagen.
Das KRITIS-Dachgesetz (Bundesrat-Beschluss 06.03.2026) regelt den physischen Schutz kritischer Anlagen und ergänzt das NIS2UmsuCG für die IT-Sicherheit.
KRITIS-Betreiber tragen doppelte Pflichten: NIS2-Anforderungen plus Systeme zur Angriffserkennung, Nachweispflicht alle 3 Jahre und Registrierung bei BSI und BBK.
NIS2 und KRITIS werden im Markt häufig synonym verwendet. Das ist falsch und führt zu Fehleinschätzungen bei der eigenen Betroffenheit. KRITIS bezeichnet Betreiber kritischer Anlagen, also rund 1.800 Unternehmen, die eine Versorgungsschwelle überschreiten. NIS2 erfasst alle besonders wichtigen und wichtigen Einrichtungen in Deutschland, also rund 30.000 Unternehmen. KRITIS-Betreiber sind dabei eine Teilmenge der NIS2-Betroffenen, nicht deren Gegenstück.
Seit dem 6. März 2026 kommt mit dem KRITIS-Dachgesetz eine weitere Regulierung hinzu, die ausschließlich KRITIS-Betreiber betrifft. Wer seine Einordnung falsch versteht, baut entweder zu viel oder zu wenig auf. Dieser Artikel erklärt die Unterschiede.
Das NIS2-Umsetzungsgesetz führt eine dreistufige Klassifizierung ein. Die Terminologie ist neu und ersetzt die alte Unterscheidung zwischen "KRITIS-Betreibern" und "allen anderen". Jede Kategorie bringt eigene Schwellenwerte, Sektoren und Aufsichtsmechanismen mit.
| Kriterium | Besonders wichtige Einrichtung (bwE) | Wichtige Einrichtung (wE) | Betreiber kritischer Anlagen |
|---|---|---|---|
| Schwellenwert | ≥250 Mitarbeiter oder >50 Mio. EUR Umsatz + >43 Mio. EUR Bilanz | ≥50 Mitarbeiter oder >10 Mio. EUR Umsatz + >10 Mio. EUR Bilanz | ≥500.000 versorgte Personen (BSI-KritisV) |
| Sektoren | Anlage 1 BSIG (8 Sektoren: Energie, Transport, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum, öffentl. Verwaltung) | Anlage 1 + 2 BSIG (18 Sektoren, inkl. Post, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe) | 10 KRITIS-Sektoren nach BSI-KritisV (inkl. Sozialversicherung) |
| Aufsicht | Proaktiv durch BSI (§61 BSIG) | Reaktiv, nur bei Anhältspunkten (§62 BSIG) | Proaktiv + Nachweispflicht alle 3 Jahre (§39 BSIG) |
| Bußgelder | Bis 10 Mio. EUR oder 2 % des Jahresumsatzes | Bis 7 Mio. EUR oder 1,4 % des Jahresumsatzes | Bis 10 Mio. EUR oder 2 % (als bwE eingestuft) |
| KRITIS-Dachgesetz | Nein | Nein | Ja (physischer Schutz + Registrierung beim BBK) |
Die zentrale Erkenntnis: Wer eine kritische Anlage betreibt, ist automatisch auch besonders wichtige Einrichtung (§28 Abs. 8 BSIG). Das bedeutet doppelte Pflichten, nicht eine Wahlmöglichkeit. Welche Sektoren und Unternehmensgrößen konkret unter NIS2 fallen, erklärt unser Artikel zur NIS2-Betroffenheit im Detail.
"Die größte Fehleinschätzung im Markt ist, dass NIS2 die alte KRITIS-Regulierung ersetzt. Das Gegenteil trifft zu: KRITIS-Betreiber haben jetzt mehr Pflichten als vorher, nicht weniger. Sie müssen NIS2 und das KRITIS-Dachgesetz parallel erfüllen."
Niklas Hanitsch, Gründer & Geschäftsfüherer bei SECJUR
In Deutschland regulieren seit 2026 zwei Gesetze parallel die Sicherheit kritischer Infrastrukturen. Das NIS2UmsuCG (in Kraft seit Dezember 2025) setzt die europäische NIS-2-Richtlinie um und regelt die IT-Sicherheit. Das KRITIS-Dachgesetz (vom Bundesrat am 6. März 2026 beschlossen) setzt die europäische CER-Richtlinie um und regelt den physischen Schutz: Sabotage, Naturkatastrophen, Lieferkettenausfälle.
Das NIS2UmsuCG betrifft alle drei Kategorien (bwE, wE, kritische Anlagen). Das KRITIS-Dachgesetz betrifft ausschließlich Betreiber kritischer Anlagen. Für KRITIS-Betreiber bedeutet das: zwei Registrierungen bei zwei Behörden. Die IT-Sicherheit melden sie beim BSI (bereits Pflicht). Den physischen Schutz melden sie beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Frist: 17. Juli 2026.
Den aktuellen Stand des NIS2-Umsetzungsgesetzes und alle relevanten Fristen haben wir separat aufbereitet.
Alle NIS2-Betroffenen (bwE und wE) müssen die Maßnahmen nach §30 BSIG umsetzen. Die konkreten Anforderungen, von der Risikoanalyse bis zur Multifaktor-Authentifizierung, erklärt unser Überblick zu den NIS2-Anforderungen. KRITIS-Betreiber müssen zusätzlich fünf weitere Pflichten erfüllen:
KRITIS-Betreiber müssen technische Systeme einsetzen, die Cyberangriffe erkennen und melden. Das geht über ein Standard-SIEM hinaus: Gefordert wird eine kontinuierliche Auswertung, die Bedrohungen in Echtzeit identifiziert. Für bwE und wE ohne KRITIS-Status ist das keine Pflicht.
§31 BSIG verlangt Maßnahmen, "die den Schutz der kritischen Anlage über das allgemeine Niveau hinaus gewährleisten". In der Praxis bedeutet das: Was für eine bwE als angemessen gilt, reicht für eine kritische Anlage nicht. Die Verhältnismäßigkeitsprüfung fällt strenger aus, weil ein Ausfall direkte Versorgungsfolgen für die Bevölkerung hat.
KRITIS-Betreiber müssen dem BSI regelmäßig nachweisen, dass ihre Sicherheitsmaßnahmen wirksam sind. Der Nachweis erfolgt durch Audits, Prüfungen oder Zertifizierungen in einem Dreijahreszyklus. Für bwE ohne KRITIS-Status gibt es keine regelmäßige Nachweispflicht. Das BSI kann dort anlassbezogen prüfen, muss es aber nicht.
Bei besonders wichtigen Einrichtungen (inkl. KRITIS) prüft das BSI proaktiv: Audits, Inspektionen, Anordnungen. Bei wichtigen Einrichtungen (wE) greift §62 BSIG: Die Aufsicht ist reaktiv. Das BSI wird dort erst aktiv, wenn es Hinweise auf Verstöße gibt. Für KRITIS-Betreiber bedeutet das eine höhere Prüfwahrscheinlichkeit. Welche persönlichen Haftungsrisiken für Geschäftsfüherer bestehen, erfahren Sie in unserem Artikel zur NIS2-Haftung.
Seit dem KRITIS-Dachgesetz müssen KRITIS-Betreiber sich bei zwei Behörden registrieren: beim BSI für die IT-Sicherheit (NIS2UmsuCG) und beim BBK für den physischen Schutz (KRITIS-DachG, Frist: 17. Juli 2026). Das ist neu. Vorher gab es nur die BSI-Registrierung.
Plattformen wie das Digital Compliance Office von SECJUR helfen Unternehmen, den Überblick über die verschiedenen Pflichtenkataloge zu behalten. Ob als bwE, wE oder KRITIS-Betreiber: Die Plattform bildet die jeweils geltenden Anforderungen ab und dokumentiert den Umsetzungsstand für den Nachweis gegenüber dem BSI.
Viele Unternehmen wissen, dass sie unter NIS2 fallen, sind aber unsicher, ob sie auch KRITIS-Betreiber sind. Die Einordnung folgt einer klaren Logik:
Betreiben Sie eine Anlage in einem der 10 KRITIS-Sektoren?
Die Sektoren sind: Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanz- und Versicherungswesen, Transport, Abfallentsorgung, Weltraum und Sozialversicherung. Wenn nein: kein KRITIS-Betreiber.
Überschreitet Ihre Anlage den Versorgungsschwellenwert?
Die BSI-KritisV definiert pro Sektor einen Schwellenwert, typischerweise 500.000 versorgte Personen. Wenn nein: kein KRITIS-Betreiber, aber möglicherweise bwE oder wE nach NIS2.
Wenn ja: Doppelte Pflichten
Sie sind KRITIS-Betreiber und automatisch auch besonders wichtige Einrichtung. Es gelten die NIS2-Pflichten nach §30 BSIG plus die KRITIS-Zusatzpflichten (§31, §39) plus das KRITIS-Dachgesetz (physischer Schutz, BBK-Registrierung).
Unsicher? BSI-Betroffenheitsprüfung nutzen
Das BSI stellt seit Januar 2026 ein offizielles Tool zur Betroffenheitsprüfung bereit. Unseren vollständigen Leitfaden zur NIS2-Betroffenheitsprüfung finden Sie hier.
Die Einordnung sollte dokumentiert werden, denn sie bestimmt den gesamten Pflichtenkatalog. Mit der Compliance-Plattform von SECJUR lässt sich diese Einordnung strukturiert festhalten und die passenden Maßnahmenkataloge ableiten, unabhängig davon, ob das Unternehmen als bwE, wE oder KRITIS-Betreiber eingestuft wird.
Die alte Welt war einfach: KRITIS-Betreiber oder nicht. Die neue Welt kennt drei Kategorien mit unterschiedlichen Pflichten, zwei parallele Gesetze und zwei Registrierungsbehörden. KRITIS-Betreiber tragen die höchste Last, weil sie NIS2 und KRITIS-Dachgesetz gleichzeitig erfüllen müssen. Für alle anderen NIS2-Betroffenen (bwE und wE) gelten die NIS2-Pflichten, aber nicht die KRITIS-Zusatzanforderungen.
Wer seine Einordnung kennt, kann gezielt aufbauen. Wer sie falsch einschätzt, investiert entweder zu viel oder steht bei der nächsten BSI-Prüfung ohne Nachweis da.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
NIS2 erfasst rund 30.000 Unternehmen in Deutschland als besonders wichtige oder wichtige Einrichtungen. KRITIS bezeichnet Betreiber kritischer Anlagen (ca. 1.800), die einen Versorgungsschwellenwert überschreiten. KRITIS-Betreiber sind automatisch auch besonders wichtige Einrichtungen nach NIS2 und müssen beide Pflichtenkataloge erfüllen.
Nein. KRITIS und NIS2 sind nicht dasselbe. Das NIS2UmsuCG regelt die IT-Sicherheit für alle betroffenen Einrichtungen. KRITIS-Betreiber haben zusätzlich Pflichten wie Systeme zur Angriffserkennung (§31 BSIG), Nachweispflichten alle drei Jahre und seit 2026 auch physische Schutzpflichten nach dem KRITIS-Dachgesetz.
Das KRITIS-Dachgesetz wurde am 6. März 2026 vom Bundesrat beschlossen und setzt die europäische CER-Richtlinie um. Es regelt den physischen Schutz kritischer Anlagen (Sabotage, Naturkatastrophen) und ergänzt das NIS2UmsuCG, das die IT-Sicherheit regelt. KRITIS-Betreiber müssen sich zusätzlich beim BBK registrieren (Frist: 17. Juli 2026).
KRITIS-Betreiber sind Unternehmen, die eine kritische Anlage in einem der 10 KRITIS-Sektoren betreiben und den Versorgungsschwellenwert überschreiten (typischerweise 500.000 versorgte Personen laut BSI-KritisV). Sie werden automatisch als besonders wichtige Einrichtung nach NIS2 eingestuft. SECJUR hilft Unternehmen, ihre Einordnung zu dokumentieren und die passenden Maßnahmen abzuleiten.
Müssen Sie sich in Ihrem Unternehmen mit einem Informationssicherheitsmanagementsystem (ISMS) beschäftigen? Dann wissen Sie: Den richtigen ISMS-Standard zu wählen ist nicht einfach. Wir gehen in diesem Artikel daher auf einige der bekanntesten Informationssicherheits-Standards und ihre Anwendungsbereiche sowie ihre Unterschiede zur ISO/IEC 27001 ein.
Der „Kontext der Organisation“ ist das Fundament jedes ISO 27001-Systems, doch viele Unternehmen tun sich mit seiner praktischen Umsetzung schwer. Dieser Leitfaden zeigt, wie Sie interne Faktoren wie Prozesse, Strukturen und Ressourcen sowie externe Einflüsse wie Markt, Regulierung und Technologie mit SWOT- und PESTEL-Analysen gezielt erfassen. So schaffen Sie ein klares Verständnis Ihres Umfelds, leiten fundierte Sicherheitsstrategien ab und stärken nachhaltig die Widerstandsfähigkeit Ihres Informationssicherheitsmanagements.
Regulatorische Sandboxen des EU AI Acts ermöglichen es Unternehmen, innovative KI-Systeme sicher unter realen Bedingungen zu testen, ohne Compliance-Risiken. Dieser Leitfaden zeigt, wie Sie Reallabore strategisch nutzen, um Hochrisiko-KI frühzeitig zu validieren, Rechtsklarheit zu gewinnen und kostspielige Nachbesserungen zu vermeiden. So machen Sie aus Regulierung einen Innovationsbeschleuniger und sichern sich einen deutlichen Wettbewerbsvorteil.
.svg)
.svg)
.svg){kind=small}