Kritische Infrastrukturen (KRITIS): Schutz, Pflichten und betroffene Unternehmen

“Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“  - Bundesamt für Bevölkerungsschutz und Katastrophenhilfe 

Einfach ausgedrückt:

Kritische Infrastrukturen umfassen alle Güter, Dienstleistungen und Strukturen, die für das Gemeinwohl unserer Gesellschaft unverzichtbar sind. Gemeint sind damit nicht nur Stromnetze oder Wasserwerke – auch Krankenhäuser, Rechenzentren, Verkehrsleitsysteme, Logistikzentren und Kommunikationsnetze zählen dazu. Ein Ausfall dieser Unternehmen oder Systeme gilt als kritisch, da er erhebliche Folgen für die öffentliche Sicherheit, Gesundheit oder Versorgung der Bevölkerung haben kann. Fällt beispielsweise ein zentrales Rechenzentrum aus, stehen im schlimmsten Fall ganze Verwaltungsbereiche oder Zahlungsdienste still.

Der Schutz kritischer Infrastrukturen ist in mehreren rechtlichen Regelwerken verankert. Unternehmen, die in diesem Bereich tätig sind, unterliegen – je nach Branche, Größe und Relevanz – strengen Vorgaben. Folgende Gesetze und Verordnungen bilden den rechtlichen Rahmen für den Schutz kritischer Infrastrukturen in Deutschland: 
 

• KRITIS-Verordnung (BSI-KritisV): Legt Schwellenwerte und Branchen fest, ab wann ein Unternehmen als KRITIS gilt. Sobald diese Schwellen überschritten werden, gilt das Unternehmen als KRITIS-relevant – unabhängig davon, ob es öffentlich oder privatwirtschaftlich organisiert ist.
• IT-Sicherheitsgesetz: Verpflichtet KRITIS-Unternehmen zur Umsetzung von Mindeststandards im Bereich der Cybersicherheit.
• NIS-2-Richtlinie (ab Oktober 2024 in nationales Recht überführt): Weitet die Pflichten auf weitere Sektoren sowie mittelgroße Unternehmen aus.
• Geplantes KRITIS-Dachgesetz: Ergänzt erstmals Vorgaben zum physischen Schutz kritischer Anlagen, etwa durch Zugangskontrollen oder bauliche Sicherheitsmaßnahmen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Unternehmen umfangreiche Leitfäden, Hilfestellungen und Checklisten zur Verfügung, um die Umsetzung der gesetzlichen Anforderungen zu erleichtern. Auch der Bundesverband Kritische Infrastrukturen (BKI) informiert regelmäßig über neue Entwicklungen und praxisnahe Maßnahmenempfehlungen. 

Zudem unterstützt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) Betreiber kritischer Infrastrukturen mit Szenarien, Übungen und Handreichungen zur Katastrophenhilfe – etwa bei flächendeckenden Ausfällen, Naturereignissen oder hybriden Bedrohungslagen.

Je nach Branche und gesellschaftlicher Relevanz kann ein Unternehmen als KRITIS-Unternehmen eingestuft werden. Damit gehen spezifische Pflichten zur Absicherung sowie zur Meldung sicherheitsrelevanter Vorfälle einher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) benennt derzeit neun offizielle KRITIS-Sektoren: 

• Energie (Strom, Gas, Öl)
• Wasser (Trinkwasserversorgung, Abwasserentsorgung)
• Informationstechnik und Telekommunikation
• Gesundheit (Krankenhäuser, Labore, Pharma)
• Ernährung (Produktion, Verarbeitung, Handel)
• Transport und Verkehr (Schiene, Straße, Luft, Schifffahrt)
• Finanz- und Versicherungswesen
• Staat und Verwaltung (z. B. Polizei, Feuerwehr, Behörden)
• Medien und Kultur (Rundfunk, Presse, Kulturgutschutz)

Ergänzend wird aktuell diskutiert, auch die Siedlungsabfallentsorgung als weiteren KRITIS-Sektor zu berücksichtigen. 

Ob ein Unternehmen als KRITIS-Unternehmen gilt, ist eine entscheidende Frage, da damit gesetzliche Pflichten, technische Anforderungen und potenzielle Haftungsrisiken verbunden sind. Die Einstufung ergibt sich aus dem Zusammenspiel verschiedener Faktoren: Branche, Unternehmensgröße, Systemrelevanz und erbrachte Infrastrukturleistung. Im Zentrum steht dabei vor allem die Frage: Wer wird wie stark versorgt?  

• Anlagengröße bzw. Durchsatz
  Etwa die Megawatt-Leistung im Energiesektor, die Kubikmeterleistung bei Wasserwerken oder das Transaktionsvolumen bei Finanzdienstleistern.
• Versorgungsgrad
  Werden mehr als 500.000 Menschen mit Strom, Wasser, medizinischer Versorgung oder Kommunikationsdiensten beliefert?
• Zentrale Steuerungsfunktion
  Zum Beispiel Leitstellen, Netzwerke oder Plattformen, auf die andere Systeme angewiesen sind.

Je nach Branche gelten dabei unterschiedliche Schwellenwerte. Unternehmen, die knapp unterhalb dieser Grenzen liegen, sollten sich dennoch vorbereiten: Mit der Umsetzung der NIS-2-Richtlinie wird der Kreis der verpflichteten Organisationen deutlich erweitert. 

Ein häufig genutzter Richtwert lautet: Versorgt ein Unternehmen mehr als 500.000 Menschen mit kritischen Dienstleistungen, fällt es in der Regel unter die KRITIS-Regelung. 

Die gesetzlichen Vorgaben zum Schutz kritischer Infrastrukturen sind verbindlich. Unternehmen, die als KRITIS-Unternehmen eingestuft werden und die geforderten Maßnahmen nicht umsetzen, müssen mit spürbaren Konsequenzen rechnen. 

• Mit dem Inkrafttreten der NIS-2-Richtlinie und dem geplanten KRITIS-Dachgesetz verschärfen sich nicht nur die Anforderungen – auch der Sanktionsrahmen wird deutlich ausgeweitet. Hohe Geldstrafen, Fristsetzungen durch Aufsichtsbehörden und behördliche Anordnungen zählen künftig zum Standardrepertoire der Kontrollinstanzen.
• Besonders relevant für die Geschäftsführung: Die persönliche Haftung rückt stärker in den Fokus. Wer als Führungskraft nachweislich keine angemessenen Sicherheitsmaßnahmen trifft oder deren Umsetzung nicht ausreichend kontrolliert, kann im Schadensfall zivil- oder strafrechtlich zur Verantwortung gezogen werden. 

Kurz gesagt: Nicht zu handeln ist keine Option. Unternehmen sollten daher frühzeitig in IT-Sicherheit, Risikomanagement und Compliance investieren – um ihre Systeme ebenso zu schützen wie ihre Reputation. 

Kritische Infrastrukturen sind systemrelevant und benötigen daher besonderen Schutz. Ob Stromversorgung, digitale Kommunikation oder medizinische Betreuung: Unternehmen, die in diesen Bereichen tätig sind, tragen eine besondere Verantwortung. Je nach Einstufung unterliegen sie klar definierten gesetzlichen Pflichten. 

Die zentrale Aufgabe für KRITIS-Unternehmen lautet daher: unter allen Umständen funktionsfähig bleiben. 

Moderne IoT-Lösungen unterstützen dabei, kritische Systeme nicht nur zu überwachen, sondern gezielt zu schützen. Sie ermöglichen es, Risiken frühzeitig zu erkennen, Prozesse zu automatisieren und gesetzliche Anforderungen effizient zu erfüllen – mit weniger Aufwand und mehr Sicherheit.