Kritische Infrastrukturen (KRITIS): Schutz, Pflichten und betroffene Unternehmen

30.04.2025 by Annalena Rauen

Stromkraftwerk mit Strommasten im Hintergrund


 

Kritische Infrastrukturen (kurz: KRITIS) sichern grundlegende Funktionen unserer Gesellschaft – von Energieversorgung über medizinische Betreuung bis hin zu IT und Kommunikation.

Gleichzeitig sind diese Infrastrukturen vielfältigen Gefahren ausgesetzt: Cyberangriffe, technische Störungen, Naturkatastrophen oder menschliches Versagen können jederzeit zu weitreichenden Beeinträchtigungen führen. Um Ausfälle mit weitreichenden Folgen zu verhindern, hat der Gesetzgeber klare Vorgaben zum Schutz dieser Systeme definiert. In diesem Artikel erfahren Sie, was kritische Infrastrukturen sind, welche Branchen betroffen sind und wie Sie feststellen können, ob Ihr Unternehmen dazugehört.

Definition: Kritische Infrastruktur der Bundesregierung

“Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“  

- Bundesamt für Bevölkerungsschutz und Katastrophenhilfe 



Einfach ausgedrückt: Kritische Infrastrukturen umfassen alle Güter, Dienstleistungen und Strukturen, die für das Gemeinwohl unserer Gesellschaft unverzichtbar sind. Gemeint sind damit nicht nur Stromnetze oder Wasserwerke – auch Krankenhäuser, Rechenzentren, Verkehrsleitsysteme, Logistikzentren und Kommunikationsnetze zählen dazu. 

Ein Ausfall dieser Unternehmen oder Systeme gilt als kritisch, da er erhebliche Folgen für die öffentliche Sicherheit, Gesundheit oder Versorgung der Bevölkerung haben kann. Fällt beispielsweise ein zentrales Rechenzentrum aus, stehen im schlimmsten Fall ganze Verwaltungsbereiche oder Zahlungsdienste still.

Gesetzliche Grundlagen verstehen

Der Schutz kritischer Infrastrukturen ist in mehreren rechtlichen Regelwerken verankert. Unternehmen, die in diesem Bereich tätig sind, unterliegen – je nach Branche, Größe und Relevanz – strengen Vorgaben. 

Folgende Gesetze und Verordnungen bilden den rechtlichen Rahmen für den Schutz kritischer Infrastrukturen in Deutschland: 

  • KRITIS-Verordnung (BSI-KritisV): Legt Schwellenwerte und Branchen fest, ab wann ein Unternehmen als KRITIS gilt. Sobald diese Schwellen überschritten werden, gilt das Unternehmen als KRITIS-relevant – unabhängig davon, ob es öffentlich oder privatwirtschaftlich organisiert ist.

  • IT-Sicherheitsgesetz: Verpflichtet KRITIS-Unternehmen zur Umsetzung von Mindeststandards im Bereich der Cybersicherheit. 

  • NIS-2-Richtlinie (ab Oktober 2024 in nationales Recht überführt): Weitet die Pflichten auf weitere Sektoren sowie mittelgroße Unternehmen aus. 

  • Geplantes KRITIS-Dachgesetz: Ergänzt erstmals Vorgaben zum physischen Schutz kritischer Anlagen, etwa durch Zugangskontrollen oder bauliche Sicherheitsmaßnahmen. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Unternehmen umfangreiche Leitfäden, Hilfestellungen und Checklisten zur Verfügung, um die Umsetzung der gesetzlichen Anforderungen zu erleichtern. Auch der Bundesverband Kritische Infrastrukturen (BKI) informiert regelmäßig über neue Entwicklungen und praxisnahe Maßnahmenempfehlungen. 

Zudem unterstützt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) Betreiber kritischer Infrastrukturen mit Szenarien, Übungen und Handreichungen zur Katastrophenhilfe – etwa bei flächendeckenden Ausfällen, Naturereignissen oder hybriden Bedrohungslagen.

KRITIS-Sektoren laut KRITIS-Gesetz

Je nach Branche und gesellschaftlicher Relevanz kann ein Unternehmen als KRITIS-Unternehmen eingestuft werden. Damit gehen spezifische Pflichten zur Absicherung sowie zur Meldung sicherheitsrelevanter Vorfälle einher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) benennt derzeit neun offizielle KRITIS-Sektoren: 

  • Energie (Strom, Gas, Öl) 

  • Wasser (Trinkwasserversorgung, Abwasserentsorgung) 

  • Informationstechnik und Telekommunikation 

  • Gesundheit (Krankenhäuser, Labore, Pharma) 

  • Ernährung (Produktion, Verarbeitung, Handel) 

  • Transport und Verkehr (Schiene, Straße, Luft, Schifffahrt) 

  • Finanz- und Versicherungswesen 

  • Staat und Verwaltung (z. B. Polizei, Feuerwehr, Behörden) 

  • Medien und Kultur (Rundfunk, Presse, Kulturgutschutz) 

Ergänzend wird aktuell diskutiert, auch die Siedlungsabfallentsorgung als weiteren KRITIS-Sektor zu berücksichtigen. 

KRITIS-relevante Unternehmen: Typische Kriterien

Ob ein Unternehmen als KRITIS-Unternehmen gilt, ist eine entscheidende Frage, da damit gesetzliche Pflichten, technische Anforderungen und potenzielle Haftungsrisiken verbunden sind. Die Einstufung ergibt sich aus dem Zusammenspiel verschiedener Faktoren: Branche, Unternehmensgröße, Systemrelevanz und erbrachte Infrastrukturleistung. Im Zentrum steht dabei vor allem die Frage: Wer wird wie stark versorgt? 

Typische Kriterien für die KRITIS-Einstufung sind: 



Je nach Branche gelten dabei unterschiedliche Schwellenwerte. Unternehmen, die knapp unterhalb dieser Grenzen liegen, sollten sich dennoch vorbereiten: Mit der Umsetzung der NIS-2-Richtlinie wird der Kreis der verpflichteten Organisationen deutlich erweitert. 

Ein häufig genutzter Richtwert lautet: Versorgt ein Unternehmen mehr als 500.000 Menschen mit kritischen Dienstleistungen, fällt es in der Regel unter die KRITIS-Regelung. 

TIPP: Betroffenheitsprüfung durchführen

Um zu überprüfen, ob Ihr Unternehmen gemäß § 28 betroffen ist, bietet das BSI eine  NIS-2-Betroffenheitsprüfung  an. Diese unterstützt Sie dabei festzustellen, ob Ihr Unternehmen unter die neuen Vorgaben fällt – und welche Maßnahmen erforderlich sind.


 

Welche Folgen drohen bei Nichtbeachtung?

Die gesetzlichen Vorgaben zum Schutz kritischer Infrastrukturen sind verbindlich. Unternehmen, die als KRITIS-Unternehmen eingestuft werden und die geforderten Maßnahmen nicht umsetzen, müssen mit spürbaren Konsequenzen rechnen. 

  • Mit dem Inkrafttreten der NIS-2-Richtlinie und dem geplanten KRITIS-Dachgesetz verschärfen sich nicht nur die Anforderungen – auch der Sanktionsrahmen wird deutlich ausgeweitet. Hohe Geldstrafen, Fristsetzungen durch Aufsichtsbehörden und behördliche Anordnungen zählen künftig zum Standardrepertoire der Kontrollinstanzen. 
  • Besonders relevant für die Geschäftsführung: Die persönliche Haftung rückt stärker in den Fokus. Wer als Führungskraft nachweislich keine angemessenen Sicherheitsmaßnahmen trifft oder deren Umsetzung nicht ausreichend kontrolliert, kann im Schadensfall zivil- oder strafrechtlich zur Verantwortung gezogen werden. 

Kurz gesagt: Nicht zu handeln ist keine Option. Unternehmen sollten daher frühzeitig in IT-Sicherheit, Risikomanagement und Compliance investieren – um ihre Systeme ebenso zu schützen wie ihre Reputation. 

KRITIS-Unternehmen sollten jetzt ins Handeln kommen

Kritische Infrastrukturen sind systemrelevant und benötigen daher besonderen Schutz. Ob Stromversorgung, digitale Kommunikation oder medizinische Betreuung: Unternehmen, die in diesen Bereichen tätig sind, tragen eine besondere Verantwortung. Je nach Einstufung unterliegen sie klar definierten gesetzlichen Pflichten. 

Die zentrale Aufgabe für KRITIS-Unternehmen lautet daher: unter allen Umständen funktionsfähig bleiben

Moderne IoT-Lösungen unterstützen dabei, kritische Systeme nicht nur zu überwachen, sondern gezielt zu schützen. Sie ermöglichen es, Risiken frühzeitig zu erkennen, Prozesse zu automatisieren und gesetzliche Anforderungen effizient zu erfüllen – mit weniger Aufwand und mehr Sicherheit. 


 

Komplettlösungen für Ihr IoT-Projekt


Komplettlösungen für Ihr IoT-Projekt

Von der Beratung über IoT-Hardware, Vernetzung und Implementierung bis zur passenden Cloudanwendung und Analysetools: Dank unseres weltweiten Netzes und Partner-Ökosystems erhalten Sie bei uns Ende-zu-Ende-Lösungen aus einer Hand für Ihr IoT-Projekt.

Mehr zum IoT-Komplettpaket

Von der Beratung über IoT-Hardware, Vernetzung und Implementierung bis zur passenden Cloudanwendung und Analysetools: Dank unseres weltweiten Netzes und Partner-Ökosystems erhalten Sie bei uns Ende-zu-Ende-Lösungen aus einer Hand für Ihr IoT-Projekt.

Mehr zum IoT-Komplettpaket

Frau mit Laptop und Klemmbrett im Lager
Annalena Rauen
Annalena Rauen

Marketing Managerin IoT

2016 hat Anna erstmalig IoT-Themen bei der Deutschen Telekom begleitet. Seitdem betreut sie Kunden Use Cases unterschiedlichster Branchen – immer fokussiert auf den Nutzen, den das Internet of Things generieren kann. Im IoT-Blog beschreibt sie echte Anwendungsfälle und welchen Mehrwert diese Innovationen für die Marktakteure, deren Geschäftsmodelle oder gar ganze Branchen bieten.