Was passiert, wenn auf einmal kein Strom mehr fließt? Wenn Rettungsdienste nicht erreichbar sind? Oder wenn der Zugang zu sauberem Wasser ausfällt? Was klingt wie eine Dystopie, ist längst keine reine Theorie mehr. Cyberangriffe, Naturkatastrophen oder technische Störungen haben in den vergangenen Jahren gezeigt, wie schnell essentielle Dienste an ihre Belastungsgrenze geraten.

Der Schutz kritischer Infrastrukturen ist nicht nur Aufgabe einzelner Betreiber, sondern von gesamtgesellschaftlicher Bedeutung. Aber was genau bedeutet das? 

Das Wichtigste in Kürze

  • KRITIS, kurz für kritische Infrastruktur, umfasst alle Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Ihre Störung würde eine erhebliche Gefährdung der öffentlichen Sicherheit oder andere dramatische Folgen nach sich ziehen.
  • Kernpunkte:
    • Zehn Sektoren sind betroffen: Energie, Wasser, Ernährung, Informationstechnik/Telekommunikation, Gesundheit, Finanz-/Versicherungswesen, Transport/Verkehr, Medien/Kultur, Staat/Verwaltung sowie Siedlungsabfallentsorgung
    • Schwellenwerte entscheiden über den KRITIS-Status (oft ab 500.000 versorgten Personen)
    • Gesetzliche Pflichten umfassen IT-Sicherheitsmaßnahmen, KRITIS-Meldepflichten und Nachweisführung
    • Rechtsverordnung ermöglicht Bußgelder bei Verstößen 
    • Deadline-orientierte Umsetzung erforderlich

Was ist KRITIS?

Der Begriff KRITIS steht für kritische Infrastrukturen. „Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die […] von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“ (§2 Abs. 10 BSIG) 

KRITIS: Wer gehört dazu?

Die deutsche BSIG-KritisV (BSI-KRITIS-Verordnung) definiert, welche Anlagen oder Teile davon als Betreiber kritischer Infrastrukturen gelten. Das Bundesamt für Sicherheit in der Informationstechnik unterteilt kritische Infrastrukturen in zehn Sektoren:

  1. Energie (Erzeugung, Übertragung und Verteilung von Strom, Gas, Fernwärme, Mineralöl)
  2. Wasser und Abwasser (öffentliche Wasserversorgung und Abwasserentsorgung)
  3. Ernährung (Lebensmittelproduktion und -handel)
  4. Informationstechnik und Telekommunikation (Rechenzentren, Telekommunikationsnetze, Internet-Knoten)
  5. Gesundheit (Krankenhäuser, Rettungsdienste, Arzneimittelversorgung)
  6. Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen)
  7. Transport und Verkehr (Luftfahrt, Schienenverkehr, Binnenschifffahrt, Straßenverkehr)
  8. Staat und Verwaltung (Behörden, öffentliche Sicherheit)
  9. Medien und Kultur (Rundfunk, Presse)
  10. NEU: Siedlungsabfallentsorgung (Anlagen und Dienste der Abfallbeseitigung, ebenenübergreifende Abstimmung steht noch aus)

Ob eine Einrichtung als KRITIS-Unternehmen eingestuft wird, ist an Schwellenwerte gebunden. Sie können etwa an die Menge der versorgten Personen, die geographische Reichweite oder die Bedeutung für die öffentliche Ordnung geknüpft sein. Auch viele privatwirtschaftliche Firmen fallen unter den Begriff, etwa in der Energiewirtschaft, IT oder im Transport.

Warum KRITIS immer wichtiger wird

Unsere moderne Welt ist hochvernetzt und damit anfällig. Angesichts von Klimakrisen, geopolitischen Spannungen, Fachkräftemangel und zunehmender Cyber-Bedrohungen steigt das Risiko für Störungen kritischer Dienstleistungen kontinuierlich. Was früher als Ausnahme galt, ist heute ein realistisches Szenario: Hacker legen die Klinik-IT lahm, Starkregen setzt Umspannwerke außer Betrieb oder Lieferketten unterliegen Versorgungsengpässen.

Hinzu kommt, dass durch die Digitalisierung und Automatisierung vieler Systeme neue Abhängigkeiten entstehen und somit auch neue Angriffspunkte. Gerade im Zusammenspiel physischer und digitaler Strukturen steigt die Komplexität des Schutzes und damit auch die Anforderungen an KRITIS-Unternehmen.

Kritische Infrastrukturen resilient zu gestalten, heißt daher nicht nur, einzelne Anlagen abzusichern, sondern ganze Systeme zu durchdenken: 

  • Was passiert im Ernstfall? 
  • Wie schnell können Prozesse wieder anlaufen? 
  • Welche Redundanzen existieren? 
  • Und wie gut ist das Personal auf Notfälle vorbereitet?

Anforderungen an Unternehmen der KRITIS: Der gesetzliche Rahmen

Die wichtigsten KRITIS-Richtlinien und Regelwerke für KRITIS-Maßnahmen im Überblick:

  • das BSI-Gesetz (BSIG) und §8a BSI im Besonderen, definiert u. a. IT-Sicherheitsanforderungen für KRITIS-Betreiber
  • das IT-Sicherheitsgesetz 2.0, das seit 2021 strengere Meldepflichten für KRITIS und Mindeststandards vorschreibt
  • die EU-NIS2-Richtlinie, die ab 2025 mehr Branchen und Organisationen in die Pflicht nimmt (z. B. mittelgroße Versorger, Verwaltungen oder Rechenzentren)
  • das in Vorbereitung befindliche BMI-KRITIS-Dachgesetz, das erstmals sektorenübergreifend allgemeine Anforderungen an Resilienz und Risikomanagement formuliert

Die Vorschriften verfolgen das Ziel, KRITIS-Gefahren und Sicherheitslücken frühzeitig zu erkennen, robuste Strukturen aufzubauen und den Informationsaustausch zwischen Staat und Wirtschaft zu verbessern.

Eine detaillierte Übersicht inklusive KRITIS-Checkliste finden Sie in unserem Artikel zum aktuellen Stand des KRITIS-Dachgesetzes. Die kostenlose Checkliste können Sie auch hier als PDF downloaden: 

Jetzt Checkliste herunterladen

Was bedeutet das für Betreiber?

Für betroffene Einrichtungen bedeutet das vor allem, Verantwortung zu übernehmen. Die Identifikation als KRITIS-Betreiber ist nicht nur eine rechtliche Einstufung, sondern bringt konkrete Pflichten mit sich. Gleichzeitig ist sie eine Chance, die eigene Sicherheitskultur zu hinterfragen und zu verbessern.

Der erste Schritt ist eine systematische Risikoanalyse

  • Welche Prozesse sind besonders kritisch? 
  • Wo liegen Schwachstellen? 
  • Gibt es funktionierende Notfallprozesse? 
  • Wie sind Lieferanten eingebunden? 
  • Und wie schnell kann der Betrieb im Ernstfall wiederhergestellt werden?

Empfehlenswert ist die Einführung eines Informationssicherheitsmanagementsystems (ISMS). Auch regelmäßige Penetrationstests, Notfallübungen und Sensibilisierungsmaßnahmen für Mitarbeitende spielen eine zentrale Rolle.

Wichtig ist: KRITIS-Schutz ist kein einmaliges Projekt, sondern ein laufender Prozess, der sowohl Ressourcen als auch einen strategischen Blick erfordert.

Beispiele für kritische Infrastrukturen: Chancen & Risiken

Die dramatischen Auswirkungen eines Cyberangriffs zeigte 2020 der Vorfall an der Uniklinik Düsseldorf: Die Notaufnahme musste schließen, geplante Operationen fielen aus und ein Patient verstarb infolge der Umleitung. Auch Naturereignisse wie der Stromausfall in Berlin-Köpenick (2019) oder der Ausfall von Notrufnummern durch Softwarefehler machen deutlich, wie eng technische Zuverlässigkeit mit Sicherheit verknüpft ist.

Andererseits gibt es positive Beispiele: 

  • Energieversorger, die durch eigene CERTs (Computer Emergency Response Teams) rund um die Uhr auf Bedrohungen reagieren können
  • Rechenzentren mit ausfallsicherer Stromversorgung
  • Kommunen, die Notfallübungen und Szenario-Workshops durchführen, um Mitarbeitende auf Ernstfälle vorzubereiten

All das zeigt: Sicherheit ist machbar, wenn sie systematisch geplant wird.

Fazit

Die gesetzlichen Bestimmungen wachsen, aber mit ihnen auch die Möglichkeiten, Resilienz im Unternehmen zu stärken. Zum Beispiel durch klare Prozesse, technische Maßnahmen, gute Kommunikation und transparente Zusammenarbeit mit Behörden. Ob Krankenhaus, Stadtverwaltung oder IT-Dienstleister: Wer eine zentrale Rolle für das Funktionieren unserer Gesellschaft spielt, trägt Verantwortung. Denn KRITIS betrifft uns alle. Derjenige, der gut vorbereitet ist, schützt nicht nur sich selbst, sondern auch andere.

Jetzt ist der richtige Zeitpunkt, sich mit den eigenen Abhängigkeiten auseinanderzusetzen. Denn eines ist klar: In einer vernetzten Welt entscheidet Vorsorge über Stabilität.

Resiliente Unternehmen durch resiliente Menschen

MKT bietet dazu ein umfassendes Kursprogramm zur Krisenvorsorge an. Denn in Zeiten zunehmender Herausforderungen brauchen KRITIS-Unternehmen widerstandsfähige Teams und durchdachte Strategien.
Hier erfahren Sie mehr

 

Strategisches Gespräch vereinbaren

Sie sind unsicher, welcher Kurs der richtige für Sie ist? In einem persönlichen Beratungsgespräch analysieren wir gemeinsam Ihre Situation – unverbindlich und kostenfrei. So können Sie entscheiden, ob Sie einen umfassenden Workshop buchen möchten. 

Jetzt Termin vereinbaren

FAQ zu kritischer Infrastruktur

Was bedeutet der Begriff KRITIS?

KRITIS meint „kritische Infrastrukturen“. Also Organisationen und Systeme, deren Ausfall erhebliche Versorgungsengpässe oder Störungen der öffentlichen Sicherheit verursachen kann und die für das Gemeinwesen unverzichtbar sind. Beispiele für KRITIS-Sektoren und -Branchen sind Stromanbieter, Krankenhäuser, Wasserwerke und Telekommunikation. Auch Behörden wie das BSI und das BMI zählen als KRITIS.

KRITIS betrifft Betreiber in insgesamt 10 Sektoren: Energie, Wasser/Abwasser, Ernährung, Informationstechnik/Telekommunikation, Gesundheit, Finanz-/Versicherungswesen, Transport/Verkehr, Staat/Verwaltung, Medien/Kultur sowie Siedlungsabfallentsorgung. Sobald bestimmte Schwellenwerte überschritten werden, gelten diese Einrichtungen als besonders schutzwürdig. Entsprechend müssen sie gesetzliche Vorgaben der BSI-KRITISV erfüllen, etwa durch KRITIS-Schulungen, Sicherheitsmaßnahmen oder eine KRITIS-Zertifizierung.

Die sogenannte BSI-Kritisverordnung (BSI KRITISV), auch KRITIS-Verordnung genannt, konkretisiert die Vorgaben des BSI-Gesetzes. Sie legt fest, welche Einrichtungen als KRITIS gelten – basierend auf Schwellenwerten je nach Sektor. Sie regelt unter anderem Meldepflichten, technische Schutzmaßnahmen und organisatorische Anforderungen. Wer die Schwelle überschreitet, muss etwa einen Umsetzungsplan vorlegen, regelmäßige Audits durchlaufen und eine KRITIS-Zertifizierung erlangen. Die Verordnung ist ein zentrales Element im Schutz der nationalen Versorgungssicherheit.

Das KRITIS-Dachgesetz befindet sich derzeit in Vorbereitung; ein Datum des Inkrafttretens ist nicht bekannt. Die Eckpunkte des KRITIS-Dachgesetzes sehen erstmals eine sektorübergreifende Regelung vor, inklusive Anforderungen an Sicherheit, Vorsorge- und  Meldepflichten. Ziel ist es, die bisherigen Vorgaben zu bündeln und zu ergänzen. Unternehmen sollten einen KRITIS-Umsetzungsplan vorbereiten, um rechtzeitig reagieren zu können.