Zu den kritischen Infrastrukturen gehören insbesondere:

• Energie
• Transport und Verkehr
• Finanzwesen
• Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende
• Gesundheitswesen
• Wasser
• Ernährung
• Informationstechnik und Telekommunikation
• Weltraum und
• Siedlungsabfallentsorgung

Nein.
Auch mittelständische Unternehmen können betroffen sein – insbesondere wenn sie:

• Teil kritischer Lieferketten sind
• zentrale Funktionen übernehmen
• systemrelevant für andere Organisationen sind

Der derzeitige Schwellenwert von 500.000 zu versorgenden Einwohnern kann auf Länderebene auf 150.000 Einwohner abgesenkt werden oder gar bei wichtiger Relevanz gänzlich entfallen.

Typische Anforderungen:

• Durchführung von Risikoanalysen
• Erstellung von Resilienzplänen
• Dokumentation von Maßnahmen
• Nachweis gegenüber Behörden
• Vorbereitung auf Krisensituationen
• Physische Schutzmaßnahmen gegen unbefugtes Eindringen Dritter auf die Liegenschaft des Betreibers
• Meldepflichten gegenüber dem BBK

Mögliche Folgen:

• aufsichtsrechtliche Maßnahmen
• Haftungsrisiken
• wirtschaftliche Schäden im Schadensfall
• Reputationsverlust

Die NIS2-Richtlinie ist eine europäische Vorgabe zur Cybersicherheit.
Sie richtet sich insbesondere an Unternehmen mit kritischen oder wichtigen digitalen Diensten und legt Anforderungen an IT-Sicherheit, Risikomanagement und Meldepflichten fest.
Das KRITIS-Dachgesetz hingegen ist die nationale Umsetzung mit erweitertem Fokus.
Es betrifft nicht nur IT-Sicherheit, sondern den ganzheitlichen Schutz kritischer Infrastrukturen, einschließlich:

• physischer Sicherheit
• organisatorischer Maßnahmen
• Resilienz von Prozessen und Strukturen

Kurz gesagt:

• NIS2: Fokus auf IT- und Cybersicherheit
• KRITIS-Dachgesetz: umfassender Ansatz für die gesamte Organisation

• Risikoanalyse: Identifikation und Bewertung von Risiken
• Risikomanagement: zusätzlich Steuerung und Umsetzung von Maßnahmen

• regelmäßig mindestens aller 4 Jahre oder
• bei wesentlichen Veränderungen und/oder Vorfällen
• bei neuen gesetzlichen Anforderungen

Typische Gründe:

• zu theoretisch
• nicht auf die Organisation angepasst
• unklare Zuständigkeiten
• fehlende Integration in den Alltag

Wenn es:

• verstanden wird
• im Alltag angewendet wird
• im Ernstfall funktioniert

• Systemausfälle
• Low Effort/High Impact-Angriffe (mit wenig Aufwand maximaler Schaden)
• Cyberangriffe
• organisatorische Schwächen
• fehlende Notfallstrukturen
• Abhängigkeiten von Dienstleistern

Resilienz beschreibt die Fähigkeit einer Organisation:

• Störungen zu verkraften
• schnell wieder handlungsfähig zu werden
• den Betrieb aufrechtzuerhalten

Je nach Organisation:

• erste Analyse: wenige Wochen
• vollständige Umsetzung: mehrere Monate

Nein, jedoch sind die gesetzlich festgelegten Zeiträume des KRITIS-DachG zu beachten.
Wichtig ist eine priorisierte Vorgehensweise, basierend auf den größten Risiken.

Das KRITIS-Dachgesetz sieht klare zeitliche Vorgaben für betroffene Betreiber vor.
Wichtige Fristen im Überblick:

• Selbstanzeige als KRITIS-Betreiber:
  zwischen dem 17.07.2026 und 17.10.2026
  (danach innerhalb von 3 Monaten nach Feststellung der Betroffenheit)
• Durchführung der Risikoanalyse:
  innerhalb von 9 Monaten nach der Selbstanzeige (inkl. Vorlage beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe – BBK)
• Umsetzung von Maßnahmen:
  bauliche, organisatorische und strukturelle Maßnahmen spätestens 10 Monate nach Abschluss der Risikoanalyse und Maßnahmenplanung
• Regelmäßige Risikoanalyse:
  mindestens alle 4 Jahre mit Vorlage beim BBK
• Meldung von Vorfällen:
  innerhalb von 24 Stunden an die zuständige Meldestelle des BBK
• Schulungen und Trainings:
  regelmäßige Unterweisungen und Übungen zur Stärkung der Resilienz (laufend)

Wer die gesetzlichen Fristen nicht einhält, riskiert:

• aufsichtsrechtliche Maßnahmen
• Bußgelder oder Sanktionen
• erhöhtes Haftungsrisiko im Schadensfall
• zusätzliche Prüfungen durch Behörden

Darüber hinaus steigt das operative Risiko, da notwendige Schutzmaßnahmen nicht rechtzeitig umgesetzt werden.