Was ist KRITIS?
by josheph bell
August 18, 2025
Das KRITIS-Dachgesetz ist eine deutsche Regulierung, die den Schutz sogenannter kritischer Infrastrukturen (KRITIS) sicherstellen soll. Diese Infrastrukturen sind essenziell für das Funktionieren von Staat, Wirtschaft und Gesellschaft. Ein Ausfall dieser Systeme hätte weitreichende Folgen für die öffentliche Sicherheit und Ordnung.
Das Gesetz wurde 2015 als Teil des IT-Sicherheitsgesetzes eingeführt und seitdem mehrfach überarbeitet. Mit der neuesten Novelle, bekannt als IT-Sicherheitsgesetz 2.0, wurden die Anforderungen weiter verschärft, um Unternehmen besser vor Cyberangriffen und Ausfällen zu schützen.
Angesichts der zunehmenden Bedrohung durch Cyberkriminalität, geopolitische Spannungen und technologische Abhängigkeiten spielt das KRITIS-Gesetz eine zentrale Rolle in der deutschen Sicherheitsarchitektur.
Die wichtigsten Inhalte des KRITIS-Gesetzes
Definition und Geltungsbereich
Das KRITIS-Dachgesetz definiert kritische Infrastrukturen als Organisationen und Einrichtungen, die von zentraler Bedeutung für das Gemeinwesen sind. Dazu gehören Sektoren wie Energieversorgung, Wasserversorgung, Gesundheitswesen, Telekommunikation, Transport und Finanzwesen. Unternehmen, die eine bestimmte Schwelle an Versorgungsleistung überschreiten, gelten als KRITIS-Betreiber und unterliegen besonderen Sicherheitsanforderungen.
Pflichten für KRITIS-Betreiber
Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen zur IT-Sicherheit ergreifen. Dazu gehört der Schutz vor Cyberangriffen, der Einsatz von Incident-Response-Systemen und die regelmäßige Überprüfung der eigenen Sicherheitsarchitektur. Zusätzlich müssen Meldepflichten eingehalten werden: IT-Sicherheitsvorfälle sind unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Strengere Vorgaben durch das IT-Sicherheitsgesetz 2.0
Mit der neuen Gesetzesnovelle wurden die Anforderungen verschärft. Neu eingeführt wurden unter anderem:
• Erweiterte Meldepflichten: Unternehmen müssen dem Bundesamt für Sicherheit in der Informationstechnik nicht nur erfolgreiche Cyberangriffe melden, sondern auch erhebliche IT-Sicherheitsbedrohungen, selbst wenn diese abgewehrt wurden.
• Einsatz von Angriffserkennungssystemen: KRITIS-Betreiber sind verpflichtet, Systeme zur Erkennung von Cyberangriffen einzusetzen, um Bedrohungen frühzeitig zu identifizieren.
• Kritische Komponenten und Herstellerprüfung: Bestimmte Hardware- und Software-Komponenten dürfen nur noch eingesetzt werden, wenn sie von vertrauenswürdigen Herstellern stammen.
Diese neuen Vorgaben sollen sicherstellen, dass kritische Infrastrukturen besser gegen moderne Cyberbedrohungen gewappnet sind.
Warum ist das KRITIS-Gesetz wichtig?
Schutz der nationalen Sicherheit
Kritische Infrastrukturen sind das Rückgrat einer funktionierenden Gesellschaft. Angriffe oder Ausfälle in diesen Bereichen könnten Chaos verursachen, etwa durch Stromausfälle, Störungen in der Wasserversorgung oder Angriffe auf medizinische Einrichtungen wie Krankenhäuser.
Reaktion auf steigende Cyberbedrohungen
Cyberkriminelle und staatlich gesteuerte Hackergruppen nehmen gezielt kritische Infrastrukturen ins Visier. Mit dem KRITIS-Gesetz soll die Widerstandsfähigkeit dieser Systeme gestärkt und die Reaktionsgeschwindigkeit bei Angriffen erhöht werden.
Anpassung an europäische Vorgaben
Das KRITIS-Gesetz setzt nationale und europäische Sicherheitsanforderungen um, darunter die NIS2-Richtlinie der EU. Durch eine strenge Regulierung soll Deutschland im internationalen Vergleich eine führende Rolle in der Cybersicherheit einnehmen.
Welche Unternehmen sind vom KRITIS-Gesetz betroffen?
Das Gesetz betrifft Unternehmen aus folgenden KRITIS-Sektoren:
- Energieversorgung (Strom-, Gas- und Kraftstofflieferanten)
- Wasserversorgung und Abwasserentsorgung
- Gesundheitswesen (Krankenhäuser, Labore, Arzneimittelversorgung)
- Informations- und Telekommunikationstechnologie (Internet-Provider, Mobilfunkanbieter, Rechenzentren)
- Transport und Verkehr (Flughäfen, Bahngesellschaften, Logistikzentren)
- Finanz- und Versicherungswesen (Banken, Zahlungsdienste)
- Ernährungssektor (Lebensmittelproduktion und -verteilung)
Unternehmen in diesen Bereichen müssen überprüfen, ob sie über der gesetzlich festgelegten Schwellenwertgrenze liegen. Falls ja, gelten sie als KRITIS-Betreiber und müssen die gesetzlichen Sicherheitsauflagen erfüllen.
Best Practices für Unternehmen zur Umsetzung des KRITIS-Gesetzes
Implementierung eines IT-Sicherheitsmanagements
Unternehmen sollten ein umfassendes IT-Sicherheitskonzept erstellen, das Bedrohungen identifiziert, Schutzmaßnahmen definiert und klare Prozesse für den Ernstfall festlegt.
Einsatz von Angriffserkennungssystemen
Ein zentrales Element des IT-Sicherheitsgesetzes 2.0 ist der Einsatz von Systemen zur Angriffserkennung. Unternehmen sollten moderne SIEM-Lösungen (Security Information and Event Management) nutzen, um Cyberangriffe in Echtzeit zu überwachen.
Erfüllung der Meldepflichten
KRITIS-Betreiber müssen Sicherheitsvorfälle unverzüglich dem BSI melden, insbesondere wenn eine kritische Anlage betroffen ist. Dafür sollte ein internes Incident-Response-Team aufgebaut werden, das klare Meldewege und Reaktionsstrategien definiert.
Überprüfung der Lieferkette
Die Sicherheit kritischer Infrastrukturen hängt nicht nur vom eigenen Unternehmen ab, sondern auch von externen Partnern. Deshalb sollten Unternehmen ihre Lieferketten regelmäßig auditieren und Sicherheitsstandards für Drittanbieter einführen.
Schulung und Sensibilisierung der Mitarbeiter
Cyberangriffe erfolgen oft durch Phishing oder Social Engineering. Regelmäßige Mitarbeiterschulungen können das Bewusstsein für Sicherheitsrisiken stärken und Angriffe frühzeitig erkennen lassen.
Herausforderungen bei der Umsetzung des KRITIS-Gesetzes
Hoher Umsetzungsaufwand für Unternehmen
Viele KRITIS-Betreiber müssen erhebliche Investitionen in ihre IT-Sicherheitsinfrastruktur tätigen, um die neuen gesetzlichen Anforderungen zu erfüllen und ihre Anlagen besser zu schützen. Dies kann insbesondere für kleinere Unternehmen eine finanzielle Belastung darstellen.
Zunehmende Bedrohung durch geopolitische Risiken
Durch internationale Konflikte steigt das Risiko gezielter Cyberangriffe auf kritische Infrastrukturen. Die Gesetzgebung muss daher ständig angepasst werden, um neue Bedrohungen abzuwehren.
Verzögerte gesetzliche Anpassungen
Obwohl das IT-Sicherheitsgesetz 2.0 bereits verabschiedet wurde, sind einige Details zur praktischen Umsetzung noch unklar. Unternehmen benötigen klare Richtlinien, um die Anforderungen effizient erfüllen zu können.
KRITIS-Gesetz:Absicherung kritischer Infrastruktur in Deutschland
Das KRITIS-Gesetz ist ein wesentlicher Bestandteil der deutschen Cybersicherheitsstrategie. Es stellt sicher, dass kritische Infrastrukturen widerstandsfähiger gegen Cyberbedrohungen werden und gesetzlich geregelte Sicherheitsstandards einhalten.
Für Unternehmen bedeutet dies jedoch eine verstärkte Verantwortung. Wer unter das Gesetz fällt, muss frühzeitig handeln, um die neuen Anforderungen umzusetzen. Dies umfasst den Einsatz moderner Angriffserkennungssysteme, die Einführung strenger IT-Sicherheitsmaßnahmen und die Schulung der Mitarbeiter.
Mit der stetigen Weiterentwicklung von Cyberbedrohungen wird sich auch das KRITIS-Gesetz weiterentwickeln. Unternehmen sollten daher nicht nur die aktuellen Anforderungen erfüllen, sondern sich auch auf zukünftige Sicherheitsstandards vorbereiten.