--- title: "KRITIS-Dachgesetz: Was sich für Betreiber kritischer Infrastruktur ändert" date: 2026-03-14T21:24:36+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/kritis-dachgesetz-was-sich-für-betreiber-kritischer-infrastruktur-ändert" section: "Entries: Articles" --- ### Was ist KRI­TIS? [\#](#was-ist-kritis "Was ist KRITIS?") **KRI­TIS = Kri­ti­sche Infrastruktur** Das sind Sys­te­me, deren Aus­fall oder Beein­träch­ti­gung ernst­haf­te Aus­wir­kun­gen auf die Ver­sor­gung der All­ge­mein­heit hat: **Tra­di­tio­nel­le Sektoren:** - Ener­gie (Strom, Gas, Heizung) - Wasser/​Abwasser - Nahrungsmittel/​Landwirtschaft - Gesund­heits­we­sen - Transport/​Verkehr - Finanz­we­sen - Tele­kom­mu­ni­ka­ti­on **Neue Sek­to­ren (KRI­TIS-Dach­ge­setz):** - Digi­ta­le Infra­struk­tur (Cloud, DNS, CDN) - Kri­ti­sche Fertigungsunternehmen - Che­mi­sche und bio­lo­gi­sche Industrie - Raum­fahrt und Satellitenverkehr --- ### KRI­TIS-Dach­ge­setz vs. NIS2UmsuCG: Unter­schie­de [\#](#kritis-dachgesetz-vs-nis2umsucg-unterschiede "KRITIS-Dachgesetz vs. NIS2UmsuCG: Unterschiede") AspektNIS2UmsuCGKRI­TIS-Dach­ge­setz\*\*Fokus\*\*IT-Sicher­heitPhy­si­sche + IT-Resilienz\*\*Gel­tung\*\*Wirt­schaft + (Tei­le der) öffent­li­che HandKRI­TIS-Betrei­ber (nur Bun­des­ebe­ne teils)\*\*Schwel­len­wer­te\*\*50+ MA, 10+ Mio. EUR UmsatzSek­tor-spe­zi­fisch (oft größer)\*\*Back­up-Anfor­de­run­gen\*\*Off­line-Back­upsOff­line-Back­ups + phy­si­sche Redundanz\*\*Audit\*\*Intern/​externBSI-Audit (oft verpflichtend)\*\*Mel­de­pflicht\*\*72h an BSI72h an BSI + Betrei­ber benachrichtigen\*\*Sank­tio­nen\*\*Buß­gel­der bis 10 Mio. EURBuß­gel­der bis 100 Mio. EUR (!)Die **Buß­gel­der sind dras­tisch höher** im KRI­TIS-Dach­ge­setz. Das zeigt die Prio­ri­tät der Bundesregierung. --- ### Neue Anfor­de­run­gen des KRI­TIS-Dach­ge­setz [\#](#neue-anforderungen-des-kritis-dachgesetz "Neue Anforderungen des KRITIS-Dachgesetz") #### 1. Phy­si­sche Resi­li­enz [\#](#1-physische-resilienz "1. Physische Resilienz") Das KRI­TIS-Dach­ge­setz ver­langt nicht nur IT-Sicher­heit, son­dern auch **phy­si­sche Robust­heit**: - **Red­un­dan­te Infra­struk­tur:** Sys­te­me soll­ten aus­fall­si­cher sein (z. B. meh­re­re Stromversorgungswege) - **Dezen­tra­li­sie­rung:** Kri­ti­sche Funk­tio­nen soll­ten nicht an einem Ort kon­zen­triert sein - **Not­fall­ver­sor­gung:** Back­up-Sys­te­me für Strom­aus­fall, Hoch­was­ser, etc. **Bei­spiel:** Ein Was­ser­werk muss nicht nur vor Cyber­at­ta­cken geschützt sein, son­dern auch phy­sisch resi­li­ent gegen Hoch­was­ser und ande­re Naturkatastrophen. #### 2. Hybrid-Betrieb (IT + Phy­sik) [\#](#2-hybrid-betrieb-it-physik "2. Hybrid-Betrieb (IT + Physik)") KRI­TIS-Sys­te­me sind oft **Hybrid-Sys­te­me** (Ope­ra­tio­nal Tech­no­lo­gy OT + IT): - **OT (Ope­ra­tio­nal Tech­no­lo­gy):** Phy­si­sche Steue­rung (z. B. Motor­steue­rung, Ventile) - **IT (Infor­ma­ti­on Tech­no­lo­gy):** Digi­ta­le Steue­rung, Datenverarbeitung Das KRI­TIS-Dach­ge­setz ver­langt, dass bei­de Ebe­nen geschützt sind. Ein Cyber­at­tack auf die IT-Steue­rung kann phy­si­sche Aus­wir­kun­gen haben (z. B. Stromausfall). #### 3. Sup­p­ly Chain Secu­ri­ty [\#](#3-supply-chain-security "3. Supply Chain Security") KRI­TIS-Betrei­ber müs­sen sicher­stel­len, dass auch ihre **Lie­fe­ran­ten und Ver­trags­part­ner** sicher sind: - Ver­trä­ge müs­sen IT-Sicher­heits-Klau­seln enthalten - Sup­pli­er müs­sen audi­tiert werden - Kri­ti­sche Kom­po­nen­ten müs­sen von ver­trau­ens­wür­di­gen Lie­fe­ran­ten stammen #### 4. Natio­na­le Cyber­si­cher­heits­stra­te­gie [\#](#4-nationale-cybersicherheitsstrategie "4. Nationale Cybersicherheitsstrategie") KRI­TIS-Betrei­ber sol­len sich an die **natio­na­le Cyber­si­cher­heits­stra­te­gie** hal­ten. Das bedeutet: - Zusam­men­ar­beit mit BSI (Infor­ma­tio­nen teilen) - Not­fall­übun­gen (Cyber-Drills) - Fähig­keit zur schnel­len Kom­mu­ni­ka­ti­on mit Behörden #### 5. Erwei­ter­te Audit-Pflich­ten [\#](#5-erweiterte-audit-pflichten "5. Erweiterte Audit-Pflichten") KRI­TIS-Betrei­ber müs­sen sich regel­mä­ßig von BSI-zuge­las­se­nen Audi­to­ren über­prü­fen lassen: - Audit-Fre­quenz: alle 2 Jah­re (teil­wei­se jährlich) - Kos­ten: oft 50.000 – 200.000 EUR pro Audit - Ergeb­nis: öffent­lich an BSI gemel­det (anony­mi­siert) --- ### Prak­ti­sche Kon­se­quen­zen für Betrei­ber [\#](#praktische-konsequenzen-f%C3%BCr-betreiber "Praktische Konsequenzen für Betreiber") #### Für Ener­gie­ver­sor­ger [\#](#f%C3%BCr-energieversorger "Für Energieversorger") **Neue Anfor­de­run­gen:** - Off­line-Back­ups für SCA­DA-Sys­te­me (Strom­netz-Steue­rung) - Phy­si­sche Iso­la­ti­on von kri­ti­schen Steu­er­zen­tren (fara­day cage, phy­si­sche Sicherheit) - Alter­na­ti­ve Strom­ver­sor­gung für Back­up-Sys­te­me (USV, Diesel-Generator) - Wie­der­her­stel­lungs-Tests 1x/​Jahr (mit Zeitmessung) **Bei­spiel-Sze­na­rio:** Ein Strom­aus­fall­s­ce­na­rio muss voll­stän­dig durch­spielt wer­den — inklu­si­ve, wie lan­ge es dau­ert, manu­ell den Betrieb wiederherzustellen. #### Für Tele­kom­mu­ni­ka­ti­on [\#](#f%C3%BCr-telekommunikation "Für Telekommunikation") **Neue Anfor­de­run­gen:** - Red­un­dan­te Netzwerk-Verbindungen - Dezen­tra­li­sier­te DNS-Auf­lö­sung (nicht nur ein Datencenter) - Off­line-Daten für kri­ti­sche Dienste - Not­funk (GSM-Back­bone muss auch ohne zen­tra­le IT funktionieren) #### Für Was­ser­wirt­schaft [\#](#f%C3%BCr-wasserwirtschaft "Für Wasserwirtschaft") **Neue Anfor­de­run­gen:** - Siche­re SCA­DA-Sys­te­me gegen Ransomware - Manu­el­le Schließ-Ven­ti­le (falls digi­ta­le Steue­rung ausfällt) - Was­ser-Lager­ka­pa­zi­tät (für mehr­tä­gi­gen Betrieb ohne Digitalisierung) - Off­line-Back­up der Behandlungs-Rezepturen --- ### Mel­de­pflich­ten und Behör­den-Zusam­men­ar­beit [\#](#meldepflichten-und-beh%C3%B6rden-zusammenarbeit "Meldepflichten und Behörden-Zusammenarbeit") #### Ver­pflich­te­te Mel­dun­gen an BSI [\#](#verpflichtete-meldungen-an-bsi "Verpflichtete Meldungen an BSI") **72h-Mel­dung bei Sicherheitsverstößen:** - Cyber­at­ta­cke auf KRITIS-Infrastruktur - Phy­si­scher Ein­bruch in Rechenzentrum - Per­so­nal­aus­fall von Schlüsselperson **Par­al­lel-Mel­dung an Betreiber:** - Ener­gie: Bun­des­netz­agen­tur (BNetzA) - Tele­kom­mu­ni­ka­ti­on: Bundesnetzagentur - Was­ser: Landesbehörde - Etc. #### BSI-Koope­ra­ti­on [\#](#bsi-kooperation "BSI-Kooperation") KRI­TIS-Betrei­ber sollten: - Regel­mä­ßig mit BSI kommunizieren - Infor­ma­ti­on über Bedro­hun­gen austauschen - Cyber-Drills mit­ein­an­der durchführen - Infor­ma­tio­nen über Angrei­fer tei­len (um gegen­sei­tig gewarnt zu sein) --- ### Finan­zi­el­le Aus­wir­kun­gen [\#](#finanzielle-auswirkungen "Finanzielle Auswirkungen") #### Imple­men­tie­rungs-Kos­ten [\#](#implementierungs-kosten "Implementierungs-Kosten") Für einen mit­tel­gro­ßen KRI­TIS-Betrei­ber (z. B. regio­na­les Stromversorgungsunternehmen): Maß­nah­meKos­ten\*\*Hard­ware Air Gap Backup\*\*60.000 – 150.000 EUR\*\*Phy­si­sche Sicher­heit (Sicher­heits­tü­ren, Kame­ras, etc.)\*\*50.000 – 200.000 EUR\*\*Netz­werk-Red­un­danz (Lei­tung, Switch, Router)\*\*100.000 – 500.000 EUR\*\*Cyber­si­cher­heits-Schu­lung (Mit­ar­bei­ter)\*\*10.000 – 30.000 EUR\*\*BSI-Audit (jähr­lich)\*\*50.000 – 150.000 EUR\*\*Not­fall-Übun­gen\*\*20.000 – 50.000 EUR/​Jahr\*\*Doku­men­ta­ti­on und Consulting\*\*30.000 – 80.000 EUR\*\*TOTAL über 3 Jahre\*\*\*\*500.000 – 1.500.000 EUR\*\*Das ist nicht tri­vi­al, aber nichts gegen den Scha­den eines Strom­aus­falls (100+ Mil­lio­nen EUR pro Tag). --- ### Ver­bin­dung zwi­schen NIS2 und KRI­TIS [\#](#verbindung-zwischen-nis2-und-kritis "Verbindung zwischen NIS2 und KRITIS") Für vie­le Betrei­ber gel­ten **bei­de Regel­wer­ke**: **Bei­spiel: Energieversorger** - **NIS2UmsuCG:** Weil > 50 MA und > 10 Mio. EUR Umsatz → ​“wesent­li­che Einrichtung” - **KRI­TIS-Dach­ge­setz:** Weil Ener­gie­ver­sor­gung = kri­ti­sche Infrastruktur **Prak­tisch bedeu­tet das:** - Sie müs­sen BEI­DE Com­pli­ance-Anfor­de­run­gen erfüllen - Die meis­ten Maß­nah­men über­lap­pen (Back­ups, Audit, Meldepflichten) - Aber KRI­TIS ist stren­ger (höhe­re Buß­gel­der, Audit-Häufigkeit) --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Bin ich betrof­fen, wenn ich Zulie­fe­rer eines KRI­TIS-Betrei­bers bin?** Mög­lich. Wenn Sie **kri­ti­sche Kom­po­nen­ten** lie­fern, kön­nen Sie regu­liert wer­den. Aber meist trifft es nur direk­te Betreiber. **Wie oft muss ich Audit durchführen?** Abhän­gig vom Sek­tor und Kri­ti­k­ali­tät: alle 2 Jah­re (Stan­dard) oder jähr­lich (bei kri­ti­schen Funktionen). **Kön­nen wir Cloud-Back­ups für KRI­TIS nutzen?** Nicht allein. Die Cloud muss als **sekun­dä­re Siche­rungs­ebe­ne** ange­se­hen wer­den. Der pri­mä­re Schutz muss off­line und phy­sisch iso­liert sein (Hard­ware Air Gap). **Was ist, wenn wir nicht kon­form sind?** Buß­gel­der bis 100 Mil­lio­nen EUR. Per­sön­li­che Haf­tung der Geschäfts­füh­rung ist auch mög­lich. Behör­den kön­nen kri­ti­sche Sys­te­me stilllegen. --- ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis)