KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen zur Umsetzung von Cybersecurity, Governance und Prüfungen.
KRITIS und NIS2
- Die NIS2-Umsetzung in Deutschland
- Neues KRITIS-Dachgesetz für Resilienz
- Europa: Richtlinien EU NIS2 und EU RCE
- OpenKRITIS-School zu KRITIS und NIS2
- OpenKRITIS RSS-Feed, LinkedIn, News
Kritische Infrastrukturen
- Gesetze: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cybersecurity: Sicherheit im Betrieb
- Angriffserkennung: Systeme OH SzA
- Standards: Security für KRITIS und NIS2
NIS2 in Deutschland verkündet
Von Paul Weissmann am 5. Dezember 2025
Das NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und damit verkündet. Die NIS2-Umsetzung tritt nun nach jahrelanger Gesetzgebung endlich in Deutschland in Kraft, mit vielen geänderten Gesetzen wie dem neuen BSIG, EnWG und TKG.
In der deutschen NIS2-Umsetzung gibt es keine Übergangsfristen mehr für regulierte Unternehmen: Tausende Einrichtungen müssen sich identifizieren, registrieren und dann alle NIS2 Cybersecurity-Pflichten umsetzen – vom Risikomanagement über ISMS und Resilienz bis zu SSO und MFA.
| Pflicht | Kritische Anlagen | Einrichtungen |
|---|---|---|
| Geltungsbereich | Anlage | Unternehmen |
| Maßnahmen Risikomanagement §30 | * | ✓ |
| Höhere Maßstäbe für KRITIS §31 (1) | ✓ | |
| Besondere Maßnahmen SzA §31 (2) | ✓ | |
| Meldepflichten §32 | * | ✓ |
| Registrierung §33 §34 | ✓ | ✓ |
| Unterrichtungspflichten (Kunden) §35 | * | ✓ |
| Geschäftsleitung Umsetzung §38 | * | ✓ |
| Nachweise und Prüfungen §39 | ✓ | §61§62 |
Offen bleiben noch einige Folgeregelungen durch Gesetzgeber und Bundesverwaltung: Das KRITIS-Dachgesetz für mehr Resilienz und physische Sicherheit, tiefer angepasste KRITIS-Verordnung und noch notwendige Sicherheitsstandards und weitere IT-Sicherheitskataloge.
Das OpenKRITIS-Betreiberforum
Von Paul Weissmann am 2. Dezember 2025
Das OpenKRITIS Betreiberforum ist ein interaktives Austauschformat für regulierte Unternehmen, die gemeinsam Fragen rund um NIS2 und KRITIS und aktuelle Themen diskutieren wollen.
Das Ziel ist, von anderen Betreibern zu lernen – in einer Gruppe mit Gleichgesinnten. Dabei können eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Das Betreiberforum findet ab Februar 2026 alle zwei Monate in Köln mit Anmeldung pro Termin statt. Es richtet sich an direkt regulierte Einrichtungen in NIS2 und KRITIS. Vorwissen und aktives Einbringen sind erwünscht.
| ID | Schwerpunkt | Themen |
|---|---|---|
| Februar 2026 | NIS2-Programme |
|
| März 2026 | Prüfungen in NIS2 |
|
| Q2 2026 | BCM in NIS2 |
|
| Q2 2026 | Vorfälle und Sensorik |
|
| Q2-Q3 2026 | KRITIS-Dachgesetz |
|
| Q2-Q3 2026 | Kritische Komponenten |
|
Cyber Resilience Act: EU CRA
Von Henri Jäger am 1. Dezember 2025
Der EU Cyber Resilience Act (EU CRA) schafft in der EU einen einheitlichen Rechtsrahmen für Cybersicherheit von Produkten mit digitalen Elementen. Mit CRA werden Hersteller zur sicheren Entwicklung von digitalen Produkten und zum Support über den gesamten Lebenszyklus für Cybersicherheit dieser Produkte verpflichtet.
EU CRA wurde im Oktober 2024 vom Europäischen Rat verabschiedet und tritt in Stufen bis Dezember 2027 in kraft. EU CRA kann als Ergänzung zur EU NIS2 Richtlinie gesehen werden, welche umfassende Anforderungen an Cybersecurity bei Betreibern in der EU macht, jedoch keine Anforderungen an Sicherheit von Produkten enthält. Dies soll der CRA ergänzen.
Hersteller regulierter Produkte müssen Cybersecurity-Pflichten umsetzen, Cybersecurity-Risiken bewerten und viel dokumentieren und bewerten (lassen). Regulierte Unternehmen und Betreiber nach NIS2 und KRITIS sind indirekt von CRA betroffen – bei der Beschaffung regulierter Produkten und Überschneidungen mit kritischen Komponenten.
| Gruppe | CRA | Anforderung | |
|---|---|---|---|
| Produkte | Annex I Part I | Cybersecurity in Produkten | |
| Hersteller | Art. 13 Art. 14 Annex I Part II Art. 31 Annex VII |
Cybersecurity bei Herstellern Meldepflichten Schwachstellenmanagement Technische Dokumentation Detaillierte Technische Dokumentation |
|
| Einfuhr und Handel | Art. 19 Art. 20 |
Pflichten in der Einfuhr Pflichten im Handel |
|
| Konformität | Art. 32 Annex VIII Art. 28 |
Konformitätsbewertung Bewertungsschema (Modul A, B, C, H) Konformitätserklärung |
|
| Betreiber und Einrichtungen |
- §41 BSIG-E Art. 8 (2) |
Einkauf und Beschaffung Kritische Komponenten Kritische Produkte |
NIS2 und KRITIS bis Ende 2025
Von Paul Weissmann am 27. November 2025
Das NIS2-Umsetzungsgesetz hat mittlerweile Bundestag und Bundesrat passiert und wird wohl Ende 2025 verkündet – mit sehr baldigem Inkrafttreten. Nach der de-facto Übergangsphase seit Oktober 2024 kommt auf regulierte Unternehmen ab Ende 2025 einiges zu – vieles davon sehr bald.
- In der NIS2-Umsetzung gibt es keine Übergangsfristen: Für Tausende Unternehmen gilt es zu identifizieren, registrieren (3 Monate) und dann alle NIS2 Cybersecurity-Pflichten.
- Das KRITIS-Dachgesetz naht auch. Für Betreiber kritischer Anlagen (KRITIS) kommen dann noch detailliertere Resilienz und physische Schutzmaßnahmen dazu.
- Der Energiesektor darf noch auf neue IT-Sicherheitskataloge der BNetzA warten: Anpassung an NIS2, Integration KRITIS-Dachgesetz, Nachweise sowie kritische Komponenten.
- Für Cloudbetreiber und IT-Provider gilt zusätzlich der Implementing Act der EU mit genauen NIS2-Vorgaben und Meldepflichten.
- KRITIS-Anlagen und Schwellenwerte werden in neuen KRITIS-Verordnungen noch angepasst. Die Sektoren eigentlich auch, aber in welche Richtung die Änderungen gehen – noch offen.
- Die EU hat beim Vertragsverletzungsverfahren und der Notifizierung der Gesetze mitzureden. Und andere EU-Länder und deren Unternehmen warten, dass es endlich ein belastbares Gesetz gibt.
Es bleibt viel zu tun!
NIS2 im Bundestag angenommen
Von Paul Weissmann am 13. November 2025
Der Bundestag hat am 13. November 2025 die finale Version der deutschen NIS2-Umsetzung (21/2782) angenommen. Damit geht eine lange Wartezeit und Periode der Gesetzgebung zu Ende – mehr als ein Jahr nach EU-Frist zur nationalen NIS2-Umsetzung. NIS2 wird damit hoffentlich Ende 2025 oder Anfang 2026 in Kraft treten.
Die Änderungen der letzten Gesetzesentwürfe und Änderungsanträge waren für die regulierte Wirtschaft überschaubar – Cybersicherheit und Betroffenheit wird wie seit spätestens 2024 bekannt. Es bleibt bei flächendeckender Betroffenheit der Wirtschaft (über 30 Tsd. Unternehmen) und großen Auswirkungen innerhalb regulierter Unternehmen.
Unternehmen müssen sich nun zeitnah identifizieren, bei den Behörden registrieren und notwendige Cybersecurity- und Resilienzmaßnahmen umsetzen. Änderungen ergaben sich bei kritischen Komponenten, offene Fragen bleiben bei vernachlässigbaren Tätigkeiten, der KRITIS-Verordnung sowie dem KRITIS-Dachgesetz für Resilienz und physische Sicherheit, was (auch) überfällig ist.
KRITIS in Zahlen – Reifegrade Herbst 2025
Von Paul Weissmann am 16. August 2025
Neue KRITIS in Zahlen vom BSI aus dem Herbst 2025 – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden mit Stand September 2025 aktualisiert: nur wenig Änderungen, aber einige Abmeldungen.
Mitte 2025 gab es 1.209 Betreiber (Dopplungen möglich) mit 2.135 KRITIS-Anlagen mit nur leicht veränderten Reifegraden im ISMS, BCMS und SzA. Einige Verschiebungen der Reifegrade im Sektor Gesundheit und Abmeldung von vielen Reifegraden im Sektor Finanzen, wohl durch DORA. Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben.
Stand der NIS2-Umsetzung im Herbst 2025
Von Paul Weissmann am 17. Oktober 2025
In die Umsetzung von NIS2 in Deutschland ist im Herbst 2025 Bewegung gekommen. Nach langem Warten ging das NIS2-Umsetzungsgesetz im Sommer aus dem Bundeskabinett in die Gesetzgebung, die sich nach der Sommerpause im Bundestag und Bundesrat fortsetzt.
- Gesetz: Die NIS2-Umsetzung wurde seit 2024 im Bundeskabinett (Regierungsentwurf) und Bundestag (21/1501) nur noch sehr wenig geändert.
- Sachverständige: In der öffentlichen Anhörung im Bundestag äußerten Sachverständige Mitte Oktober Kritik an der NIS2-Umsetzung (hib 507/2025).
- Stellungnahmen: Der Bundesrat nahm im Oktober kritisch Stellung zu Regelungen der NIS2-Umsetzung (369/1/25), gefolgt von einer Gegenäßerung der Bundesregierung (21/2072).
- Inkrafttreten: Es ist nicht unwahrscheinlich, dass die NIS2-Umsetzung mit nur noch wenig materiellen Änderungen Ende 2025 oder Anfang 2026 in Kraft tritt.
Die Umsetzung vom KRITIS-Dachgesetz scheint unklarer – das Gesetz selbst wirkt in den Versionen seit 2024 noch unausgegoren(er) mit wenig Änderungen der aktuellen Regierung und ebenso wenig Diskussionen zur Gesetzgebung.
Weiterhin offen verbleiben auch noch: eine neue KRITIS-Verordnung, welche Anlagen für NIS2 und KRITIS-Dachgesetz anpasst und harmonisiert und viele Kataloge und Vorgaben von BSI und BNetzA für die Umsetzung bei Betreibern, Sektoren (IT-Sicherheitskataloge Energie und TK) und Prüfungen.
Es gleibt spannend – die vielen regulatorische Änderungen ab Anfang 2026 sind absehbar.
Geltungsbereich für NIS2 und KRITIS
Von Hanna Lurz am 10. Oktober 2025
Der Geltungsbereich regulierter Unternehmen definiert und beschreibt den regulierten Bereich mit den notwendigen Prozessen und IT/OT. NIS2 erweitert den Geltungsbereich in betroffenen Unternehmen gegenüber KRITIS deutlich. Zukünftig fallen große Teile von Unternehmen unter die Regulierung.
Es gibt mehrere Geltungsbereiche je nach Betroffenheit als reguliertes Unternehmen:
- Betreiber kritischer Anlagen (KRITIS) mit definierten Anlagen über Schwellenwert. Dort sind die Anlage (KRITIS) und kritische Dienstleistung (kDL) mit Prozessen und IT im Scope.
- NIS2-Einrichtung als ganze Legaleinheiten nach Unternehmensgröße. Geltungsbereich ist das ganze Unternehmen als Legaleinheit mit
sämtlichen Aktivitäten
und praktisch der ganzen IT
In den verschiedenen Scopes im Geltungsbereich gelten dann, je nach genauem Sektor und Unternehmensart, verschiedene NIS2- und KRITIS-Vorgaben:
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Einrichtung | ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Kritische Anlage wenn vorhanden |
Systeme, Komponenten und Prozesse der kritischen Dienstleistung (Anlage) |
NIS2 und KRITIS-Anforderungen §30§31§32§33§35§38§39 Resilienz-Anforderungen KRITIS-DachG |
Der Geltungsbereich muss von regulierten Einrichtungen und Betreibern selbst im Detail definiert und in einem Geltungsbereichsdokument beschrieben werden.
Kritische Komponenten im Energiesektor: 5G-Moment?
Von Jakob Nischan am 30. September 2025
Die Umsetzung von NIS2 in Deutschland schafft mit §41 BSIG-E eine sektorübergreifende Generalklausel für kritische Komponenten und löst die Debatte aus dem 5G-Kontext der Telekommunikation. Im Energiesektor treffen erweiterte Pflichten und unklare Betroffenheit auf ein anderes Marktumfeld als im TK-Bereich mit dezentraleren Akteuren, Sicherheitsanforderungen und langen Investitionszyklen.
Für den Energiesektor rücken dadurch Beschaffung, Haftung und Planungssicherheit mehr in den Fokus. Das Editorial Kritische Komponenten im Energiesektor: 5G-Moment? fasst die Ergebnisse einer Forschungsarbeit von Jakob Nischan (2025) zusammen und beantwortet die Frage, ob mit NIS2 in kritischen Komponenten ein neuer 5G-Moment bevorsteht.
Im Rahmen einer Forschungsarbeit haben wir untersucht, wie Betreiber und Hersteller auf die veränderte Gesetzeslage reagieren. Im Mittelpunkt stand die Untersuchung, wie vormals apolitische oder technische Fragen zunehmend durch die Linse (nationaler) Sicherheit betrachtet werden, sodass die Trennlinie zwischen technischer Debatte und sicherheitspolitischen Logiken verwischt.
Anders als Staaten, die mit unternehmensbezogenen Ansätzen den Marktzugang ausländischer Technologieanbieter beschränken (z. B. durch Blacklists), erlaubt das deutsche Recht Eingriffe auf Ebene einzelner Hardware- oder Softwarekomponenten, sofern diese für den sicheren Betrieb Kritischer Infrastrukturen wesentlich sind. Mehr im Editorial zu Kritischen Komponenten im Energiesektor.
OpenKRITIS Winter School 2025-2026
Von Paul Weissmann am 17. September 2025
Kompaktes Schulungsprogramm mit OpenKRITIS – Sicherheit und Resilienz für regulierte Einrichtungen in der OpenKRITIS Winter School 2025-2026 ab November 2025. Nach den beliebten Durchläufen in 2024 und 2025 nun die dritte Winter School mit vier kompakten Schulungen.
Die Winter School richtet sich mit intensiven Kurzworkshops an Verantwortliche bei regulierten Einrichtungen für NIS2, KRITIS und EnWG, die eine Einordnung und Erfahrungen in der Umsetzung von ISMS und BCMS suchen. In zwei Online und zwei Vor-Ort Terminen im Rheinland liegt der Schwerpunkt auf Interaktion und vielen Fragen aus dem Plenum.
| ID | Thema | Plätze | Termin |
|---|---|---|---|
| W26.1 | NIS2 und KRITIS-Betroffenheit – und nun? Roadmap zu NIS2 für regulierte Einrichtungen mit Erfahrung. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten. |
8 | 6. November 2025 9:30-12:30 online |
| W26.2 | Bootcamp NIS2 und KRITIS: ISMS und Resilienz OpenKRITIS x 3-Core Dieses eintägige Bootcamp richtet sich an regulierte Unternehmen, die in KRITIS und NIS2 vor den Herausforderungen eines integrierten ISMS, BCMS und physischen Schutzanforderungen stehen. |
12 | 20. November 2025 9:30-15:30 Bonn |
| W26.3 | NIS2 im Energiesektor: BSI, BNetzA & EnWG Mit NIS2 bleibt mehrfache Regulierung im Energiesektor erhalten. Betreiber von Netzen und Anlagen fallen neben KRITIS und NIS2 unter EnWG und viele neue BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor. |
8 | 22. Januar 2026 10:00-16:00 Köln |
| W26.4 | NIS2 und KRITIS für Studierende Ein Einstieg in Kritische Infrastrukturen. Grundlagen von NIS2 und KRITIS in Deutschland und der EU, Diskussion der Ziele staatlicher Regulierung Kritischer Infrastrukturen. Einblick in die praktische Umsetzung in der Wirtschaft. Offen für alle Fachrichtungen. |
8 | 7. Januar 2026 10:00-13:00 online |
KRITIS-Dachgesetz: Neuer Entwurf August 2025
Von Paul Weissmann am 1. September 2025
Das Innenministerium hat einen neuen Entwurf des KRITIS-Dachgesetzes veröffentlicht. Dieser Referentenentwurf des KRITIS-DachG von August 2025 ist sehr ähnlich zum Entwurf der vorigen Bundesregierung aus November 2024. Geregelt werden für Betreiber kritischer Anlagen Resilienz und physische Sicherheit. Das KRITIS-Dachgesetz könnte bis Ende 2025 oder Anfang 2026 in Kraft treten.
Die Änderungen im KRITIS-Dachgesetzes gegenüber 2024 sind minimal:
- Kosmetische Anpassungen (Ministerien, Definitionen)
- Jederzeit erreichbare Kontaktstelle
- Öffentliche Branchenstandards (B3S)
- IP-Adressbereiche bei Registrierung
Einiges bleibt noch offen bis zur Verkündung: Definitionen aller kritischer Sektoren, Dienstleistungen und zuständigen Behörden auf Bundesebene (zusätzlich zu Ländern). Ebenso eine Konkretisierung der Resilienzvorgaben in Resilienz- und Branchenstandards (B3S).
Neue Orientierungshilfe zu Nachweisen (OH-N)
Von Paul Weissmann am 21. August 2025
Ablauf Prüfung nach OH-N, Quelle BSI © 2025
Das BSI hat die Orientierungshilfe zu Nachweisen (OH-N) im Sommer überarbeitet. Die OH-N beschreibt aus BSI-Sicht Abläufe und Mindestanforderungen an KRITIS-Nachweisprüfungen und liegt jetzt in einer neuen Version online beim BSI vor.
Das vormalige PDF-Dokument OH-N ist nun direkt in einer Online-Version auf den BSI-Webseiten erreichbar, und beschreibt die für Betreiber und Prüfer wichtigen Erwartungen an KRITIS-Prüfungen aus Sicht des BSI. Die Orientierungshilfe beantwortet dabei auch viele Fragen von Prüfern und Betreiber für den gemeinsamen Ablauf von Prüfungen.
- Prozess zur Einreichung von Nachweisen
- Ablauf und Aufgaben in der Prüfung
- Nachweise und Mängel
- Glossar und diverse Anlagen
Auch mit der NIS2-Umsetzung bleiben Nachweisprüfungen erhalten – für die Betreiber kritischer Anlagen, ehemals KRITIS-Betreiber. Die genauen Vorgaben für die neuen §39 BSIG-E Prüfungen müssen noch konkretisiert werden, orientieren sich aber sicherlich an den bisherigen §8a BSIG-Prüfungen.