KRITIS-Dachgesetz im Bundesrat am 6. März
Von Paul Weissmann am 27. Februar 2026
Das KRITIS-Dachgesetz ist am 6. März 2026 auf der Tagesordnung des Bundesrates. Eigentlich als Formalie gedacht, gibt es vorab erneut Klärungs- und Änderungswünsche – die anstatt einer Annahme (und baldigen Verkündung) einen Vermittlungsausschuss wahrscheinlich machen.
Das KRITIS-Dachgesetz tritt damit nicht kurzfristig in Kraft. Die verschiedenen Empfehlungen (81/1/26) des Bundesrats würden jedoch nochmalige Änderungen am Gesetz nach sich ziehen:
- Senkung der (KRITIS) Schwellenwerte von 500 Tsd. auf 150 Tsd. versorgte Personen
- Unklarheiten bei Betreiberpflichten und Rechtsverordnungen
- Unklarheiten bei Einbindung und Zustimmungspflichten der Ministerien und Länder
- Fehlende Sektoren Staat und Verwaltung sowie Medien und Kultur
- Aufgliederung der Aufsicht für Eisenbahn zwischen EBA und Ländern
- Umgehende Vorlage der (diversen) Rechtsverordnungen
Welche Möglichkeiten in der Überarbeitung der Vorgaben in der Gesetzgebung bleiben, ist unklar.
Das KRITIS-Dachgesetz ist deutlich überfällig – die Umsetzungsfrist der EU CER-Richtlinie war im Oktober 2024. Daneben ist auch noch eine neue KRITIS-Verordnung ausstehend, um die Sektor- und Anlagendefinitionen aus KRITIS, NIS2 und KRITIS-Dachgesetz zu vereinheitlichen.
Registrierungen unter NIS2 und KRITIS
Von Paul Weissmann am 26. Februar 2026
Regulierte Unternehmen müssen sich unter NIS2 als Einrichtung oder Betreiber kritischer Anlagen beim BSI registrieren. Je nach Art des Unternehmens und Regulierung gibt es ab 2026 vielfältige Registrierungspflichten und Portale – die ersten Fristen enden schon am 6. März 2026.
Nach der Feststellung der Betroffenheit beginnt der Weg der Registrierung> Über ELSTER-Zertifikate müssen in einem Portal der Bundesverwaltung Zugänge für das BSI-Portal registriert werden, in dem NIS2-Registrierungen und Meldepflichten vorgenommen werden. Für bestimmte Einrichungen der digitalen Infrastruktur und Betreiber kritischer Anlagen bestehen zusätzliche Registrierungspflichten.
- NIS2-Einrichtungen registrieren sich nach §33 (1) BSIG beim BSI im neuen BSI-Portal registrieren, mit Angaben zur Einrichtung.
- Betreiber kritischer Anlagen, bisher KRITIS, müssen sich nach §33 (2) BSIG mit Anlage, Kontaktstelle usw. registrieren, bisher im MIP (Melde- und Informationsportal), wird durch §8 ersetzt.
- Betreiber kritischer Anlagen müssen sich mit dem kommenden §8 KRITIS-Dachgesetz beim BBK und/oder BSI registrieren
- Besondere Einrichtungen im Sektor Digitale Infrastruktur müssen sich nach §34 BSIG mit Details zum Konzernverbund und weiteren Entitäten in der EU beim BSI registrieren.
- Auch die kritischen Komponenten müssen, wenn vorhanden, nach §33 (2) BSIG oder §8 KRITIS-Dachgesetz beim BBK und BSI registriert werden.
Das OpenKRITIS-Betreiberforum
Von Paul Weissmann am 23. Februar 2026
Das OpenKRITIS Betreiberforum ist ein interaktives Austauschformat für regulierte Unternehmen, die gemeinsam Fragen rund um NIS2 und KRITIS und aktuelle Themen diskutieren wollen.
Das Ziel ist Lernen von anderen Betreibern in einer Gruppe mit Gleichgesinnten. Dabei können eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Das Betreiberforum findet alle zwei Monate in Köln nach Anmeldung statt und richtet sich an direkt regulierte Einrichtungen in NIS2 und KRITIS.
| ID | Termin | Schwerpunkt | Format |
|---|---|---|---|
| F26.1 | 5. Februar 2026 durchgeführt |
NIS2-Programme
|
|
| F26.2 | 26. März 2026 voll besetzt |
Prüfungen in NIS2
|
|
| F26.3 | 21. Mai 2026 | BCM in NIS2
|
|
| F26.4 | Juli 2026 | Vorfälle und Sensorik
|
|
| F26.5 | Sommer 2026 | EnWG und Sicherheitskataloge |
|
Implementing Act: Sicherheitsvorfälle
Von Paul Weissmann am 23. Februar 2026
Für bestimmte Einrichtungen der Digitalen Infrastruktur gibt es unter EU NIS2 nach Art. 23 einen EU Implementing Act, der definiert, wann Sicherheitsvorfälle erheblich sind. Diese EU-Durchführungsverordnung C(2024) 7151 ist seit 2024 in Kraft und betrifft viele Internet und IT-Provider.
Für andere Sektoren und Einrichtungen sind diese Vorgaben nicht verbindlich, können aber als Orientierung für Kriterien von erheblichen Sicherheitsvorfällen dienen. Die Kriterien Art. 2-14 betreffen die Feststellung von erheblichen Sicherheitvorfällen, die mindestens meldepflichtig sind.
| Einrichtungen in der IT | Erhebliche Sicherheitsvorfälle Vorfälle mit folgenden (möglichen) Konsequenzen: |
|---|---|
| Alle Betreiber Art. 3 |
|
| Wiederkehrende Incidents Art. 4 |
|
| DNS-Provider Art. 5 |
|
| TLD-Registries Art. 6 |
|
| Cloud-Provider Art. 7 |
|
| Rechenzentren Art. 8 |
|
| CDN-Betreiber Art. 9 |
|
| MSP und MSSP Art. 10 |
|
| Marktplätze Art. 11 |
|
| Suchmaschinen Art. 12 |
|
| Social Media Art. 13 |
|
| Trust Services Art. 14 |
|
KRITIS in Zahlen seit 2024
Von Paul Weissmann am 9. Februar 2026
Neue KRITIS in Zahlen vom BSI zum 4. Quartal 2025 – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden zu Ende Dezember 2025 aktualisiert: wenig Bewegung.
Ende 2025 gab es 1.211 Betreiber mit 2.136 KRITIS-Anlagen mit leicht verbesserten Reifegraden im ISMS, BCMS und SzA. Weiterhin Verschiebungen durch Abmeldung von Reifegraden im Sektor Finanzen durch DORA.
Die Historie der KRITIS-Reifegrade seit Anfang 2024 bis Ende 2025 basierend auf öffentlichen Zahlen. Die in Prüfungen ermittelten Reifegrade veränderten sich in den letzten beiden Jahren nur leicht – und schwankten viel um den 3.0-Mittelwert mit leichten Ausschlägen nach oben und unten.
An den Gesamtreifegraden der KRITIS-Betreiber im ISMS, BCMS und der Angriffserkennung hat sich tatsächlich nur im Nachkommabereich etwas geändert, auch wenn eine leichte Tendenz nach oben erkennbar ist. Die rote Laterne der Sektoren Gesundheit und Transport ist relativ konstant, während der Sektor Digitale Infrastruktur seit langem gut abschneidet.
Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben. Dopplungen möglich
EU Cybersecurity Act 2
Von Henri Jäger am 28. Januar 2026
Der EU Cybersecurity Act (CSA) ist das europäische Rahmenwerk für Cybersecurity. EU CSA legte 2019 die Grundsteine für umfangreiche Cybersecurity-Regulierung und Governance in der EU und wird 2026 mit dem CSA2 überarbeitet.
Mit EU CSA2 sollen ICT-Lieferketten in der EU gestärkt und geschützt werden, Zertifizierungen für und Compliance mit EU-Regulierungen erleichtert und vor allem die Rolle der ENISA gestärkt werden.
- ICT Toolbox: CSA2 führt ein EU-weites Rahmenwerk zum Schutz kritischer Lieferketten in den NIS2-Sektoren ein. Damit sollen kritische ICT-Supplier (IT-Provider, Cloud, ...) durch Bewertungen auf EU-Ebene identifiziert und geschützt (reguliert) werden können.
- Hoch-Risiko Lieferanten: Neue Mechanismen für Lieferanten und Dienstleister mit Sitz in oder Kontrolle durch Drittländern. Dafür soll es Listen und Kontrollmechanismen durch die EU geben. (Potenzielle Schnittmenge zu Kritische Komponenten und Souveränitätsdebatte.)
- European Cybersecurity Certification Framework: Die Nutzung von Zertifizierungen im Rahmen von EU CSA und EU-Regulierungen soll deutlich vereinfacht werden – mit (neuen) Zertifizierungsschemata für Klassen von IT-Anbietern, Wirksamkeit, Cyber-Posture u.v.m.
- ENISA in CSA2: Die operativen Aufgaben und das Mandat der ENISA für Warnungen, Koordinieren von Schwachstellen, Support, und Tools und Plattformen für die Cyber Posture der EU.
- EU NIS2: Die 2023 in Kraft getretene EU NIS2 Richtlinie soll mit CSA2 überarbeitet werden
EU CSA2 wird aktuell als Vorschlag der Kommission zwischen Rat und EU Parlament verhandelt (im Trialog) – mit noch viel Abstimmungsbedarf und unterschiedlichen Positionen.
KRITIS-Dachgesetz in 2026
Von Paul Weissmann am 27. Januar 2026
Für das KRITIS-Dachgesetz gibt es Ende Januar 2026 eine neuerliche Änderungsversion der Regierungsfraktionen.
Damit wird in Teilen auch auf die Kommentare des Bundesrats Ende 2025 eingegangen, dass die Schwellenwerte von 500.000 versorgten Bürgern zu hoch
seien.
Die Änderungen in 2026 betreffen vor allem die Logik der Festlegung kritischer Anlagen – die deutlich um Länderzuständigkeiten erweitert wird.
- Betreiber, die unterhalb von KRITIS-Schwellenwert kritisch werden, können neben dem BMI, falls der Sektor auf Bundesebene reguliert wird auch durch Länder (!) bestimmt werden.
- Länder können Betreiber unterhalb von Schwellenwerten mittels einer neuer Rechtsverordnung bestimmen, falls die zuständige Behörde eine Landesbehörde ist.
- Betreiber kritischer Anlagen, durch Landesbehörden mit anderen Nachweisen
- Kritische Komponenten müssen bei der Registrierung mitgemeldet werden (an das BSI)
- Anpassungen der Meldepflicht an das BBK: Weiterleitungen, Lagebilder
- Erhöhung der Geldbußen auf bis zu 1 Mio. EUR
- Anpassung der Definitionen kritische Anlagen (KRITIS-Anlagen) auch im BSI-Gesetz
- Anpassung der Registrierung Betreiberm kritischer Anlagen auch im BSI-Gesetz
- Fristen wurden entschärft – viele Daten liegen nun unbestimmter und/oder in der Zukunft: Nationale Risikoanalysen, Nationale Resilienzstrategie
Die Sektoren mit Zuständigkeit von Landesbehörden sind, nach den letzten Entwürfen: Gesundheitswesen, Wasser, Ernährung, Entsorgung, und einige noch unbestimmte Dienstleistungen. Die Anlagendefinitionen in einer neuen KRITIS-Verordnung fehlen allerdings noch.
Ein baldiges Inkrafttreten nun scheint möglich. Weitere Gesetze werden dann auch geändert.
Aktualisierung von EU NIS2 in 2026
Von Paul Weissmann am 25. Januar 2026
Die EU NIS2-Richtlinie soll 2026, zwei Jahre nach Inkraftreten in der EU überarbeitet werden. Im Rahmen des Cyber Security Act 2 (EU CSA2) von Anfang 2026 schlägt die Kommission Anpassungen und Erweiterungen von NIS2 vor. Die Betroffenheit von NIS2 soll etwas abgeschwächt und damit die Wirtschaft und Aufsichtsbehörden entlasten werden.
- Anpassung des Scopes betroffener Unternehmen – höhere Grenzen Essential Entities
- Betroffenheit von Einrichtungen von strategic dual-use infrastructure
- Neue Entities in Scope – Business und Identity Wallets
- Auschluss von kleinen und
micro-
DNS-Anbietern - Berücksichtigung von Post-Quanten-Kryptographie in nationalen Cyberstrategien
- Harmonisierung der Implementing Acts und Maßnahmen
- Koordinierte Datensammlung für Ransomware-Angriffe
Die Grenzen der großen Unternehmen, die Essential Entities werden, sollen im NIS2-Update 2026 erhöht werden, wozu die small mid-cap enterprises neu eingeführt werden. Die Grenzen der Essential Entities als Großunternehmen werden dann oberhalb der small mid-cap neu definiert.
An den größenunabhängig regulierten Essential Entities soll es auch Änderungen geben. Weitere Änderungen sollen noch im Energiesektor vorgenommen werden, mit einem Schwellenwert von 1 MW für Einrichtungen sowie neu betroffene Unterseekabel.
Die Kommission soll für EU Implementing Acts regelmäßig die Notwendigkeit von sektoralen oder Einrichtungs-spezifischen Maßnahmenkatalogen prüfen, Mitgliedsstaaten sollen Maßnahmen und Bedrohungen von Post-Quanten-Kryptographie in ihren nationalen Cyber-Strategien berücksichtigen.
NIS2-reguliert – und nun?
Von Paul Weissmann am 21. Januar 2026
Seit Ende 2025 fallen Tausende Unternehmen in Deutschland unter die NIS2-Regulierung: Betreiber kritischer Anlagen (KRITIS) und viele Unternehmen in NIS2-Sektoren. Nach der eigenen Identifikation müssen sich betroffene Unternehmen in drei Monaten – bis 6. März 2026 beim BSI registrieren.
Dann folgen Pflichten und Cybersecurity unmittelbar nach Registrierung: Meldung von Sicherheitsvorfällen, Umsetzung der Maßnahmen sowie Nachweise und Audits (KRITIS). Eine Übersicht:
| Pflicht | Handlung | Verantwortlich (A) (R) |
Dritte (C/I) |
Wann | |
|---|---|---|---|---|---|
| Identifikation | Betroffenheit Einrichtung Betroffenheit Anlagen† |
GF | jährlich bei Änderungen |
||
| Registrierung | Registrierung Einrichtung beim BSI Registrierung Anlagen† beim BSI/BBK |
GF | BSI BBK |
nach Identifikation bei Änderungen |
|
| Geltungsbereich | Anlagen und eigenen Scope definieren im Unternehmen | GF | Stabsstelle CISO |
nach Identifikation bei Änderungen |
|
| Meldepflicht | Erhebliche Sicherheitsvorfälle Vorfälle† |
GF | CISO SOC |
BSI BBK |
unverzüglich |
| Komponenten | Freigabe Kritische Komponenten† | GF | Stabsstelle CISO |
BMI | vor Einsatz |
| Cybersecurity | Maßnahmen §30 BSIG umsetzen | GF | Fachbereiche CISO |
regelmäßig | |
| Resilienz | Maßnahmen §30 BSIG umsetzen Maßnahmen DachG umsetzen† |
GF | Fachbereiche CISO |
regelmäßig | |
| Angriffserkennung | Maßnahmen §31 BSIG und OH SzA† | GF | SOC/CISO | regelmäßig | |
| Dokumentation | Nachweis Umsetzung BSIG | GF | CISO | (BSI) | regelmäßig |
| Prüfungen | Audit Umsetzung BSIG in Anlagen† Audit Umsetzung DachG in Anlagen† |
GF | Prüfer | BSI BBK |
alle 3 Jahre |
| Reifegrade | Reifegrade BSI RUN† | GF | Prüfer | BSI | Prüfungen |
| Betriebsführung | Betriebsführung im EnWG | GF | Betriebsführer | BNetzA | konstant |
| Bußgelder | Sanktionen Verstöße BSIG Sanktionen Verstöße DachG† |
GF | BSI BBK |
bei Anlaß | |
NIS2 und der CS&R in Großbritannien
Von Paul Weissmann am 19. Januar 2026
Während die NIS2-Umsetzung in der EU im Gange ist, arbeitet auch Großbritannien an NIS2 und aktualisiert die Regulierung Kritischer Infrastrukturen mit NIS2-artigen Verpflichtungen.
Die Vorgaben aus EU NIS (2016) hat UK mit der eigenen NIS-Verordnung 2018 umgesetzt. Obwohl nicht mehr Teil der EU, besteht für Großbritannien weiterhin der Anreiz, sich an NIS2-ähnliche Cyber-Vorgaben anzupassen. Dies verringert die Hürden in der der Compliance britischer Unternehmen, die auf dem britisch-europäischen Markt tätig sind – als Betreiber und als Dienstleister.
In 2024 versprach die britische Regierung, dass das NIS-Regime von 2018 dringend aktualisiert werden müsse. Diese Aktualisierung durch den Cyber Security and Resilience Bill (CS&R Bill) nimmt Gestalt an. Das Gesetz wurde im November 2025 ins Unterhaus eingebracht und wird voraussichtlich 2026 vom Parlament verabschiedet.
Die britische NIS-Regulierung ändert sich durch CS&R deutlich:
- Ausweitung des Geltungsbereichs über Betreiber wesentlicher Dienste hinaus – Erweiterung der britischen Sektoren und Ergänzung einiger digitaler Anbieter und Dienste
- Neue Regulierung von designierte kritische Lieferanten als direkten Hebel für eine kleine Anzahl von Lieferanten mit großer Wirkung, einschließlich grenzüberschreitender Lieferketten
- NIS2-ähnliche zweistufige Struktur für die Meldung von Vorfällen (24/72 Stunden)
- Stärkere Befugnisse der Regulierungsbehörden (Informationsaustausch, Durchsetzungs, Kosten)
- NIS2-ähnliche umsatzabhängige Sanktionen
- Flexibilität in der Anpassung von Schwellenwerten und Anforderungen in sekundären Vorschriften