Flux Platform ist jetzt verfügbar! 14 Tage kostenlos testen

Alle Ressourcen

NIS2 vs. KRITIS: Unterschiede, doppelte Pflichten und Fristen 2026

Frederik Haller· Geschäftsführer, starnode solutions GmbH8 Min. Lesezeit

Kurz gesagt

KRITIS und NIS2 sind kein Entweder-oder: KRITIS bezeichnet in Deutschland Betreiber kritischer Anlagen — bestimmt über anlagenbezogene Schwellenwerte (Regelschwelle: 500.000 versorgte Personen), rund 1.200 Betreiber. NIS2 ist die EU-weite Cybersicherheitsregulierung und erfasst über Unternehmensgröße rund 29.500 Unternehmen in 18 Sektoren. Seit dem NIS2-Umsetzungsgesetz (in Kraft seit 6. Dezember 2025) sind KRITIS-Betreiber eine Teilmenge der NIS2-Einrichtungen — mit zusätzlichen Pflichten wie Angriffserkennung und Nachweisen. Das KRITIS-Dachgesetz (in Kraft seit 17. März 2026) ergänzt die physische Resilienz.

Was ist KRITIS?

KRITIS steht für Kritische Infrastrukturen: Organisationen und Anlagen, deren Ausfall die Versorgung der Bevölkerung oder die öffentliche Sicherheit erheblich gefährden würde. Reguliert wird KRITIS in Deutschland seit dem IT-Sicherheitsgesetz von 2015 über das BSI-Gesetz (BSIG) und die BSI-Kritisverordnung (BSI-KritisV).

Entscheidend ist der Anlagenbezug: Betreiber kritischer Anlagen ist, wer eine Anlage einer definierten Anlagenkategorie betreibt, die den sektorspezifischen Schwellenwert erreicht oder überschreitet. Die Schwellenwerte leiten sich in der Regel aus der Versorgung von 500.000 Personen ab — in der Trinkwasserversorgung etwa 22 Mio. m³ pro Jahr. Erfasst sind nach aktuellem BSIG die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanzwesen, Sozialversicherung und Grundsicherung für Arbeitsuchende, Transport und Verkehr, Weltraum sowie Siedlungsabfallentsorgung. In Deutschland betrifft das rund 1.200 Betreiber mit gut 2.100 registrierten kritischen Anlagen (BSI, Stand März 2026).

Was ist NIS2?

NIS2 ist die Richtlinie (EU) 2022/2555 für ein hohes gemeinsames Cybersicherheitsniveau in der EU. In Deutschland ist sie über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist und das BSI-Gesetz grundlegend neu gefasst hat.

Anders als KRITIS knüpft NIS2 nicht an Anlagen, sondern an das Unternehmen an: Wer in einem der 18 Sektoren tätig ist und die Größenschwelle erreicht — ab 50 Beschäftigten oder mit mehr als 10 Mio. € Jahresumsatz und zugleich mehr als 10 Mio. € Jahresbilanzsumme —, fällt in der Regel unter das Gesetz. Das deutsche Recht unterscheidet dabei „besonders wichtige Einrichtungen“ (u. a. große Unternehmen ab 250 Beschäftigten oder mit mehr als 50 Mio. € Umsatz und über 43 Mio. € Bilanzsumme in zentralen Sektoren) und „wichtige Einrichtungen“. Insgesamt sind in Deutschland rund 29.500 Unternehmen betroffen — ein Vielfaches des bisherigen KRITIS-Kreises.

Worin unterscheiden sich NIS2 und KRITIS?

Die beiden Regelwerke unterscheiden sich in Herkunft, Logik und Reichweite:

  • Ursprung: KRITIS ist ein deutsches Konzept (BSIG, BSI-KritisV); NIS2 ist eine EU-Richtlinie, die in allen Mitgliedstaaten harmonisierte Pflichten schafft
  • Anknüpfung: KRITIS ist anlagenbezogen (Anlagenkategorie plus Schwellenwert, Regelschwelle 500.000 versorgte Personen); NIS2 ist einrichtungsbezogen (Sektor plus Unternehmensgröße)
  • Reichweite: rund 1.200 KRITIS-Betreiber gegenüber rund 29.500 NIS2-Einrichtungen in Deutschland
  • Schutzrichtung: KRITIS zielt auf die Versorgungssicherheit der Bevölkerung; NIS2 auf die Cyberresilienz der Wirtschaft in der Breite — inklusive Lieferketten
  • Pflichtenniveau: KRITIS-Betreiber unterliegen den strengsten Anforderungen (u. a. Systeme zur Angriffserkennung und regelmäßige Nachweise), NIS2-Einrichtungen einem abgestuften Pflichtenkatalog nach Artikel 21

Wichtig: KRITIS und NIS2 stehen nicht nebeneinander, sondern ineinander. Betreiber kritischer Anlagen gelten nach dem neuen BSIG automatisch als besonders wichtige Einrichtungen — sie sind die am stärksten regulierte Teilmenge der NIS2-Welt.

Welche zusätzlichen Pflichten haben KRITIS-Betreiber unter NIS2?

Für alle NIS2-Einrichtungen gelten die Risikomanagement-Maßnahmen (u. a. Incident-Handling, Business Continuity, Lieferkettensicherheit, Zugriffskontrolle, MFA), die Registrierung beim BSI und das dreistufige Meldeverfahren mit Frühwarnung nach 24 Stunden und Meldung nach 72 Stunden. KRITIS-Betreiber müssen darüber hinaus:

  • Systeme zur Angriffserkennung einsetzen, die Parameter aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten (§ 31 BSIG)
  • die Umsetzung ihrer Maßnahmen regelmäßig nachweisen — alle drei Jahre gegenüber der Aufsicht (§ 39 BSIG)
  • bei Meldungen zusätzlich Angaben zur Art der betroffenen Anlage, zur kritischen Dienstleistung und zu den Auswirkungen des Vorfalls auf diese Dienstleistung machen (§ 32 BSIG)
  • mit einer strengeren, proaktiven Aufsicht rechnen: Das BSI kann bei besonders wichtigen Einrichtungen und KRITIS-Betreibern von sich aus prüfen, ohne konkreten Anlass

Bei Verstößen drohen besonders wichtigen Einrichtungen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 % — und die Geschäftsleitung ist ausdrücklich in der Verantwortung.

Was ändert das KRITIS-Dachgesetz?

Während NIS2 die Cybersicherheit regelt, adressiert das KRITIS-Dachgesetz (KRITIS-DachG) die physische Resilienz kritischer Anlagen. Es setzt die europäische CER-Richtlinie (Richtlinie (EU) 2022/2557) um und ist am 17. März 2026 in Kraft getreten. Erstmals werden damit Sabotage, Naturkatastrophen, Ausfälle von Personal und Lieferketten sowie physischer Objektschutz bundeseinheitlich und sektorübergreifend geregelt.

Für Betreiber kritischer Anlagen bedeutet das konkrete Fristen: Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) spätestens drei Monate, nachdem eine Anlage als kritisch gilt. Der ursprünglich vorgesehene Stichtag 17. Juli 2026 wurde im Juni 2026 vom Gesetzgeber gestrichen, weil die KRITIS-Verordnung mit den maßgeblichen Schwellenwerten noch aussteht — die Frist läuft nun drei Monate ab deren Inkrafttreten. Danach folgen eine Risikoanalyse spätestens neun Monate nach der Registrierung und ein Resilienzplan mit technischen, baulichen und organisatorischen Maßnahmen spätestens zehn Monate danach. KRITIS-Betreiber müssen NIS2-Pflichten und KRITIS-Dachgesetz parallel erfüllen — die Pflichten sind mit den neuen Gesetzen mehr geworden, nicht weniger.

Was sollten Unternehmen jetzt tun?

Die gesetzliche Registrierungsfrist beim BSI ist im März 2026 abgelaufen — das BSI hat säumigen Einrichtungen aber eine letzte Nachfrist bis zum 31. Juli 2026 gesetzt. Die BBK-Registrierung für KRITIS-Betreiber wird fällig, sobald die KRITIS-Verordnung in Kraft ist. Wer die eigene Betroffenheit noch nicht geklärt hat, sollte das jetzt tun:

  • Betroffenheit doppelt prüfen: Betreibe ich eine kritische Anlage über dem Schwellenwert (KRITIS)? Und falle ich über Sektor und Unternehmensgröße unter NIS2?
  • Registrierungen nachholen bzw. abschließen: beim BSI (NIS2) und — für KRITIS-Betreiber — beim BBK (KRITIS-Dachgesetz)
  • Gap-Analyse gegen die Risikomanagement-Maßnahmen des BSIG fahren; für KRITIS-Betreiber zusätzlich Angriffserkennung und Nachweisfähigkeit prüfen
  • Incident-Response auf die 24h/72h-Meldefristen ausrichten und testen
  • Für KRITIS-Betreiber: Risikoanalyse und Resilienzplan nach dem KRITIS-Dachgesetz terminieren
  • Cyber- und physische Resilienz in einem gemeinsamen Managementsystem zusammenführen, statt zwei parallele Silos aufzubauen

Ein ISMS nach ISO 27001 ist dafür das tragfähige Fundament: Asset-Inventar, Risikoregister und Controls decken den Kern beider Regelwerke ab. Flux Platform bildet diesen Zusammenhang direkt ab — Assets aus der CMDB, Risiken mit Bewertungs-Workflows, Controls gemappt auf ISO 27001 und NIS2 sowie Incident-Workflows, die die Meldefristen im Blick behalten.

ISMS, Risiken und Compliance in einer Plattform

Flux Platform vereint Asset-Inventar, Risikoregister, Controls und Evidenzen — gemappt auf ISO 27001, NIS2, SOC 2 und DSGVO.