KRITIS-Anforderungen nach IT-SiG 2.0

Was ist KRITIS? Definition und Sektoren

KRITIS steht für Kritische Infrastrukturen und bezeichnet Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Ein Ausfall oder eine Beeinträchtigung dieser Infrastrukturen würde nachhaltige Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen nach sich ziehen. In Deutschland regelt das BSI-Gesetz (BSIG) in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV) , welche Einrichtungen als KRITIS gelten und welche Pflichten damit verbunden sind.

Die BSI-KritisV definiert aktuell acht KRITIS-Sektoren:

• Energie (Strom, Gas, Kraftstoff, Fernwärme)
• Wasser (Trinkwasserversorgung, Abwasserentsorgung)
• Ernährung (Lebensmittelproduktion und -versorgung)
• Informationstechnik und Telekommunikation (IT und TK)
• Gesundheit (Krankenhäuser, Labore, Pharma)
• Transport und Verkehr (Logistik, SPNV, Flughäfen)
• Finanz- und Versicherungswesen (Zahlungsverkehr, Wertpapierhandel)
• Siedlungsabfallentsorgung (seit IT-SiG 2.0 neu hinzugekommen)

Für Stadtwerke ist die Einordnung besonders relevant, weil sie häufig mehrere Sektoren gleichzeitig bedienen. Ein typisches Stadtwerk betreibt Strom- und Gasnetze (Sektor Energie), Wasserversorgung (Sektor Wasser) und möglicherweise auch Abfallentsorgung (Sektor Siedlungsabfallentsorgung). Das bedeutet: Schon ein einziger Betrieb kann in mehreren Sektoren als KRITIS-Betreiber gelten und muss die Anforderungen für jeden einzelnen Sektor separat erfüllen.

Ob dein Unternehmen unter die KRITIS-Regulierung fällt, hängt nicht von der Rechtsform oder Größe ab, sondern ausschließlich davon, ob die in der BSI-KritisV definierten Schwellenwerte überschritten werden. Diese Schwellenwerte sind sektorspezifisch und orientieren sich an der Versorgungsleistung.

BSI-KritisV Schwellenwerte: Ab wann bist du KRITIS-Betreiber?

Die BSI-KritisV legt für jeden Sektor konkrete Schwellenwerte fest. Wenn dein Unternehmen diese Schwellen erreicht oder überschreitet, giltst du als KRITIS-Betreiber und unterliegst den vollen Pflichten nach BSIG. Die wichtigsten Schwellenwerte im Überblick:

• Energie (Strom): Erzeugung ab 420 MW Nennleistung, Netzbetrieb ab 3.700 GWh/Jahr Letztverbrauch, Handel/Vertrieb ab 3.700 GWh/Jahr
• Energie (Gas): Gasförderung ab 5.190 GWh/Jahr, Gasverteilung ab 5.190 GWh/Jahr
• Wasser (Trinkwasser): Aufbereitung oder Verteilung ab 500.000 versorgte Personen
• Wasser (Abwasser): Ab 500.000 an die Anlage angeschlossene Einwohner
• Ernährung: Ab 434.500 Tonnen/Jahr produzierte oder verarbeitete Lebensmittel
• IT und TK: DNS-Resolver ab 100.000 Verträge, Rechenzentren ab 3,5 MW vertraglich vereinbarte Leistung
• Gesundheit: Krankenhäuser ab 30.000 vollstationäre Fälle/Jahr
• Transport: Flugverkehr ab 20 Millionen Passagiere/Jahr, Schienenverkehr ab 125 Millionen Personenfahrten/Jahr
• Siedlungsabfallentsorgung: Ab 500.000 versorgte Personen

Entscheidend ist: Die Schwellenwerte beziehen sich auf die Anlage, nicht auf das Unternehmen insgesamt. Ein Stadtwerk mit mehreren Wasserwerken muss prüfen, ob eine einzelne Anlage den Schwellenwert überschreitet. Gleichzeitig kann die Zusammenfassung von Anlagen greifen: Wenn mehrere Anlagen desselben Betreibers in derselben Kategorie betrieben werden und zusammen den Schwellenwert überschreiten, gelten sie in der Regel als eine KRITIS-Anlage.

Die Prüfung der Schwellenwerte ist nicht einmalig. Du musst die Einstufung regelmäßig überprüfen, insbesondere bei Kapazitätsänderungen, Zukäufen oder Betriebserweiterungen. Das BSI kann zudem eigenständig prüfen, ob ein Unternehmen die Schwellenwerte erreicht, und dieses zur Registrierung auffordern.

BSIG §8a: Nachweispflichten alle zwei Jahre

Sobald dein Unternehmen als KRITIS-Betreiber registriert ist, greift §8a BSIG. Dieser Paragraph ist das Herzstück der KRITIS-Regulierung und verpflichtet dich, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit deiner informationstechnischen Systeme zu treffen.

Konkret bedeutet das:

• Du musst alle zwei Jahre nachweisen, dass deine Sicherheitsvorkehrungen dem Stand der Technik entsprechen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
• Die Prüfung kann durch anerkannte Sicherheitsstandards erfolgen. Dazu zählen insbesondere ISO 27001, BSI IT-Grundschutz und branchenspezifische Sicherheitsstandards (B3S), die vom BSI anerkannt werden.
• Die Prüfergebnisse müssen dem BSI vorgelegt werden. Das BSI kann bei festgestellten Sicherheitsmängeln Maßnahmen anordnen.
• Das BSI hat das Recht, eigene Prüfungen durchzuführen oder durchführen zu lassen, insbesondere wenn Hinweise auf Sicherheitsmängel vorliegen.

Branchenspezifische Sicherheitsstandards (B3S) sind für viele KRITIS-Betreiber der bevorzugte Weg. Ein B3S wird von der jeweiligen Branche erarbeitet und vom BSI auf Eignung geprüft. Für den Wassersektor gibt es beispielsweise den B3S Wasser/Abwasser, für den Energiesektor den IT-Sicherheitskatalog der BNetzA gemäß §11 Abs. 1a EnWG. Stadtwerke, die sowohl Energie als auch Wasser betreiben, müssen unter Umständen mehrere B3S parallel berücksichtigen.

Alternativ kannst du den Nachweis über eine BSI IT-Grundschutz-Zertifizierung oder ein ISO-27001-Zertifikat führen. Beide Wege werden vom BSI als Nachweismittel akzeptiert und decken einen Großteil der Anforderungen aus §8a BSIG ab.

Meldepflichten nach §8b BSIG

Neben den Nachweispflichten aus §8a ist §8b BSIG die zweite tragende Säule der KRITIS-Regulierung. Er regelt die Meldepflichten bei IT-Sicherheitsvorfällen und die Einrichtung einer Kontaktstelle.

Jeder KRITIS-Betreiber muss eine Kontaktstelle beim BSI benennen, die rund um die Uhr erreichbar ist. Über diese Kontaktstelle läuft die gesamte Kommunikation mit dem BSI bei Sicherheitsvorfällen. In der Praxis ist das häufig das Security Operations Center (SOC) oder der IT-Bereitschaftsdienst.

Die Meldepflichten selbst sind klar gestuft:

• Unverzügliche Meldung bei erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, die zu einem Ausfall oder einer Beeinträchtigung der kritischen Dienstleistung führen könnten oder bereits geführt haben.
• Die Meldung muss Angaben zur Störung, den betroffenen Systemen, den vermuteten Ursachen und den ergriffenen Maßnahmen enthalten.
• Bei Vorfällen, die noch nicht zu einer Beeinträchtigung geführt haben , aber das Potenzial dazu besitzen, besteht eine Meldemöglichkeit (keine Pflicht). Das BSI empfiehlt jedoch, auch solche Vorfälle zu melden, um das Lagebild zu verbessern.
• Das BSI kann auf Basis der Meldungen Warnungen an andere KRITIS-Betreiber im selben Sektor herausgeben, ohne den meldenden Betreiber namentlich zu nennen.

Für Stadtwerke und Versorger ist die Meldepflicht besonders kritisch, weil ein Cyberangriff auf die Leittechnik sofort Auswirkungen auf die Versorgungslage haben kann. Ein strukturierter Incident-Management-Prozess ist deshalb nicht nur regulatorische Pflicht, sondern operativ überlebenswichtig. Die Meldefristen verlangen, dass du innerhalb weniger Stunden nach Entdeckung eines Vorfalls eine qualifizierte Erstmeldung absetzen kannst. Ohne vorbereitete Meldeprozesse und Vorlagen ist das in der Praxis kaum zu schaffen.

IT-SiG 2.0: Die Verschärfungen seit 2021

Mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) , das im Mai 2021 in Kraft trat, hat der Gesetzgeber die KRITIS-Regulierung erheblich verschärft. Für Betreiber Kritischer Infrastrukturen bedeutet das neue und erweiterte Pflichten in mehreren Bereichen.

Systeme zur Angriffserkennung (SzA)

Die wohl bedeutendste Neuerung des IT-SiG 2.0 für KRITIS-Betreiber ist die Pflicht zum Einsatz von Systemen zur Angriffserkennung (SzA). Seit dem 1. Mai 2023 müssen alle KRITIS-Betreiber SzA einsetzen und dies im Rahmen ihrer §8a-Nachweise belegen.

Das BSI hat eine Orientierungshilfe für SzA veröffentlicht, die drei Implementierungsstufen definiert:

• Protokollierung: Sammlung und Speicherung sicherheitsrelevanter Ereignisse (Log-Daten) aus IT- und OT-Systemen
• Detektion: Automatisierte Erkennung von Anomalien und bekannten Angriffsmustern, zum Beispiel durch SIEM-Systeme oder IDS/IPS
• Reaktion: Definierte Prozesse für die Behandlung erkannter Angriffe, einschließlich Eskalation, Eindämmung und Wiederherstellung

KRITIS-Betreiber müssen bei ihrer §8a-Prüfung nachweisen, auf welcher SzA-Stufe sie sich befinden. Das BSI bewertet die Implementierung mit einem Reifegradmodell von 0 (nicht vorhanden) bis 5 (optimiert). Mindestanforderung ist Reifegrad 3 (etabliert) in allen drei Bereichen. Betreiber, die unter Reifegrad 3 liegen, müssen dem BSI einen konkreten Maßnahmenplan zur Erreichung des Zielreifegrads vorlegen.

Registrierungspflicht und erweiterte BSI-Befugnisse

Das IT-SiG 2.0 hat die Registrierungspflicht verschärft. KRITIS-Betreiber müssen sich beim BSI registrieren und ihre Registrierung bei wesentlichen Änderungen aktualisieren. Das BSI führt ein KRITIS-Register und kann Unternehmen eigenständig zur Registrierung auffordern, wenn es Anhaltspunkte für das Überschreiten der Schwellenwerte hat.

Darüber hinaus hat das BSI erweiterte Befugnisse erhalten. Es kann KRITIS-Betreibern konkrete Maßnahmen anordnen, Nachweise anfordern und bei Nicht-Erfüllung Bußgelder verhängen. Die Bußgeldrahmen wurden mit dem IT-SiG 2.0 deutlich angehoben: Verstöße gegen die Nachweispflichten nach §8a BSIG können mit Geldbußen von bis zu 2 Millionen Euro geahndet werden. Bei besonders schweren Verstößen, die den Betrieb der kritischen Infrastruktur gefährden, sind noch höhere Strafen möglich.

Neuer Sektor Siedlungsabfallentsorgung

Mit dem IT-SiG 2.0 wurde Siedlungsabfallentsorgung als neuer KRITIS-Sektor aufgenommen. Entsorgungsbetriebe, die den entsprechenden Schwellenwert überschreiten, sind damit erstmals KRITIS-Betreiber mit allen damit verbundenen Pflichten. Für kommunale Entsorgungsbetriebe und Stadtwerke mit angeschlossener Abfallwirtschaft bedeutet das: Du musst prüfen, ob deine Entsorgungsanlagen die Schwellenwerte erreichen, und gegebenenfalls die Registrierung beim BSI vornehmen.

KRITIS und NIS2: Wie sich die Regulierungen ergänzen

Seit dem 06.12.2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft. Für KRITIS-Betreiber stellt sich die Frage: Was gilt zusätzlich zu den bestehenden BSIG-Pflichten? Die Antwort ist komplex, aber im Kern klar: NIS2 erweitert den Kreis der betroffenen Unternehmen erheblich und verschärft die Sanktionen. Viele KRITIS-Betreiber sind unter NIS2 als „wesentliche Einrichtungen“ eingestuft und unterliegen damit sowohl den BSIG-Pflichten als auch den NIS2-Anforderungen.

Die Umsetzung in deutsches Recht erfolgte über das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das das BSIG novelliert hat. Für bestehende KRITIS-Betreiber ändert sich konzeptionell wenig, weil die BSIG-Pflichten bereits einen hohen Standard setzen. Allerdings kommen neue Anforderungen hinzu, insbesondere die persönliche Haftung der Geschäftsführung und erweiterte Meldepflichten mit konkreten Fristen (24 Stunden für die Erstmeldung, 72 Stunden für eine detaillierte Meldung). Im NIS2-Anforderungskatalog findest du eine vollständige Übersicht der Pflichten.

Für Stadtwerke und Versorger empfiehlt es sich, KRITIS- und NIS2-Anforderungen in einem integrierten Managementsystem zusammenzuführen, anstatt parallele Compliance-Strukturen aufzubauen. Die Schnittmenge der Anforderungen liegt bei über 80 Prozent. Ein einheitliches ISMS, das beide Regulierungen abdeckt, spart erheblich Aufwand und reduziert das Risiko von Compliance-Lücken.

KRITIS-spezifische Maßnahmen für Stadtwerke und Versorger

Für Stadtwerke, Energieversorger, Wasserwerke und Entsorgungsbetriebe ergeben sich aus der KRITIS-Regulierung ganz konkrete Handlungsfelder. Die folgenden Maßnahmen sind nicht optional, sondern werden vom BSI im Rahmen der §8a-Prüfungen erwartet.

Segmentierung von IT und OT

In der Versorgungswirtschaft existieren zwei grundlegend verschiedene Welten: IT (Informationstechnologie) für Büro, ERP und Kommunikation, und OT (Operational Technology) für Leittechnik, SCADA-Systeme und Prozesssteuerung. Die strikte Segmentierung beider Netzwerke ist eine der wichtigsten KRITIS-Maßnahmen. Ein Angreifer, der Zugang zum Büronetzwerk erlangt, darf nicht in der Lage sein, auf die Leittechnik zuzugreifen. Das erfordert:

• Physische oder logische Trennung von IT- und OT-Netzwerken durch Firewalls, DMZ-Architekturen und dedizierte Netzwerksegmente
• Kontrollierte Übergabepunkte für den Datenaustausch zwischen IT und OT, z. B. über Data Diodes oder Jump-Server mit Multi-Faktor-Authentifizierung
• Separate Patch- und Update-Prozesse für OT-Systeme, da diese häufig nicht im laufenden Betrieb aktualisiert werden können
• Inventarisierung aller OT-Assets , einschließlich Firmware-Versionen, Kommunikationsprotokolle und Abhängigkeiten

Ein vollständiges IT-Asset-Management ist die Grundlage für jede Segmentierungsstrategie. Ohne zu wissen, welche Geräte in deinem Netzwerk kommunizieren, kannst du keine wirksame Segmentierung planen.

Notfall- und Wiederanlaufpläne

KRITIS-Betreiber müssen nachweisen, dass sie auf einen Cyberangriff oder eine IT-Störung vorbereitet sind. Das bedeutet konkret:

• Business Continuity Management (BCM) mit dokumentierten Wiederanlaufplänen für alle kritischen Prozesse. Für ein Wasserwerk heißt das: Wie stellst du die Trinkwasserversorgung sicher, wenn das Leitsystem ausfällt? Gibt es manuelle Rückfallprozesse?
• Regelmäßige Notfallübungen , mindestens einmal jährlich. Das BSI erwartet dokumentierte Übungen, die auch OT-Szenarien einschließen, nicht nur klassische IT-Ausfallszenarien.
• Definierte Wiederherstellungszeiten (RTO) für kritische Systeme. Bei der Trinkwasserversorgung bewegen sich diese typischerweise im Bereich von wenigen Stunden.
• Backup-Konzepte für IT- und OT-Systeme, einschließlich Offline-Backups zum Schutz vor Ransomware

Risikomanagement für KRITIS

Ein systematisches Risikomanagement ist die Basis jeder KRITIS-Compliance. Du musst Risiken identifizieren, bewerten, behandeln und überwachen. Für Stadtwerke und Versorger ergeben sich sektorspezifische Risiken, die über klassische IT-Risiken hinausgehen: physische Risiken (Hochwasser, Extremwetter), Lieferkettenrisiken (Abhängigkeit von Spezialkomponenten für OT-Systeme), regulatorische Risiken (Änderungen in der BSI-KritisV) und hybride Risiken (gleichzeitiger Cyber- und physischer Angriff).

Das Risikomanagement muss sowohl IT- als auch OT-Risiken abdecken. Viele Stadtwerke haben historisch getrennte Risikobetrachtungen für IT und Betriebstechnik. Die KRITIS-Regulierung verlangt jedoch eine integrierte Sicht, die Wechselwirkungen zwischen IT und OT berücksichtigt.

Richtlinien und Dokumentation

Der §8a-Nachweis erfordert eine lückenlose Dokumentation deiner Sicherheitsmaßnahmen. Ohne dokumentierte Richtlinien und Policies ist kein Nachweis möglich. Die wichtigsten Dokumente für KRITIS-Betreiber umfassen:

• Informationssicherheitsleitlinie als übergeordnetes Dokument mit Bekenntnis der Geschäftsführung
• Risikobehandlungsplan mit konkreten Maßnahmen und Verantwortlichkeiten
• Notfallhandbuch mit Wiederanlaufplänen, Kontaktlisten und Eskalationsprozeduren
• Netzwerk- und Systemdokumentation mit Netzplänen, Asset-Inventar und Datenflussdiagrammen
• SzA-Konzept mit Beschreibung der eingesetzten Systeme zur Angriffserkennung, Detektionsregeln und Reaktionsprozessen
• Schulungskonzept mit Nachweis regelmäßiger Awareness-Maßnahmen für alle Mitarbeitenden

Kopexa für den KRITIS-Nachweis

Der KRITIS-Nachweis nach §8a BSIG ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Alle zwei Jahre musst du erneut nachweisen, dass deine Sicherheitsvorkehrungen dem Stand der Technik entsprechen. Kopexa unterstützt dich dabei als zentrale GRC-Plattform über den gesamten Nachweis-Zyklus.

Policy-Management

Mit dem Policy-Management von Kopexa erstellst, versionierst und freigibst du alle sicherheitsrelevanten Dokumente zentral. Richtlinien lassen sich direkt mit den Anforderungen aus B3S, BSI IT-Grundschutz oder ISO 27001 verknüpfen, sodass du bei der §8a-Prüfung auf Knopfdruck nachweisen kannst, welche Policy welche Anforderung erfüllt. Gültigkeitszeiträume und Prüfzyklen werden automatisch überwacht, damit keine Policy unbemerkt veraltet.

Risikomanagement

Das Risikomanagement in Kopexa bildet IT- und OT-Risiken in einem gemeinsamen Register ab. Risiken werden nach Eintrittswahrscheinlichkeit und Auswirkung bewertet, Maßnahmen zugeordnet und deren Umsetzung nachverfolgt. Für KRITIS-Betreiber besonders relevant: Du kannst Risiken direkt mit Assets verknüpfen und so nachweisen, dass für jedes kritische System eine angemessene Risikobehandlung existiert. Die Risikomatrix-Ansicht gibt dir jederzeit einen Überblick über die aktuelle Risikolage deiner Organisation.

Asset-Management

Das Asset-Management von Kopexa inventarisiert alle IT- und OT-Assets an einem zentralen Ort. Neben klassischen IT-Assets wie Servern und Netzwerkkomponenten kannst du auch OT-spezifische Assets wie SPS-Steuerungen, SCADA-Systeme und Leittechnik-Komponenten erfassen. Jedes Asset lässt sich mit Risiken, Policies und Verantwortlichkeiten verknüpfen. Für den §8a-Nachweis entsteht so eine durchgängige Kette: vom Asset über das zugeordnete Risiko bis zur erfüllten Anforderung.

Evidence Collection und Audit-Vorbereitung

Beim §8a-Nachweis ist die Beweismittellage entscheidend. Prüfer erwarten nicht nur Policies und Konzepte, sondern konkrete Nachweise: Screenshots von Systemkonfigurationen, Protokolle von Notfallübungen, Schulungsnachweise, Berichte der Angriffserkennung. Mit Kopexa sammelst du diese Evidenzen kontinuierlich und verknüpfst sie direkt mit den jeweiligen Anforderungen. Wenn der Prüfer fragt, wie du eine bestimmte Anforderung erfüllst, zeigst du nicht einen Ordner mit Hunderten von Dokumenten, sondern eine strukturierte Ansicht mit Policy, Maßnahme und Beweismittel auf einen Blick.

Kopexa beschleunigt die Vorbereitung auf §8a-Prüfungen um 40 bis 60 Prozent. Anstatt Wochen mit der Zusammenstellung von Dokumenten zu verbringen, hast du alle Nachweise stets aktuell und audit-ready in einer Plattform.

Nächste Schritte

Du möchtest tiefer in die KRITIS-Regulierung einsteigen oder gezielt einzelne Handlungsfelder vertiefen? Hier findest du weiterführende Inhalte:

• NIS2 für KRITIS-Betreiber mit den zusätzlichen Pflichten aus der NIS2-Richtlinie, Geschäftsführerhaftung und Meldefristen
• BSI IT-Grundschutz als Umsetzungsrahmen mit Vorgehensmodell, Bausteinen und Cross-Mapping zu NIS2 und ISO 27001
• NIS2-Anforderungskatalog mit der vollständigen Übersicht aller NIS2-Pflichten und Umsetzungsleitfäden
• Risikomanagement in Kopexa für integriertes IT- und OT-Risikomanagement
• Asset-Management für die Inventarisierung aller IT- und OT-Assets
• Incident Management für strukturierte Meldeprozesse nach §8b BSIG
• Policy-Management für revisionssichere Dokumentation aller Sicherheitsrichtlinien