NIS2 und KRITIS: Was ändert sich durch die neue Richtlinie?

Die im Dezember 2025 in Kraft getretene EU-Richtlinie NIS2 und KRITIS als am meisten betroffene Organisationen stehen im Mittelpunkt der aktuellen Cybersicherheitsdiskussion. Für Betreiber kritischer Infrastrukturen bringt die neue Richtlinie verschärfte Nachweispflichten und neue Kontrollstrukturen. Dieser kompakte Leitfaden zeigt, was jetzt zu beachten ist und wie nachhaltige Compliance und Risikominimierung gelingen.
Mehrere Notebooks stehen auf einer glatten Fläche, ähnlich einem riesigen Tisch. Auf den Bildschirmen sind Vorhängeschlösser abgebildet. Ein Symbolbild für die neuen NIS2 Pflichten für KRITIS.
© javu

NIS2 vs. KRITIS: Neuer Geltungsbereich und betroffene Branchen

Die neue NIS2-Richtlinie der EU bringt für Unternehmen in kritischen Sektoren einen deutlich ausgeweiteten Geltungsbereich. Statt wie bisher rund 2.000 klassischer KRITIS-Betreiber rechnet der Gesetzgeber künftig mit mindestens 30.000 betroffenen Unternehmen in Deutschland – darunter zahlreiche mittelständische Dienstleister, Zulieferer und digitale Branchen (Quelle: BMI, 2025).

Die Bedrohungslage durch Cyberattacken entwickelt sich weiter dynamisch: Laut BSI-Lagebericht 2024 werden in Deutschland täglich mehr als 300.000 neue Malware-Varianten entdeckt, das entspricht einem Anstieg von 26 Prozent gegenüber dem Vorjahr (Quelle: BSI Lagebericht 2024). Der Nachweisdruck rund um IT-Sicherheit und Meldepflichten steigt. Im deutschen Rechtsrahmen werden diese Vorgaben vor allem durch das NIS-2 Umsetzungsgesetz und das geänderte BSIG konkretisiert, die den Maßstab für NIS-2-konformes Risikomanagement und Nachweisführung setzen.

NIS2, KRITIS, BSI: Unterschied und Zusammenhang

KRITIS-Betreiber sind Unternehmen, deren Ausfall massive Folgen für Staat und Gesellschaft hätte – etwa in Energie, Wasser oder Gesundheit. NIS2 etabliert jedoch EU-weit einheitliche Mindeststandards für Cybersicherheit und führt neue Kategorien von „besonders wichtigen“ und „wichtigen Einrichtungen“ ein.

Klassische KRITIS-Betreiber werden automatisch als besonders wichtige Einrichtungen eingestuft und müssen strengere Anforderungen rund um Nachweis, Risikomanagement und Meldung erfüllen. Das BSI bleibt zentrale Aufsichtsinstanz. Einen kompakten Überblick zur NIS2-Richtlinie bietet die Übersichtsseite Cybersicherheit mit NIS-2.

Wer gilt jetzt als KRITIS-Betreiber und wer als besonders wichtig?

Mit NIS2 verschieben sich die Prüfmaßstäbe. Neben klassischen KRITIS-Betreibern gelten nun auch viele weitere Unternehmen – etwa IT-Dienstleister, Forschungsbetriebe und Organisationen mit Einfluss auf kritische Lieferketten – als besonders wichtige oder wichtige Einrichtungen nach der neuen EU-Regelung.

Sie werden damit zwar nicht automatisch zu KRITIS-Betreibern im engeren Sinne, unterliegen aber vergleichbaren Prüf- und Nachweispflichten. Die Zuordnung erfolgt anhand von Sektor, Schwellenwerten und Betriebsgröße. Unternehmen sollten frühzeitig prüfen, welcher neuen Kategorie sie künftig zugeordnet werden und welche konkreten Pflichten daraus entstehen.

Pflichten und Nachweispflichten für kritische Infrastrukturen nach NIS2

Die Anforderungen an Betreiber kritischer Infrastrukturen haben sich durch die NIS2-Richtlinie grundlegend verändert. Vor NIS2 galten in Deutschland bereits hohe Standards: Das BSI-Gesetz und die KRITIS-Verordnung schrieben technische und organisatorische Maßnahmen, regelmäßige Selbstüberprüfungen und Meldepflichten bei schwerwiegenden Störungen vor. NIS2 setzt nun auf einheitliche EU-weite Pflichten und verschärft einzelne Kontrollpunkte deutlich.

NIS2-Pflichten für KRITIS-Betreiber im Überblick

Vor NIS2 mussten KRITIS-Betreiber vor allem gewährleisten, dass ihre IT-Systeme dem „Stand der Technik“ entsprechen und schwerwiegende Vorfälle gemeldet werden. Durch NIS2 ergeben sich jetzt zusätzliche, verbindlich vorgegebene Anforderungen, zum Beispiel:

Zusätzlich wurden bestehende Pflichten – beispielsweise Zugangskontrolle, Notfallplanung und die lückenlose Dokumentation – durch EU-weite Mindeststandards stärker ausdefiniert. Während zuvor nationale Maßnahmen genügen konnten, ist ohne eine gezielte NIS2-Anpassung die Compliance nicht mehr sichergestellt.

NIS2: Nachweis und Kontrolle in der Praxis

Bisher waren regelmäßige Nachweise und Audits zwar bekannt, aber oft anlassbezogen oder mit längeren Intervallen verbunden. Mit NIS2 werden turnusmäßige Kontrollen durch das BSI ausgeweitet. Besonders wichtige Einrichtungen müssen auf Anfrage jederzeit umfangreiche Nachweisdokumente vorlegen und können stichprobenartig geprüft werden.

Auch Meldefristen werden konkretisiert: Statt flexibler Meldung ist nun eine 24- und 72-Stunden-Regel Pflicht – und das sowohl für interne Zwischenfälle als auch für Störungen in Tochterunternehmen oder verbundenen Dienstleistern.

Anforderungen für Lieferkette und Audit

Im nationalen KRITIS-Rahmen lag der Fokus bislang auf der Sicherheit der eigenen Systeme und Anlagen. NIS2 verankert erstmals verbindliche Anforderungen an das Lieferkettenmanagement: KRITIS-Betreiber müssen nachweisen, dass auch Zulieferer, Dienstleister und Partnerunternehmen angemessene Cybersicherheitsstandards einhalten.

Lieferkettensicherheit wird damit zur dauerhaften Auditpflicht – nicht nur durch bloße Lieferantenabfrage, sondern durch systematisches Risikomanagement und dokumentierte Prüfungen entlang der gesamten Wertschöpfungskette. Das bedeutet für viele Betriebe einen spürbaren Mehraufwand und neue Prozesse für regelmäßige Audits und Compliance-Kontrollen außenstehender Partner.

Managementhaftung und Risiken für KRITIS unter NIS2

Mit NIS2 verschärft sich die persönliche Verantwortung der Geschäftsleitung und des Managements in kritischen Infrastrukturen. Der Gesetzgeber legt klar fest, dass die Einhaltung aller Pflichten und Nachweise zur IT-Sicherheit keine reine Delegationsaufgabe ist. Verstöße können erhebliche Folgen für das einzelne Unternehmen und das leitende Personal haben.

NIS2: Sanktionen und Sorgfaltspflichten

Das Sanktionsregime unter NIS2 ist spürbar strenger als im bisherigen nationalen KRITIS-Rahmen. Von Bußgeldern bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes bis hin zu persönlichen Haftungsrisiken und einem möglichen temporären Berufsverbot für Verantwortliche reichen die Konsequenzen.

Erstmals schreibt das Gesetz vor, dass die Geschäftsleitung regelmäßige Schulungen absolvieren und den Stand der IT-Sicherheit aktiv überwachen muss. Dokumentation und Nachweispflicht werden damit unmittelbar zur Führungsaufgabe.

Typische Gefahren und Monitoring-Anforderungen

Moderne KRITIS-Unternehmen sind vielfältigen Gefahren ausgesetzt: gezielte Cyberangriffe, Angriffsversuche über die Lieferkette und fortlaufende technische Schwachstellen zählen zu den größten Risiken. NIS2 verlangt deshalb umfassende Monitoring-Systeme, kontinuierliche Risikoanalysen und proaktives Schwachstellenmanagement. Die ständige Überwachung aller relevanten IT-Komponenten wird zur Voraussetzung, um kritische Vorfälle früh zu erkennen und Meldepflichten zeitgerecht einzuhalten.

Roadmap für NIS2-Compliance in KRITIS

Eine gezielte Roadmap unterstützt KRITIS-Betreiber dabei, die Anforderungen der NIS2 effizient und nachhaltig zu erfüllen. Zu Beginn ist es wichtig, bestehende Strukturen zu bewerten und die eigene Compliance-Landschaft mit Blick auf neue EU-Standards zu prüfen. Nur so gelingt der Wechsel von nationalen Vorgaben hin zu einer harmonisierten Cybersicherheitsstrategie auf europäischer Ebene.

Integration von ISO 27001 und B3S – was bleibt, was fehlt?

Viele Unternehmen verfügen bereits über ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder erfüllen branchenspezifische Sicherheitsstandards (B3S). Diese Rahmenwerke bilden eine solide Basis, decken jedoch nicht alle NIS2-Anforderungen ab.

Entscheidend ist nun, vorhandene Prozesse um gesetzlich vorgeschriebene Nachweise, konkrete Meldefristen und die erweiterte Verantwortung im Management zu ergänzen. Normen wie ISO 27001 unterstützen weiterhin bei der strukturierten Risikoanalyse, bei Auditverfahren, Dokumentation oder Awareness, müssen aber um neue Vorgaben für das Monitoring der Lieferkette, die Managementhaftung oder die EU-weiten Meldeprozesse ergänzt werden.

Förderprogramme und Unterstützung für die NIS2-Umsetzung

Die Anpassung an die neuen Pflichten kann mit erheblichem Aufwand verbunden sein. Gerade für kleinere KRITIS-Betreiber, kommunale Versorger oder öffentliche Unternehmen stehen deshalb verschiedene Fördermöglichkeiten zur Verfügung.

Bund, Länder und Branchenverbände unterstützen mit Beratungsangeboten, Infoveranstaltungen sowie finanziellen Zuschüssen die Einführung moderner Sicherheitslösungen, die Durchführung von Risikoanalysen und die Vorbereitung auf Audits.

Wichtige Handlungsfelder und Umsetzungsschritte für KRITIS-Betreiber

Die erste Aufgabe besteht in einer realistischen Standortbestimmung: Wer ist nach dem neuen Gesetz betroffen und welche Prozesse erfüllen bereits jetzt die geforderten Standards? Im nächsten Schritt empfiehlt sich eine Gap-Analyse, um Lücken zu identifizieren und Maßnahmen zu priorisieren.

Eine NIS-2-Checkliste unterstützt dabei, alle relevanten Pflichten und Nachweise systematisch zu erfassen. Fehler bei der Umsetzung – etwa unvollständige Dokumentation – führen oft zu Bußgeldern und unnötigen Nachprüfungen.

Zu den wichtigsten Handlungsfeldern zählen:

⬆️ Aufbau oder Ausbau eines wirksamen Risikomanagements
⬆️ Regelmäßige Schulungen auf allen Hierarchieebenen, inklusive Management
⬆️ Nachweisbar dokumentierte Notfall- und Incident-Response-Strukturen
⬆️ Etablierung von kontinuierlichen Prozessen zur Kontrolle der gesamten Lieferkette
⬆️ Standardisierte Vorbereitung auf interne und externe Audits

Einbeziehen aller Verantwortungsbereiche

Zusätzlich sollte die technische Infrastruktur um Monitoring-Tools, automatisierte Meldemechanismen und Lösungen zur Angriffserkennung erweitert werden. Nur so lassen sich NIS2-Audits und Kontrollen zuverlässig bestehen. Die Umsetzung gelingt am effektivsten, wenn alle Verantwortungsbereiche – vom IT-Betrieb bis zur Führungsebene – in die Planung eingebunden sind. So entsteht ein belastbares Fundament für dauerhafte NIS2-Compliance in kritischen Infrastrukturen.

FAQs

Was ist KRITIS 2? keyboard_arrow_down keyboard_arrow_up
KRITIS 2 ist keine offizielle Gesetzesbezeichnung. Der Begriff wird oft umgangssprachlich für die neuen Regelungen verwendet, die durch das NIS2-Umsetzungsgesetz und das KRITIS-Dachgesetz ins deutsche Recht kommen. Damit beschreibt „KRITIS 2“ die ausgeweiteten Pflichten und Kontrollvorgaben für kritische Infrastrukturen (KRITIS) nach NIS2. Im Mittelpunkt stehen neue Schwellenwerte, strengere Nachweispflichten und mehr Verantwortung im Management. Der Ausdruck verweist auf die aktuelle Reform der KRITIS-Regulierung in Deutschland, ist aber rechtlich nicht definiert. Offiziell gelten NIS2 und das KRITIS-Dachgesetz.
Ab wann und wie muss ich als KRITIS-Betreiber NIS2 nachweisen? keyboard_arrow_down keyboard_arrow_up
KRITIS-Betreiber müssen NIS2-Anforderungen mit Inkrafttreten des NIS2-Umsetzungsgesetzes nachweisen. Nachweise sind auf Anfrage durch das BSI oder bei Auditpflicht regelmäßig vorzulegen. Dazu zählen Dokumentationen, Sicherheitskonzepte und Nachweise über die Einhaltung von Meldefristen.
Was ist eine KRITIS Zertifizierung? keyboard_arrow_down keyboard_arrow_up
Eine KRITIS Zertifizierung ist ein Nachweis, dass ein Unternehmen die IT-Sicherheitsanforderungen für kritische Infrastrukturen erfüllt. Sie basiert oft auf Standards wie ISO 27001 oder B3S. Die Zertifizierung erleichtert die Erfüllung von Nachweispflichten von KRITIS nach NIS2.