KRITIS

Was bedeutet KRITIS?

Der KRITIS-Begriff stammt aus dem deutschen BSI-Gesetz und der nachgelagerten KRITIS-Verordnung (BSI-KritisV). Erfasst sind Sektoren wie Energie, Wasser, Ernährung, IT und TK, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Siedlungsabfallentsorgung, Medien und Kultur sowie staatliche Verwaltung. Konkrete Schwellenwerte (z. B. versorgte Einwohner, transportierte GWh, Anzahl behandelter Patienten) entscheiden, ob eine konkrete Anlage als KRITIS gilt.

KRITIS-Betreiber müssen alle zwei Jahre den Stand der Technik gegenüber dem BSI nachweisen, ein zentrales Sicherheitsvorfall-Meldewesen unterhalten und einen Sicherheitsverantwortlichen benennen. Mit NIS2 und dem KRITIS-Dachgesetz wird der Kreis der Pflichten erweitert: physische Sicherheit, Lieferketten-Resilienz und sektorenübergreifende Übungen rücken in den Mittelpunkt.

Die häufigste Verwechslung: KRITIS ist nicht gleich NIS2. NIS2 erfasst auch viele Mittelständler unterhalb der KRITIS-Schwellen, die zwar nicht „lebenswichtig” sind, aber als „wichtige Einrichtungen” gelten. Wer KRITIS ist, ist automatisch auch NIS2-pflichtig — umgekehrt aber nicht.

Verwandte Begriffe

• NIS2 — EU-Richtlinie 2022/2555 zur Cybersicherheit — verpflichtet „wesentliche” und „wichtige” Einrichtungen in 18 Sektoren zu Risikomanagement, Meldepflichten und persönlicher Geschäftsleitungs-Haftung.
• BSI Grundschutz — Methodischer Rahmen des Bundesamts für Sicherheit in der Informationstechnik zur Umsetzung eines ISMS — branchen­neutral, mit konkreten Bausteinen und prüfbaren Anforderungen.