KRITIS: Was Unternehmen jetzt wissen müssen

Was zählt zur kritischen Infrastruktur? Wen betrifft das? Und welche Pflichten ergeben sich daraus? Dieser Artikel liefert einen kompakten Überblick.

Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Ziel ist es, Orientierung zu bieten und für relevante Entwicklungen rund um KRITIS zu sensibilisieren. Für verbindliche Auskünfte empfehlen wir die offiziellen Informationen des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder die Konsultation entsprechender Fachstellen.
Was bedeutet KRITIS eigentlich?
KRITIS steht für „kritische Infrastrukturen“ – also lebenswichtige Versorgungsbereiche wie Energie, Wasser, Gesundheit oder Kommunikation, deren Ausfall massive Folgen für Gesellschaft, Wirtschaft und Sicherheit hätte.
Der Begriff hat in den letzten Jahren zunehmend an Bedeutung gewonnen. Dahinter verbergen sich jene Bereiche des öffentlichen und wirtschaftlichen Lebens, die für das Funktionieren unserer Gesellschaft unverzichtbar sind. Wenn sie ausfallen oder gestört werden, kann das massive Auswirkungen auf Gesundheit, Sicherheit oder das wirtschaftliche und soziale Wohl der Bevölkerung haben.
Dazu zählen beispielsweise die Strom- und Wasserversorgung, das Gesundheitswesen, der öffentliche Verkehr oder digitale Kommunikationsnetze. Gerade in Krisenzeiten – etwa während der Corona-Pandemie oder im Zuge von Cyberangriffen – wurde deutlich, wie abhängig wir von der Funktionsfähigkeit dieser Systeme sind.
KRITIS ist also kein rein technischer Begriff. Es geht um gesellschaftliche Resilienz: Wie schützen wir zentrale Lebensadern unserer Infrastruktur vor Ausfällen, Angriffen oder Störungen – und wie stellen wir sicher, dass sie auch im Krisenfall funktionsfähig bleiben?
Die Debatte um KRITIS ist dabei nicht nur sicherheitspolitisch motiviert. Sie betrifft zunehmend auch Unternehmen, die bislang nicht im Fokus standen – und die nun prüfen müssen, ob sie als KRITIS-Unternehmen gelten und welche Pflichten sich daraus ergeben.

Diese Infrastrukturen gelten als kritisch
Zu den KRITIS-Sektoren zählen unter anderem Energie, Wasser, Gesundheit, Verkehr und IT – also Bereiche, die für das Gemeinwohl besonders relevant sind und bei Ausfällen schwerwiegende Folgen hätten.
Nicht jedes Unternehmen, das wichtig erscheint, gilt automatisch als Teil der kritischen Infrastruktur. Der Gesetzgeber hat hierfür konkrete Sektoren definiert, in denen eine besonders hohe Relevanz für das Gemeinwesen vorliegt. Diese Einordnung erfolgt auf Grundlage der KRITIS-Verordnung und wird durch das geplante KRITIS-Dachgesetz künftig ergänzt und erweitert.
Folgende Sektoren zählen derzeit zu den KRITIS-Bereichen:
- Energie (z. B. Strom-, Gas- und Fernwärmeversorgung)
- Wasser (Trinkwasserversorgung und Abwasserentsorgung)
- Ernährung (Produktion, Verarbeitung und Vertrieb lebenswichtiger Güter)
- Informationstechnik und Telekommunikation (Netzbetreiber, Rechenzentren etc.)
- Gesundheit (Krankenhäuser, Labore, Apotheken, Arzneimittelproduktion)
- Finanz- und Versicherungswesen (Banken, Börseninfrastruktur, Zahlungsverkehr)
- Transport und Verkehr (Flughäfen, Bahnbetreiber, Logistikzentren)
- Staat und Verwaltung (z. B. Katastrophenschutz, kommunale Infrastrukturen)
- Medien und Kultur (z. B. Nachrichtenagenturen, öffentlich-rechtliche Medien)
Innerhalb dieser Sektoren gelten bestimmte Schwellenwerte, etwa zur Größe, zur Versorgungsreichweite oder zum Marktanteil. Unternehmen, die diese Schwellenwerte überschreiten, werden als KRITIS-BetreiberInnen eingestuft – mit entsprechenden Pflichten in Bezug auf Sicherheit und Resilienz.
Wichtig: Auch regionale Unternehmen oder spezialisierte Dienstleister können unter die Definition fallen, wenn sie in einem bestimmten Gebiet als versorgungsrelevant gelten – etwa als einzige WasserversorgerInnen oder IT-DienstleisterInnen für beispielsweise kommunale Netze.

Wann zählt ein Unternehmen als KRITIS?
Ein Unternehmen gilt als KRITIS, wenn es in einem gesetzlich definierten Sektor tätig ist und bestimmte Schwellenwerte in Versorgung, Kapazität oder Systemrelevanz überschreitet.
Die zentrale Frage für viele Unternehmen lautet: Ab wann gelten wir als kritische Infrastruktur – und wie wird das festgelegt?
Die Antwort darauf hängt von mehreren Faktoren ab, die in der aktuellen KRITIS-Verordnung sowie künftig im KRITIS-Dachgesetz geregelt sind.
Grundsätzlich gilt:
Ein Unternehmen wird als KRITIS eingestuft, wenn es in einem der relevanten Sektoren tätig ist und bestimmte Schwellenwerte überschreitet. Diese Schwellenwerte sind je nach Branche unterschiedlich und beziehen sich auf Kriterien wie:
- Versorgungsreichweite: z. B. Anzahl versorgter Menschen oder Haushalte
- Technische Kapazitäten: z. B. Durchsatzleistung, Volumen, Produktionsmenge
- Marktrelevanz: z. B. Monopolstellung in einer Region
- Systemische Bedeutung: z. B. Schlüsselstellung im übergeordneten Netz
Ein Beispiel:
Ein regionales Energieversorgungsunternehmen kann KRITIS sein, wenn es eine große Zahl an Haushalten mit Strom beliefert. Ein mittelständisches Rechenzentrum kann betroffen sein, wenn es zentrale Verwaltungsinfrastrukturen hostet.
Mit dem geplanten KRITIS-Dachgesetz wird sich der Fokus weiter verschieben: Künftig soll nicht nur die technische Größe ausschlaggebend sein, sondern auch die Funktion innerhalb des Gesamtsystems. Auch kleinere, aber strategisch wichtige Unternehmen können dann in den Anwendungsbereich fallen.

Was Unternehmen jetzt tun sollten
Unternehmen sollten proaktiv prüfen, ob sie die Kriterien erfüllen oder künftig erfüllen könnten. Wer unsicher ist, kann sich an die zuständigen Behörden wenden – oder eine erste Selbsteinschätzung auf Basis der veröffentlichten Schwellenwerte vornehmen.
Wer bestimmt den KRITIS-Status?
Der KRITIS-Status eines Unternehmens wird auf Basis gesetzlicher Schwellenwerte durch zuständige Fachbehörden wie das BSI, das BBK oder sektorspezifische Stellen festgestellt.
Die Frage, wer darüber entscheidet, ob ein Unternehmen KRITIS ist, ist nicht nur rechtlich, sondern auch organisatorisch relevant. Denn mit dem Status gehen klare Pflichten einher – etwa zur IT-Sicherheit, zur Meldepflicht von Störungen oder zur Umsetzung von Schutzmaßnahmen.
Je nach Sektor sind unterschiedliche Behörden dafür verantwortlich, den KRITIS-Status festzustellen oder zu prüfen. Zentral dabei sind:
- das Bundesamt für Sicherheit in der Informationstechnik (BSI) – insbesondere für die Cybersicherheit
- das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) – mit Blick auf übergreifende Schutzbedarfe
- sowie jeweils sektorspezifische Behörden, wie etwa die Bundesnetzagentur (für Energie und Telekommunikation) oder das Bundesministerium für Gesundheit
In der Regel erfolgt die Feststellung anhand klar definierter technischer Schwellenwerte, die in der KRITIS-Verordnung geregelt sind. Unternehmen, die diese Kriterien erfüllen, gelten automatisch als KRITIS-BetreiberInnen und müssen sich registrieren bzw. bestimmte Anforderungen umsetzen.

Das ändert sich mit dem KRITIS-Dachgesetz
Das KRITIS-Dachgesetz vereinheitlicht und erweitert die Definition kritischer Infrastrukturen und stärkt die behördlichen Kontroll- und Prüfbefugnisse.
Mit dem neuen KRITIS-Dachgesetz, das als übergreifender Rechtsrahmen dienen soll, wird die KRITIS-Definition vereinheitlicht und erweitert. Das bedeutet auch: Die Behörden erhalten künftig mehr Befugnisse, um Unternehmen mit besonderer Relevanz zu identifizieren – auch dann, wenn diese bisher nicht als KRITIS galten. Zudem ist geplant, dass BetreiberInnen kritischer Infrastrukturen regelmäßig Prüfungen und Nachweise zu ihrer Resilienz und Vorsorge erbringen müssen. Die Aufsicht darüber soll ebenfalls gebündelt und sektorübergreifend gestärkt werden.
Konkret heißt das:
- Erweiterung des Anwendungsbereichs: Auch kleinere, aber systemrelevante Einrichtungen können künftig erfasst werden.
- Verpflichtende Risikoanalysen und Schutzkonzepte
- Behördliche Prüfungen und Nachweispflichten
- Sektorübergreifende Mindeststandards für Resilienz, Notfallplanung und Schutzmaßnahmen
Ziel ist es, die gesamtstaatliche Resilienz zu stärken – also sicherzustellen, dass zentrale Versorgungseinrichtungen auch in Krisensituationen funktionsfähig bleiben.

Was bedeutet KRITIS in der Praxis?
KRITIS bedeutet für Unternehmen konkrete gesetzliche Verpflichtungen zu IT-Sicherheit, physischem Schutz, Notfallmanagement und Meldepflichten – mit direktem Einfluss auf den Betriebsalltag.
Für Unternehmen, die als Teil der kritischen Infrastruktur eingestuft werden, hat das spürbare Konsequenzen. KRITIS ist keine abstrakte Kategorisierung – es bedeutet Verantwortung, Nachweispflichten und ganz konkrete Anforderungen im Betriebsalltag.
Sicherheitsanforderungen
KRITIS-Unternehmen müssen ein hohes Maß an technischer und organisatorischer Sicherheit gewährleisten. Das betrifft insbesondere:
- IT-Sicherheit und Cyberresilienz: Nachweis geeigneter Schutzmaßnahmen gemäß BSI-Vorgaben.
- Physischer Schutz: Zugangskontrollen, Schutz sensibler Anlagen, Backup-Infrastruktur.
- Notfallmanagement und Wiederanlaufplanung: Szenarien für Ausfälle, Krisenstabsstrukturen, regelmäßige Übungen.
Viele dieser Maßnahmen sind nicht optional – sie sind gesetzlich vorgeschrieben und müssen regelmäßig auditiert oder gemeldet werden.
Meldepflichten und Kommunikation
Ein weiterer zentraler Punkt ist die Meldepflicht bei Störungen. KRITIS-Unternehmen sind verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich an das BSI oder die jeweils zuständige Behörde zu melden – beispielsweise bei:
- IT-Angriffen,
- Ausfällen wesentlicher Systeme,
- Beeinträchtigung von Versorgungsleistungen.
Ziel ist eine frühzeitige Lageeinschätzung und Koordination auf staatlicher Ebene.

Prüfungen und Nachweise
Mit dem geplanten KRITIS-Dachgesetz kommen zusätzliche Pflichten hinzu, darunter:
- regelmäßige Eigenprüfungen und Risikoanalysen,
- externe Kontrollen durch Behörden oder Prüforganisationen,
- Dokumentationspflichten für Schutzmaßnahmen.
Diese Anforderungen sollen sicherstellen, dass Resilienz nicht nur auf dem Papier steht, sondern tatsächlich in der Organisation verankert ist.
Chancen statt nur Pflichten
So herausfordernd das für Unternehmen auch sein mag – es gibt auch eine positive Perspektive:
Wer heute schon KRITIS-konform arbeitet, erhöht die eigene Ausfallsicherheit, verbessert interne Prozesse und kann das Thema Sicherheit aktiv in der Kommunikation nutzen. Nicht zuletzt erhalten KRITIS-Unternehmen oft früheren Zugang zu staatlicher Unterstützung, etwa in Krisenlagen oder bei Investitionsförderung in die Infrastruktur.
Ein Beispiel aus der Praxis
Als Anbieter von Intranet- und MitarbeiterInnenplattformen für Organisationen im öffentlichen Bereich, in der Gesundheitsversorgung oder im Bereich kritischer Infrastruktur kann auch XELOS als Teil der Versorgungskette relevant werden – insbesondere, wenn KundInnen aus dem KRITIS-Umfeld auf zentrale Funktionen wie Kommunikation, Wissensmanagement oder Notfallinformationen angewiesen sind. In solchen Fällen ist nicht nur die eigene IT-Sicherheit entscheidend, sondern auch, wie gut die Plattform dabei unterstützt, Resilienz auf Seiten der betreuten Einrichtungen zu stärken.

Was jetzt wichtig ist
Um als Unternehmen KRITIS-konform zu bleiben, sind jetzt Selbsteinschätzung, IT-Sicherheitsanalysen, klare Verantwortlichkeiten und die Vorbereitung auf das neue KRITIS-Dachgesetz entscheidend.
1. Selbsteinschätzung vornehmen
Prüfen Sie anhand der aktuellen KRITIS-Verordnung:
- In welchem Sektor sind Sie tätig?
- Werden Schwellenwerte überschritten?
- Gibt es Besonderheiten in der regionalen Versorgung, die Relevanz erzeugen?
Das BSI bietet hierzu unterstützende Materialien und Übersichten.
2. IT-Sicherheitsniveau analysieren
Selbst wenn Sie (noch) nicht offiziell als KRITIS-Unternehmen gelten:
Ein stabiles IT-Sicherheitskonzept ist heute Grundvoraussetzung für Resilienz – und wird im Rahmen des Dachgesetzes auch für nicht-klassische KRITIS-Akteure an Bedeutung gewinnen.
- Gibt es regelmäßige Sicherheitsupdates?
- Werden Schwachstellen systematisch identifiziert und behoben?
- Gibt es einen Notfall- und Wiederanlaufplan?
3. Verantwortlichkeiten und Prozesse definieren
Resilienz beginnt intern:
- Wer ist zuständig für Sicherheitsfragen?
- Gibt es klare Eskalations- und Kommunikationsprozesse im Krisenfall?
- Sind Mitarbeitende ausreichend geschult – auch abteilungsübergreifend?

4. Entwicklungen rund um das KRITIS-Dachgesetz verfolgen
Das Gesetz soll 2025 in Kraft treten. Und es wird den Schutz kritischer Infrastrukturen in Deutschland grundlegend neu aufstellen.
Unternehmen sollten:
- die politischen Entwicklungen beobachten,
- Verbandsinformationen und Branchenverbünde nutzen,
- ggf. bereits erste Pilotprojekte zur Resilienzstärkung anstoßen.
5. Prävention als Wettbewerbsvorteil denken
Krisenprävention und Sicherheit sollten nicht nur als Pflicht, sondern auch als strategischer Vorteil betrachtet werden:
- höhere Stabilität gegenüber externen Risiken,
- mehr Vertrauen bei KundInnen, PartnerInnen und Behörden,
- bessere Vorbereitung für staatliche Prüfungen und Förderungen.
Fazit: Verantwortung erkennen – Resilienz stärken

KRITIS steht für den Schutz lebenswichtiger Infrastrukturen und zeigt, wie essenziell Sicherheit und Resilienz für unsere Gesellschaft und Unternehmen sind.
KRITIS ist mehr als nur ein gesetzlicher Rahmen. Es ist ein Spiegel dafür, wie sehr unsere Gesellschaft auf verlässliche, funktionierende Infrastrukturen angewiesen ist – und wie wichtig es ist, diese zu schützen.
Für Unternehmen bedeutet das:
Sicherheit und Resilienz sind kein Add-on mehr, sondern Pflicht. Ob Energie, Gesundheit, IT oder Logistik – wer Teil eines sensiblen Versorgungssystems ist, übernimmt eine zentrale Rolle für das Gemeinwohl. Und mit dieser Rolle kommt Verantwortung.
Gleichzeitig eröffnen sich auch Chancen:
Wer frühzeitig handelt, kann Risiken minimieren, Prozesse verbessern und Vertrauen aufbauen – intern wie extern. Mit dem neuen KRITIS-Dachgesetz wächst die Bedeutung des Themas weiter. Unternehmen tun daher gut daran, nicht auf gesetzliche Pflichten zu warten, sondern aktiv voranzugehen.
FAQ: Die 10 häufigsten Fragen zu KRITIS kurz beantwortet

Was bedeutet KRITIS konkret für Unternehmen?
KRITIS-Unternehmen müssen erhöhte Sicherheitsanforderungen erfüllen – z. B. in den Bereichen IT, physischer Schutz und Notfallplanung. Sie unterliegen außerdem Meldepflichten und müssen regelmäßig Nachweise erbringen.
Wie finde ich heraus, ob mein Unternehmen KRITIS ist?
Die KRITIS-Verordnung enthält konkrete Schwellenwerte je nach Sektor. Unternehmen, die diese überschreiten, gelten als KRITIS-BetreiberInnen. Bei Unsicherheit helfen branchenspezifische Verbände oder eine Selbsteinschätzung anhand der offiziellen Kriterien.
Was ändert sich mit dem KRITIS-Dachgesetz?
Das geplante Dachgesetz erweitert den Schutz kritischer Infrastrukturen über den IT-Bereich hinaus. Es bringt neue Pflichten wie Risikoanalysen, regelmäßige Prüfungen und sektorübergreifende Mindeststandards – auch für kleinere, aber systemrelevante Unternehmen.
Wie trägt das KRITIS-Dachgesetz dazu bei, kritische Infrastrukturen besser zu schützen?
Das Dachgesetz schafft einheitliche Standards und verbindliche Vorgaben, um kritische Infrastrukturen umfassend zu schützen – von der IT-Sicherheit über physische Maßnahmen bis zur organisatorischen Resilienz.
Müssen auch kleinere Unternehmen KRITIS-Anforderungen erfüllen?
Bisher nur, wenn sie bestimmte Schwellenwerte überschreiten. Das neue Dachgesetz sieht jedoch vor, dass künftig auch kleinere Betriebe mit besonderer Bedeutung für die Versorgungssicherheit erfasst werden können.
Wo bekomme ich Unterstützung bei der Umsetzung?
Das BSI stellt Leitfäden, Kriterien und Sicherheitsanforderungen bereit. Auch Verbände, Fachberatungen und spezialisierte DienstleisterInnen bieten Unterstützung – von der Erstbewertung bis zur Umsetzung von Schutzkonzepten.
Welche Informationen müssen BetreiberInnen kritischer Infrastrukturen schützen?
BetreiberInnen müssen nicht nur die physischen Anlagen schützen, sondern auch sensible Informationen, die für den Betrieb und die Sicherheit der Infrastrukturen relevant sind – etwa Zugangsdaten, technische Dokumentationen oder Notfallpläne.
Welche Rolle spielen Informationen im Schutz kritischer Infrastrukturen?
Informationen sind das Herzstück der Steuerung und Überwachung kritischer Infrastrukturen. Ihr Schutz vor Diebstahl, Manipulation oder Verlust ist essentiell, um die Stabilität und Verfügbarkeit der Infrastrukturen zu gewährleisten.
Wer ist für den Schutz kritischer Infrastrukturen verantwortlich?
Primär sind die BetreiberInnen der kritischen Infrastrukturen verantwortlich, die notwendigen Sicherheitsmaßnahmen umzusetzen. Darüber hinaus unterstützen staatliche Stellen durch Regelwerke und Kontrollen.
Wie kann man kritische Infrastrukturen vor Cyberangriffen schützen?
Durch den Schutz sensibler Informationen und eine robuste IT-Sicherheitsarchitektur. Dazu gehören Verschlüsselung, Zugangskontrollen, regelmäßige Sicherheitsupdates und Schulungen für Mitarbeitende.