KRITIS-Dachgesetz und NIS2

seit 17.03.2026 ist das neue KRITIS-Dachgesetz in Kraft. Hier erfahren Sie das Wichtigste dazu.

Mit NIS2 und dem KRITIS-Dachgesetz setzt Deutschland die EU-CER-Richtlinie (2022/2557) zur Sicherung Kritischer Infrastruktur in nationales Recht um. Ab Inkrafttreten der neuen Vorgaben müssen deutsche Unternehmen erhöhten Ansprüchen in Bezug auf Risikomanagement, Sicherheit und Meldungen von Störfällen gerecht werden.

Hier finden Sie das Wichtigste zum KRITIS-Dachgesetz für Betreiber kritischer Infrastrukturen im Überblick:

Wie kann mir lokavis sicherheitstechnik helfen?

Wir sind ihr kompetenter Partner für Perimeterabsicherung, Einbruchmeldeanlagen, IP-Videoüberwachung und Steuerungstechnik & MSR.

Durch unsere langjährige Erfahrung wissen wir, worauf es bei Sicherheitskonzepten ankommt und welche Systeme im jeweiligen Fall am sinnvollsten sind. Jedes Projekt betrachten wir individuell. Wir prüfen, ob für die Außengelände-Absicherung Ihrer Anlage Zaundetektion, Bodendetektion, Mikrowellendetektion von SOUTHWEST MICROWAVE, Videoüberwachung oder eine Kombination aus mehreren Systemen am zielführendsten ist. Dazu können wir bei Bedarf Zutrittskontrolle und Einbruchmeldeanlagen von TELENOT anbieten.

Sie erhalten bei uns auf Wunsch ein Komplettpaket aus Planung, Material, Installation, Konfiguration und Wartung. Alternativ können Sie bei uns einzelne Leistungen einkaufen oder nur das Material über uns beziehen. Ganz wie es am besten zu Ihrem Projekt passt.

Unser Partner Southwest Microwave bietet seine Prozessormodule auch in der Variante CDA-konfiguriert an. Alle als Critical Digital Asset konfigurierten Komponenten werden in einem extra abgesicherten, zutrittsgeschützten Raum ohne Netzwerkzugang vorbereitet und versiegelt versendet. Somit erfüllen sie die NIS2-Anforderungen.

Gerne erstellen wir Ihnen ein auf ihre individuellen Anforderungen und Gegebenheiten zugeschnittenes Angebot.

Beratungstermin vereinbaren

KRITIS-Dachgesetz

Ist mein Unternehmen vom KRITIS-Dachgesetz betroffen?

Das Gesetz betrifft mehr Unternehmen, als der Name vermuten lässt. Betroffen sind Sie, wenn einer oder mehrere der folgenden Punkte auf Ihre Einrichtung zutrifft:

  • Essenziell für die Gesamtversorgung in Deutschland
  • Versorgung von mehr als 500.000 Menschen
  • Relevanz im Zuge wechselseitiger Abhängigkeiten der kritischen Infrastrukturen untereinander
  • Identifizierung durch die jeweilige Landesbehörde als KRITIS-Betreiber

Was passiert, wenn ich mich als KRITIS-Betreiber nicht registriere?

Der Gesetzgeber hat für diesen Fall im Gesetz verankert, dass die Registrierung durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe erfolgt. Zuvor gibt es eine Anhörung des Betreibers. Die Registrierung geschieht im Einvernehmen des Bundesamts für Sicherheit in der Informationstechnik sowie der zuständigen Bundesbehörde oder Landesbehörde.

Beratungstermin vereinbaren

Was muss ich als KRITIS-Betreiber tun?

Betroffene Unternehmen müssen sich innerhalb von 3 Monaten (frühestens bis 17. Juli 2026) nach Einstufung als kritische Anlage bei der Meldestelle KRITIS des BSI registrieren. Danach haben sie 10 Monate Zeit für eine umfassende Risikoanalyse und Risikobewertung. Diese ist spätestens alle 4 Jahre, im Bedarfsfall auch früher, zu wiederholen.

Zur Gewährleistung der Resilienz sind Betreiber verpflichtet, unter Einhaltung des Stands der Technik verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen in folgenden Bereichen zu treffen:

  • das Auftreten von Vorfällen verhindern
  • einen angemessenen physischen Schutz von Grundstücken (Liegenschaften) und kritischen Anlagen gewährleisten
  • auf Vorfälle reagieren, sie abwehren und deren negative Auswirkungen begrenzen
  • nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung gewährleisten

Ein Resilienzplan muss bezugnehmend auf die Risikoanalyse- und bewertung die zugrunde liegenden Erwähnungen nennen. Die darauf basierenden Maßnahmen müssen dargestellt und angewendet werden. Bei Bedarf sowie nach jeder Risikoanalyse und -bewertung ist der Resilienzplan zu aktualisieren.

Folgende Maßnahmenbereiche werden im Gesetz genannt:

  • Notfallvorsorge
  • bauliche und technische Sicherung (Perimeterschutz), organisatorischer Schutz (Objektschutz), wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente
  • Umgebungsüberwachung
    (Perimeterschutz, VMS)
  • Detektionsgeräte
    (Perimeterschutz)
  • Zugangskontrollen
    (Zutrittskontrollsysteme)
  • Risiko- und Krisenmanagementverfahren und -protokolle
  • vorgegebene Abläufe im Alarmfall
  • Maßnahmen zur Aufrechterhaltung des Betriebs, u.a. Notstromversorgung
  • alternative Lieferketten für die Wiederaufnahme der Erbringung der wesentlichen Dienste
  • angemessenes Sicherheitsmanagement hinsichtlich Mitarbeitenden inklusive Personal externer Dienstleister
  • Unterweisung des Personals durch Informationsmaterialen, Schulungen und Übungen

Welche Sektoren zählen zur Kritischen Infrastruktur (KRITIS)?

Das Gesetz gilt für KRITIS-Betreiber in folgenden Sektoren:

  1. Energie
  2. Transport und Verkehr
  3. Finanzwesen
  4. Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitssuchende
  5. Gesundheitswesen
  6. Wasser
  7. Ernährung
  8. Informationstechnik und Telekommunikation
  9. Weltraum
  10. Siedlungsabfallentsorgung
Beratungstermin vereinbaren

NIS2

Ist mein Unternehmen von NIS2 betroffen?

Unter die NIS2-Richtlinie fallen Unternehmen, die mindestens eine der folgenden Voraussetzungen erfüllen:

  • mehr als 50 Mitarbeitern
  • mehr als 10 Mio. € Bilanzusumme / Jahresumsatz

Was sind die Kernpunkte der NIS2-Richtlinie?

  • Geschäftsführer-Haftung
    Führungskräfte werden bzgl. Risikomanagement in die Pflicht genommen und können ggf. persönlich haftbar gemacht werden
  • Strenge Sicherheitsanforderungen
    Umsetzungspflicht für technische & organisatorische Maßnahmen, u.a. Incident Management und Absicherung der Lieferkette
  • Meldepflichten 
    Kurze Fristen für Meldung erheblicher Sicherheitsvorälle an die zuständigen Behörden
  • Strafen / Sanktionen 
    empfindiche Bußgelder drohen bei Nichteinhaltung, wobei die Höhe von der Unternehmenseinstufung abhängt; bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes
Beratungstermin vereinbaren

Ich bin von NIS2 betroffen - was muss ich tun?

  1. Machen Sie die BSI-Betroffenheitsprüfung:
    BSI – NIS-2-Betroffenheitsprüfung
  2. Machen Sie Cybersicherheit zur Geschäftsführer-Verantwortung.
  3. Registrieren Sie Ihr Unternehmen im BSI-Portal (ELSTER-Organisationszertifikat notwendig):
    BSI-Portal
  4. Implementieren Sie Meldeverfahren für Sicherheitsvorfälle in Ihrem Unternehmen und kommen Sie Ihrer Meldepflicht nach
  5. Lassen Sich sich als Geschäftsleitung schulen
  6. Ergreifen Sie Risikomanagementmaßnahmen

vgl. Quelle: BSI – NIS-2 – was tun?

Welche Sektoren sind von NIS2 betroffen?

Die Sektoren für NIS2 weichen leicht von den deutschen KRITIS-Sektoren ab:

Essential Entities

  • Energie
  • Transport
  • Bankwesen
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • ICT Service Management (nur B2B)
  • Öffentliche Verwaltung
  • Weltraum

Important Entities

  • Post und Kurier
  • Abfall
  • Chemikalien
  • Lebensmittel
  • Herstellung
  • Digitale Dienste
  • Forschung
Beratungstermin vereinbaren

Unser Newsletter

In unserem Newsletter informieren wir Sie über Neuigkeiten unseres Unternehmens sowie zu unseren Produktsparten.
Dazu gehören unter anderem Messeankündigungen, oftmals in Zusammenhang mit Gasttickets, Produktneuerungen und Informationen zu Produktänderungen.

Melden Sie sich an, um stets auf dem Laufenden zu bleiben:

Zum Newsletter anmelden

Die Anmeldung erfolgt über Double-Opt-In. Wenn Sie das Formular abgeschickt haben, erhalten Sie eine automatisierte Mail mit der Bitte, Ihre Anmeldung zu unserem Newsletter zu bestätigen.
Erst wenn Sie dies getan haben, sind Sie angemeldet.

Sie haben selbstverständlich jederzeit die Möglichkeit, Ihre Daten inklusive Ihrer Präferenzen anzupassen oder sich vollständig vom Newsletter abzumelden.

  • Funkmast auf einem Hügel mit weißem Gebäude und rotem Zaun, davor steht eine Person mit erhobenen Armen, die versucht einzudringen. Das verbaute UniZone gibt Alarm.
  • MicroPoint™ II Zaundetektion, MicroTrack™ II Bodendetektion, MicroWave 330 Digitale Mikrowellenbarriere
  • Kritische Infrastruktur systematisch schützen! - Mit zertifizierter Sicherheitstechnik! - Jetzt individuell zu KRITIS beraten lassen!
  • Lupe über einem Gebäudeplan
  • rundes verglastes Gebäude mit großen Fensterflächen, davor wird die Bodendetektion MicroTrack™ II durch gelbe Lichtwellen dargestellt. Dort, wo eine Person die Bodendetektion überschreitet, zeigt eine rote Zone den ausgelösten Alarm an.
  • Alternativtext