Inhaltsverzeichnis

    Die KRITIS-Verordnung ist ein zentrales Instrument zur Sicherung Kritischer Infrastrukturen (KRITIS) in Deutschland. Sie wurde vom Bundesministerium des Innern auf Grundlage des IT-Sicherheitsgesetzes erlassen und legt fest, welche Einrichtungen aufgrund ihrer Bedeutung für das Gemeinwohl besonderen Schutzanforderungen unterliegen.

    Hintergrund und Notwendigkeit

    Kritische Infrastrukturen sind Einrichtungen, Anlagen oder Teile davon, die für das Funktionieren des Gemeinwesens unerlässlich sind. Dazu zählen unter anderem die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Transport und Verkehr sowie Finanz- und Versicherungswesen. Ein Ausfall oder eine Beeinträchtigung dieser Strukturen kann erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere schwerwiegende Konsequenzen nach sich ziehen.

    Die zunehmende Digitalisierung, globale Vernetzung und die steigende Bedrohung durch Cyberangriffe machen klare gesetzliche Vorgaben und hohe Sicherheitsstandards notwendig. Die KRITIS-Verordnung soll dazu beitragen, die Resilienz dieser Einrichtungen zu stärken und ihre Funktionsfähigkeit auch in Krisenzeiten sicherzustellen.

    Inkrafttreten und rechtlicher Rahmen

    Die erste Version der KRITIS-Verordnung trat im Mai 2016 in Kraft. Seitdem wurde sie mehrfach überarbeitet und an neue technologische und gesellschaftliche Entwicklungen angepasst. Rechtsgrundlage ist § 10 Absatz 1 Satz 1 des BSI-Gesetzes (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik).

    Wer gilt als KRITIS-Betreiber?

    Von der KRITIS-Verordnung betroffen sind Betreiber von Anlagen, die festgelegte Schwellenwerte hinsichtlich Versorgungskapazität, Nutzeranzahl oder regionaler Reichweite überschreiten. Diese Schwellenwerte sind sektorenspezifisch definiert.

    Ein KRITIS-Betreiber ist ein Unternehmen oder eine Organisation, das bzw. die:

    • eine Anlage oder Dienstleistung in einem der KRITIS-Sektoren betreibt,
    • die festgelegten Schwellenwerte erreicht oder überschreitet (z. B. bei Energie eine Stromerzeugungskapazität über 420 MW oder eine Versorgung von mehr als 500.000 Personen),
    • durch einen Ausfall eine erhebliche Störung der öffentlichen Sicherheit oder Versorgung verursachen könnte.

    Beispiele für KRITIS-Betreiber

    • Große Energieversorger wie RWE, E.ON oder EnBW
    • Betreiber überregionaler Wasserwerke
    • Universitätskliniken oder große Krankenhäuser mit über 30.000 stationären Behandlungsfällen jährlich
    • Betreiber bedeutender Rechenzentren und Cloud-Infrastrukturen
    • Flughäfen und Bahnunternehmen mit nationaler Bedeutung
    • Zentralbanken, große Geschäftsbanken oder Rückversicherer

    Die zehn KRITIS-Sektoren im Überblick

    1. Energie – Strom-, Gas- und Kraftstoffversorgung
    2. Wasser – Öffentliche Wasserversorgung und Abwasserentsorgung
    3. Ernährung – Produktion, Verarbeitung und Vertrieb von Lebensmitteln
    4. Informationstechnik und Telekommunikation – Internetknoten, Telekommunikationsnetze, Rechenzentren
    5. Gesundheit – Krankenhäuser, Labore, Apotheken, Arzneimittelversorgung
    6. Transport und Verkehr – Straßen-, Schienen-, Luft- und Schifffahrtsverkehr sowie Logistik
    7. Finanz- und Versicherungswesen – Banken, Börsen, Versicherungsunternehmen
    8. Staat und Verwaltung – Regierungs- und Verwaltungsinstitutionen
    9. Medien und Kultur – Nachrichtenagenturen, Rundfunk- und Medienunternehmen
    10. Siedlungsabfallentsorgung – Abfallentsorgung und -verwertung

    Pflichten und Maßnahmen für KRITIS-Betreiber

    KRITIS-Betreiber sind gesetzlich verpflichtet, folgende Maßnahmen umzusetzen:

    1. Sicherheitsvorkehrungen treffen: Einführung geeigneter technischer und organisatorischer Schutzmaßnahmen für IT-Systeme.
    2. Sicherheitsvorfälle melden: Meldepflicht von erheblichen IT-Störungen oder Angriffen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).
    3. Nachweispflichten erfüllen: Alle zwei Jahre ist ein Nachweis über die Umsetzung der Sicherheitsmaßnahmen vorzulegen – in der Regel durch Prüfungen unabhängiger Auditoren.
    4. Zusammenarbeit mit dem BSI: Aktive Kommunikation und Kooperation mit dem BSI zur kontinuierlichen Verbesserung der Sicherheitslage.
    5. Kontaktstelle einrichten: Benennung einer permanent erreichbaren Kontaktperson zur Koordination im Krisenfall.

    Fazit

    Die KRITIS-Verordnung ist ein zentraler Baustein der nationalen Sicherheitsstrategie Deutschlands. Sie gewährleistet, dass lebenswichtige Infrastrukturen auch unter außergewöhnlichen Bedingungen funktionieren. Für die betroffenen Unternehmen bedeutet die Verordnung zwar einen erhöhten organisatorischen und finanziellen Aufwand, bietet jedoch im Gegenzug umfassenden Schutz vor wirtschaftlichen und sicherheitspolitischen Risiken. Angesichts der wachsenden Bedrohung durch Cyberangriffe und andere Krisenszenarien bleibt der Schutz Kritischer Infrastrukturen eine dauerhafte und zentrale Herausforderung.

    Rechtliche Hinweise: Bitte beachten Sie, dass wir keine Steuer- oder Rechtsberatung erbringen dürfen und mit dieser Information keine Steuer- oder Rechtsberatung erbracht wird. Es handelt sich um allgemeine und öffentlich zugängliche Informationen, die auf den jeweiligen Sachverhalt Ihres Unternehmens im Einzelfall anzupassen und aus steuer- und rechtlicher Sicht zu bewerten sind. Bitte holen Sie eine auf Ihre Umstände zugeschnittene Beratung Ihres Steuer- bzw. Rechtsberaters ein, bevor Sie Entscheidungen über die sich in Zusammenhang mit diesem Thema befindlichen Informationen treffen. Für die Richtigkeit der in diesem Artikel enthaltenen Angaben können wir trotz sorgfältiger Prüfung keine Gewähr übernehmen. Sie haben einen Fehler auf unserer Seite entdeckt? Dann freuen wir uns über Ihren Hinweis, wo er sich befindet. Nutzen Sie hierzu bitte unser Hinweisgeber-Meldeportal.

    Kontakt

    Dreyfield Deutschland GmbH

    +49 89 12414-9021

    E-Mail schreiben
    Download

    Zuletzt geändert am: 8. April 2025
    Beratungsfelder: , ,