Branche · NIS2 & KRITIS
NIS2 und KRITIS, sauber getrennt und richtig geführt.
Das NIS2-Umsetzungsgesetz verpflichtet einen breiten Kreis von Einrichtungen zur Cybersicherheit. Das KRITIS-Dachgesetz verpflichtet die enger gefasste kritische Infrastruktur zusätzlich zur physischen Resilienz. Wir ordnen Ihre tatsächliche Betroffenheit und führen zusammen, was zusammengehört.
Die gesetzliche Grundlage
Für betroffene Einrichtungen haben sich die Pflichten 2025 und 2026 erweitert. Zwei Gesetze greifen ineinander, jedes mit eigenem Anwendungsbereich, eigener Aufsicht und eigenem Schwerpunkt.
NIS2-Umsetzungsgesetz (BSIG)
Das NIS2-Umsetzungsgesetz setzt die EU-Richtlinie NIS2 um und novelliert das BSI-Gesetz. Es ist seit Dezember 2025 in Kraft und regelt die Cybersicherheit. Der Kreis der betroffenen Einrichtungen wächst erheblich, über die bisherigen Betreiber hinaus auf weitere wichtige und besonders wichtige Einrichtungen in 18 Sektoren. Pflicht sind unter anderem die Registrierung beim BSI, ein Risikomanagement, die Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden sowie Pflichten der Geschäftsleitung. Verstöße sind mit Bußgeldern von bis zu zehn Millionen Euro bewehrt.
KRITIS-Dachgesetz (CER-Richtlinie)
Das KRITIS-Dachgesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER) um und ist seit März 2026 in Kraft. Es schafft erstmals einen bundeseinheitlichen Rahmen für die physische Resilienz kritischer Anlagen, von Naturgefahren über Sabotage bis zu Anschlägen. Betreiber registrieren sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) auf der gemeinsamen Plattform mit dem BSI, erstellen eine Risikoanalyse, leiten daraus einen Resilienzplan ab und melden erhebliche Störungen innerhalb von 24 Stunden.
NIS2 ist breiter als KRITIS
Beide Begriffe werden oft vermischt, sind aber nicht deckungsgleich. NIS2 erfasst wichtige und besonders wichtige Einrichtungen in 18 Sektoren, also weit mehr Unternehmen als die klassische kritische Infrastruktur. KRITIS im engeren Sinne sind die kritischen Anlagen, die gesetzliche Schwellenwerte überschreiten. Sie gehören zu den besonders wichtigen Einrichtungen und unterliegen zusätzlich dem KRITIS-Dachgesetz. Kurz: Jede KRITIS-Anlage fällt unter NIS2, aber nicht jede NIS2-Einrichtung ist KRITIS.
Die eigentliche Herausforderung: Konvergenz
Wer unter beide Regime fällt, steht vor zwei Gesetzen und zwei Behörden in einem Betrieb. Cybersicherheit (BSI) und physische Resilienz (BBK) lassen sich nicht getrennt denken, denn Angriffe konvergieren. Genau hier liegt unsere Stärke: Als Teil der ProSec Gruppe decken wir die digitale und die physische Seite aus einer Hand ab und halten Ihre Nachweise konsistent.
Wie wir begleiten
Von der Betroffenheit bis zum Resilienzplan.
Betroffenheit und Scope
Wir klären, ob das NIS2-Umsetzungsgesetz und ob zusätzlich das KRITIS-Dachgesetz greift, und grenzen Geltungsbereich und etwaige kritische Anlagen ab.
Registrierung
Wir bereiten die fristgerechte Registrierung beim BSI (NIS2) vor und, soweit Sie KRITIS sind, zusätzlich beim BBK.
Risikoanalyse und Resilienzplan
Wir erstellen die geforderte Risikoanalyse und den Resilienzplan, technisch, sicherheitsbezogen und organisatorisch verzahnt.
Maßnahmen und Meldewege
Wir setzen die Maßnahmen um und richten die Meldung erheblicher Störungen innerhalb von 24 Stunden ein.
Wer betroffen ist
NIS2 adressiert wichtige und besonders wichtige Einrichtungen in 18 Sektoren, KRITIS die engere Teilmenge der kritischen Anlagen oberhalb gesetzlicher Schwellenwerte. Ob und wie Sie betroffen sind, klären wir verbindlich. Erfasst sind unter anderem:
- Energie
- Wasser
- Ernährung
- Gesundheit
- Transport und Verkehr
- Finanz- und Versicherungswesen
- IT und Telekommunikation
- Siedlungsabfallentsorgung
- Weltraum
Verbindung zu anderen Standards
Die Cybersicherheitspflichten bauen auf einem ISMS nach ISO 27001 und dem BSI IT-Grundschutz auf, die physische Seite auf gelebter Objekt- und Personensicherheit. Beides verzahnen wir mit Ihrem bestehenden Aufbau, statt parallel zu bauen. Zum Regulatorik-Überblick →
Bringen Sie NIS2 und KRITIS-Dachgesetz in ein Programm.
Eine vertrauliche Lagebeurteilung zeigt Ihre Betroffenheit, Ihre Fristen und den Weg zur Resilienz.
Vertrauliche Lagebeurteilung vereinbaren