KRITIS

Warum KRITIS mehr als ein NIS-2-Unterthema ist

KRITIS ist ein eigenstaendiges Schutzregime, das sich mit NIS-2 ueberschneidet, aber nicht deckungsgleich ist: Das KRITIS-Dachgesetz adressiert physische Resilienz (z.B. Schutz vor Sabotage, Naturkatastrophen), waehrend NIS-2 primaer Cybersicherheit regelt. Organisationen, die beide Regime erfuellen muessen, brauchen ein integriertes Resilienzkonzept statt zweier getrennter Compliance-Spuren.

Wo KRITIS-Anforderungen gelten

Framework	Referenz	Anforderung
KRITIS-Dachgesetz	vollstaendig	Physische und operative Resilienz kritischer Infrastrukturen als eigenstaendiges Schutzregime.
BSIG	§ 2 Abs. 10	Definition kritischer Infrastrukturen mit Verweis auf die BSI-KritisV.
NIS-2 / BSIG	§ 28	KRITIS-Betreiber als Sonderfall wesentlicher Einrichtungen mit verschaerften Pflichten.
EU-CER-Richtlinie	vollstaendig	Critical Entities Resilience Directive als europaeische Grundlage des KRITIS-Dachgesetzes.
BBK	vollstaendig	Bundesamt fuer Bevoelkerungsschutz: Zustaendig fuer physische KRITIS-Resilienz neben BSI-Cybersicherheit.

BAM-Objektreferenz

Haeufige Fehler

• KRITIS-Dachgesetz und NIS-2 als getrennte, nicht koordinierte Compliance-Programme behandelt
• Physische Resilienzanforderungen (Zutrittsschutz, Redundanz) vernachlaessigt
• Sektoraler Ansprechpartner (BBK vs. BSI) nicht klar zugeordnet
• Keine integrierte Risikobewertung physischer und digitaler Bedrohungen

Sektorale Vielfalt der KRITIS-Anforderungen

Die sieben KRITIS-Sektoren haben jeweils eigene Aufsichtsbehoerden und teilweise sektorspezifische Zusatzregelungen: Energieversorger unterliegen zusaetzlich dem EnWG und der Bundesnetzagentur, Finanzdienstleister der BaFin und DORA, Gesundheitseinrichtungen dem Patientendatenschutzgesetz. Ein vollstaendiges KRITIS-Compliance-Programm muss diese sektoralen Ueberschneidungen kennen und koordinieren.

Verwandte Begriffe