KRITIS: 2026 wird der Nachweis in diesen Sektoren fällig

„Kritische Infrastrukturen (kurz KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

KRITIS Definition der Bundesresorts

Die KRITIS-Verordnung definiert insgesamt zehn Sektoren, die kritische Dienstleistungen für die Allgemeinheit erbringen. Nach § 8a Absatz 1 BSIG sind KRITIS-Betreiber innerhalb dieser Sektoren dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Diese Maßnahmen müssen an den aktuellen Stand der Technik angepasst sein.

Alle zwei Jahre sind KRITIS-Betreiber dazu verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Nachweis über die Umsetzung entsprechender Cyber-Security-Maßnahmen zu erbringen. Diese Nachweisprüfungen müssen von den Betreibern selbst initiiert werden.

Für die folgenden Sektoren wird 2026 ein KRITIS-Audit fällig:

• Energie
• Wasser
• Ernährung
• Informationstechnik und Telekommunikation

NIS-2 – kommt ein angepasstes Nachweisintervall?

Im Juni 2025 veröffentlichte die AG KRITIS einen neuen Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Eine zentrale Änderung darin betrifft das Nachweisintervall für KRITIS-Betreiber: Dieses soll von bisher zwei auf künftig drei Jahre verlängert werden.

In unserem Newsblog halten wir Sie über die weitere Entwicklung rund um das Gesetzgebungsverfahren auf dem Laufenden.

---

Sie müssen 2025 oder 2026 ein KRITIS-Audit durchführen?  Kontaktieren Sie uns. Wir helfen gerne.