BSIG 2025

NIS2 vs KRITIS: Was sich geändert hat

Das alte KRITIS-Regime betraf rund 2.000 Betreiber kritischer Infrastrukturen. Das neue BSIG nach NIS2-Umsetzung erweitert den Kreis auf circa 30.000 Einrichtungen – mit niedrigeren Schwellen, höheren Bußgeldern und persönlicher Geschäftsführerhaftung.

Vom KRITIS-Regime zum NIS2-BSIG

Bis zum Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 war das BSI-Gesetz (BSIG) primär auf Betreiber kritischer Infrastrukturen (KRITIS) ausgerichtet. Die KRITIS-Verordnung (BSI-KritisV) definierte Schwellenwerte, ab denen Unternehmen in den Sektoren Energie, Wasser, Gesundheit, Ernährung, Transport, Finanz- und Versicherungswesen, IT und Telekommunikation als KRITIS galten. Der zentrale Schwellenwert: 500.000 versorgte Personen.

Mit der NIS2-Umsetzung hat sich das grundlegend geändert. Der Geltungsbereich wurde von 7 auf 18 Sektoren erweitert, die Schwellenwerte drastisch gesenkt (50 Mitarbeiter oder 10 Mio. EUR Umsatz), und neue Pflichten wie die persönliche Geschäftsführerhaftung eingeführt. KRITIS-Betreiber bleiben als Sonderkategorie erhalten – unterliegen aber zusätzlich den erweiterten NIS2-Anforderungen. Für Unternehmen, die bisher nur unter KRITIS fielen, bedeutet das: Ihre bestehenden Maßnahmen bleiben gültig, aber es kommen neue Pflichten hinzu (insbesondere §38 Geschäftsführerhaftung und erweiterte Meldepflichten). Für die rund 28.000 Unternehmen, die neu unter NIS2 fallen, ist das gesamte BSIG-Pflichtenprogramm neu.

Vergleichstabelle
Die wichtigsten Unterschiede zwischen dem alten KRITIS-Regime und dem neuen NIS2/BSIG-Rahmen.
AspektKRITIS (alt)NIS2/BSIG (neu)
Geltungsbereich~2.000 Betreiber kritischer Infrastrukturen in 7 Sektoren~30.000 Einrichtungen in 18 Sektoren (davon ~4.700 besonders wichtige)
Schwellenwerte500.000 versorgte Personen (BSI-KritisV), sektorspezifischAb 50 Mitarbeiter ODER ab 10 Mio. EUR Jahresumsatz in betroffenen Sektoren
RegistrierungKRITIS-Meldung an das BSI, keine feste FristPflichtregistrierung nach §33 BSIG, Frist 3 Monate nach Inkrafttreten
MeldepflichtenUnverzügliche Meldung erheblicher IT-StörungenDreistufiges Meldesystem: 24 Stunden (Frühwarnung), 72 Stunden (Erstbewertung), 1 Monat (Abschlussbericht)
BußgelderBis 100.000 EUR (nach altem BSIG)Bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (bwE), bis 7 Mio. EUR oder 1,4% (wE)
GeschäftsführerhaftungKeine gesetzliche SonderregelungPersönliche Haftung nach §38 BSIG – Billigung, Überwachung, Schulungspflicht
Prüfung und AufsichtNachweisprüfung alle 2 Jahre (§8a BSIG alt)bwE: proaktive Aufsicht durch das BSI; wE: reaktive Aufsicht bei Hinweisen; KRITIS: weiterhin Nachweisprüfung
LieferkettensicherheitKeine explizite gesetzliche Pflicht§30 Abs. 2 Nr. 4 BSIG: Verpflichtende Sicherheitsbewertung der Lieferkette
7 neue Sektoren unter NIS2
Folgende Sektoren waren unter dem alten KRITIS-Regime nicht erfasst und fallen erstmals unter das BSIG.

Abfallwirtschaft

Sammlung, Behandlung und Entsorgung von Abfällen. Erfasst unter NIS2 Anhang II. Umfasst kommunale Abfalldienste, Gefährstoffverarbeiter und Recyclingbetriebe. Die meisten Abfallunternehmen hatten noch nie mit Cybersicherheitsregulierung zu tun.

Lebensmittelproduktion und -vertrieb

Lebensmittelherstellung, -verarbeitung und Großhandelsvertrieb. Erfasst unter NIS2 Anhang II. Dies erstreckt sich über den Lebensmitteleinzelhandel hinaus auf Produktionsanlagen, Kühlkettenlogistik und Lebensmittelsicherheitssysteme.

Herstellung kritischer Produkte

Herstellung von Medizinprodukten, Computern, Elektronik, optischen Produkten, elektrischen Ausrüstungen, Maschinen, Kraftfahrzeugen und sonstigen Transportmitteln. Erfasst unter NIS2 Anhang II. Eine erhebliche Anzahl deutscher Mittelstandsunternehmen fällt in diese Kategorie.

Post- und Kurierdienste

Postdienstleister und Kurierunternehmen. Erfasst unter NIS2 Anhang II. Umfasst Paketzustelldienste, Postsortierungsbetriebe und Logistikplattformen für die Letzte-Meile-Zustellung.

Chemische Produktion und Vertrieb

Herstellung, Produktion und Vertrieb von Chemikalien. Erfasst unter NIS2 Anhang II. Überschneidet sich erheblich mit bestehender Sicherheitsregulierung (Störfallverordnung), fügt aber cybersicherheitsspezifische Pflichten hinzu.

Forschungseinrichtungen

Forschungseinrichtungen, deren Hauptzweck angewandte Forschung oder experimentelle Entwicklung ist. Erfasst unter NIS2 Anhang II. Umfasst Fraunhofer-Institute, Helmholtz-Zentren und private Forschungsorganisationen oberhalb der Größenschwelle.

Digitale Infrastruktur und Dienste

Erweiterter Geltungsbereich für digitale Anbieter: Managed Service Provider, Managed Security Service Provider, Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Rechenzentren. Einige waren zuvor teilweise erfasst – NIS2 erweitert und präzisiert die Definitionen erheblich.

Was gleich geblieben ist
  • Das BSI bleibt die zentrale zuständige Behörde und nationales CSIRT für Deutschland
  • IT-Grundschutz bleibt die empfohlene Methodik zur Umsetzung von Sicherheitsmaßnahmen (§44(2) BSIG)
  • Das Grundprinzip „angemessener und verhältnismäßiger“ Maßnahmen – Sie müssen umsetzen, was für Ihre Größe und Ihr Risikoprofil angemessen ist, nicht alles theoretisch Mögliche
  • Die Anforderung, ein Informationssicherheitsmanagementsystem (ISMS) in irgendeiner Form zu unterhalten – ob formal zertifiziert oder nach Grundschutz strukturiert

Häufige Fragen

Wir waren bisher KRITIS-Betreiber. Müssen wir uns trotzdem neu beim BSI registrieren?

Ja. Die Registrierung nach §33 BSIG ist eine neue Pflicht, die auch für bestehende KRITIS-Betreiber gilt. Die bisherige KRITIS-Meldung beim BSI ersetzt die NIS2-Registrierung nicht. KRITIS-Betreiber müssen sich über das neue BSI-Registrierungsportal registrieren.

Unser Unternehmen hat 80 Mitarbeiter und 15 Mio. EUR Umsatz. Wären wir unter dem alten KRITIS-Regime betroffen gewesen?

Mit hoher Wahrscheinlichkeit nicht. Die KRITIS-Schwelle lag bei 500.000 versorgten Personen – ein Wert, den mittelständische Unternehmen in den meisten Sektoren nicht erreichten. Unter NIS2 sind Sie mit 80 Mitarbeitern und 15 Mio. EUR Umsatz als wichtige Einrichtung eingestuft, sofern Sie in einem der 18 betroffenen Sektoren tätig sind.

Gelten die höheren NIS2-Bußgelder auch rückwirkend für bestehende Verstöße?

Nein. Die neuen Bußgeldvorschriften des §65 BSIG gelten seit dem Inkrafttreten am 6. Dezember 2025. Verstöße, die vor diesem Datum lagen, werden nach den alten Bußgeldvorschriften beurteilt. Allerdings sind Dauerverstöße – wie eine fortlaufend unzureichende Cybersicherheit – ab dem Inkrafttreten nach neuem Recht zu bewerten.

Können unsere bestehenden KRITIS-Nachweise für die NIS2-Compliance wiederverwendet werden?

Teilweise. Wenn Sie IT-Grundschutz nach BSI-200-x implementiert haben, erkennt §44 Abs. 2 BSIG dies als NIS2-Compliance-Nachweis an. Bestehende KRITIS-Auditberichte und Sicherheitskonzepte bilden eine gute Grundlage, müssen aber um die neuen NIS2-spezifischen Anforderungen ergänzt werden – insbesondere Lieferkettensicherheit, Geschäftsführerschulung und das erweiterte Meldesystem.

Quellen
  • BSIG – Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, in der Fassung des NIS2UmsuCG
  • BSI-KritisV – Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
  • NIS2-Richtlinie (EU) 2022/2555 – Anhang I und II (Sektorlisten)
  • BSI – Orientierungshilfe zur NIS2-Betroffenheit (bsi.bund.de)
  • BMI – Gesetzentwurf NIS2UmsuCG, Begründung und Stellungnahmen
Von KRITIS zu NIS2 – strukturiert umstellen
Die Plattform bildet alle 49 BSIG-Anforderungen ab und zeigt bestehenden KRITIS-Betreibern die Lücken zur NIS2-Compliance. Neue betroffene Unternehmen erhalten einen vollständigen Umsetzungsfahrplan.
NIS2-Compliance starten