Aufsicht und Kontrolle
Behörden prüfen die Einhaltung der KRITIS-Pflichten

KRITIS-Betreiber müssen jederzeit nachweisen, dass sie die geltenden Sicherheitsanforderungen umsetzen. Hier erfahren Sie, wer kontrolliert, wie Prüfungen ablaufen und worauf Sie vorbereitet sein sollten.

7

Wer kontrolliert die Einhaltung der KRITIS-Vorgaben?

Betreiber kritischer Infrastrukturen stehen nicht nur vor der Herausforderung, technische und organisatorische Sicherheitsmaßnahmen umzusetzen, sondern müssen auch gegenüber Aufsichtsbehörden nachweisen, dass sie diese Anforderungen erfüllen. Denn durch die Einführung des IT-Sicherheitsgesetzes 2.0, der NIS2-Richtlinie und des kommenden KRITIS-Dachgesetzes wurde die Kontrolltätigkeit auf Bundes- und Landesebene deutlich ausgeweitet. Die Einhaltung gesetzlicher Pflichten ist keine freiwillige Selbstverpflichtung, sondern unterliegt einem klar geregelten Prüfregime.

Zuständige Behörden: Wer ist verantwortlich?

Die Zuständigkeit für die Überwachung variiert je nach Bundesland, Sektor und geltender Rechtsgrundlage. In der Regel ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Kontrollbehörde auf Bundesebene. Es prüft, ob Betreiber die gesetzlichen Vorgaben zur IT-Sicherheit erfüllen und ihre Schutzmaßnahmen dokumentiert haben.

Für bestimmte Sektoren wie Energie, Telekommunikation oder Gesundheit können zusätzlich branchenspezifische Aufsichtsbehörden oder Landesstellen zuständig sein. Hierzu zählen beispielsweise die Bundesnetzagentur (BNetzA), das Umweltbundesamt oder die zuständigen Landesaufsichten für Wasserversorgung, Gesundheit oder öffentliche Ordnung.

Die KRITIS-Kontrollstruktur ist somit föderal und sektorspezifisch aufgebaut. Dies erfordert von den Betreibern ein genaues Verständnis darüber, welche Stelle im konkreten Fall prüfberechtigt ist.

Wie laufen KRITIS-Prüfungen ab?

Die Sicherheitsüberprüfungen sind in der Regel an Meldefristen und Nachweiszyklen gekoppelt. Je nach Verordnung – beispielsweise nach § 8a BSIG – müssen Betreiber alle zwei Jahre den Stand ihrer IT-Sicherheit und ihrer Resilienzmaßnahmen durch ein Audit belegen. Die Nachweise können entweder intern erstellt oder von einer anerkannten Prüfstelle, wie z. B. zertifizierten Auditoren oder Prüfunternehmen, vorgenommen werden.

Die Prüfung erfolgt nicht immer durch einen Vor-Ort-Termin. Oft wird eine Dokumentenprüfung durchgeführt, bei der Sicherheitskonzepte, Risikoanalysen, Schulungsnachweise, technische Berichte und organisatorische Maßnahmen offengelegt werden müssen. In kritischen Fällen, beispielsweise bei gemeldeten Sicherheitsvorfällen oder Hinweisen auf Mängel, sind auch unangekündigte Kontrollen oder strukturierte Folgeprüfungen möglich.

Welche Nachweise müssen Betreiber vorlegen?

Für viele Betreiber ist unklar, welche Art von Unterlagen in einer Prüfung erwartet wird. Je nach Branche und Risikoprofil kann die Aufsichtsbehörde folgende Nachweise verlangen:

  • Aktuelle Sicherheitskonzepte und Notfallpläne
  • Dokumentierte technische Schutzmaßnahmen (z. B. Firewalls, Netzwerksegmentierung, Backup-Lösungen)
  • Ergebnisse von Penetrationstests oder Schwachstellenanalysen
  • Nachweise über Schulungen und Sicherheitsunterweisungen
  • Abläufe für Vorfallserkennung, Alarmierung und Meldung gemäß NIS2 und IT-SiG
  • Prüfberichte nach § 8a BSIG oder andere branchenspezifische Standards (z. B. B3S)

Je besser die Dokumentation vorbereitet ist, desto reibungsloser verläuft die Prüfung.

Wie bereite ich mich auf eine KRITIS-Kontrolle vor?

Eine gute Vorbereitung beginnt nicht erst mit der Ankündigung einer Prüfung. Betreiber sollten sich daher frühzeitig intern auf die relevanten Nachweispflichten einstellen und ihre Prozesse regelmäßig selbst überprüfen. Besonders hilfreich sind strukturierte Audits, die sich an gängigen Standards wie ISO/IEC 27001 oder branchenspezifischen Sicherheitsstandards (B3S) orientieren.

Zudem ist ein internes Kontrollsystem (IKS) zur fortlaufenden Überwachung sicherheitsrelevanter Prozesse empfehlenswert. Ein klarer Maßnahmenplan, festgelegte Verantwortlichkeiten und regelmäßige Schulungen helfen dabei, Risiken frühzeitig zu erkennen und zu beheben, bevor externe Prüfer tätig werden müssen.

Was passiert bei Mängeln oder Verstößen?

Werden im Rahmen der Prüfung gesetzliche Vorgaben als nicht erfüllt festgestellt, kann die zuständige Behörde Auflagen erteilen. Diese reichen von Nachbesserungsforderungen bis hin zu verpflichtenden Sofortmaßnahmen. In schwerwiegenden Fällen sind auch Bußgelder vorgesehen, insbesondere bei Verstößen gegen Meldefristen, bei Sicherheitsmängeln oder einer unzureichenden Dokumentation.

Mit dem IT-Sicherheitsgesetz 2.0 und der NIS2-Richtlinie wurden die Sanktionsrahmen deutlich verschärft. Geldbußen in Millionenhöhe sind möglich – abhängig von der Unternehmensgröße, dem Sektor und der Schwere des Verstoßes. Wer KRITIS-relevante Pflichten ignoriert, riskiert nicht nur Sanktionen, sondern auch Reputationsverluste und operative Einschränkungen.

Fazit: Kontrolle schafft Vertrauen – und Verbindlichkeit

Die behördliche Kontrolle der Sicherheitsvorgaben ist ein zentrales Element der nationalen KRITIS-Strategie. Sie stellt sicher, dass Betreiber ihre Verantwortung ernst nehmen und die Schutzinteressen von Gesellschaft, Wirtschaft und Staat gewahrt bleiben. Gleichzeitig bietet die Kontrolle die Chance, eigene Prozesse zu optimieren, Schwachstellen frühzeitig zu erkennen und die Widerstandsfähigkeit dauerhaft zu erhöhen.

Gut vorbereitete Betreiber profitieren langfristig von geringeren Risiken, besserer Krisenfestigkeit und einem höheren Maß an regulatorischer Sicherheit.

Zuständige KRITIS-Aufsichtsbehörden nach Bundesland

Die Kontrolle über die Einhaltung von Sicherheitsanforderungen liegt in Deutschland bei unterschiedlichen Behörden – je nach Bundesland, Branche und konkreter Zuständigkeit. Die folgende Übersicht zeigt, welche Aufsichtsstellen du in deinem Bundesland ansprechen kannst, insbesondere für den Bereich Versorgung, Gesundheit, Wasser, Abfall und öffentliche Sicherheit.

Bayern

Bayerisches Landesamt für Sicherheit in der Informationstechnik (LSI)
→ Zuständig für IT-Sicherheit und NIS2-Umsetzung im öffentlichen Bereich.

Website besuchen

Baden-Württemberg

Innenministerium BW – Referat 34 „Kritische Infrastrukturen“
→ Ansprechpartner für kommunale Betreiber, Energie- und Wasserversorgung, sowie Katastrophenschutz.

Website besuchen

Brandenburg

Ministerium des Innern und für Kommunales Brandenburg (MIK)
→ Federführende Behörde für KRITIS-Meldungen und Beratung zu Prüfpflichten.

Website besuchen

Berlin

Senatsverwaltung für Inneres und Sport 
→ Ansprechpartner für KRITIS-Koordination und Sicherheitsüberprüfungen.

Website besuchen

Hamburg

Behörde für Inneres und Sport – Landeskriminalamt 5 (LKA 5)
→ Spezialisiert auf Sicherheitskonzepte in der Metropolregion.

Website besuchen

Bremen

Der Senator für Inneres – Abteilung Gefahrenabwehr
→ Unterstützung bei Schutzkonzepten für kritische Infrastrukturen.

Website besuchen

Mecklenburg-Vorpommern

Innenministerium Mecklenburg-Vorpommern – Abteilung Verfassungsschutz und KRITIS
→ Information und Kontrolle im Rahmen der landesweiten Sicherheitsstrategie.

Website besuchen

Hessen

Hessisches Ministerium des Innern und für Sport – Abteilung VII „Sicherheit“
→ Zentrale Anlaufstelle für Betreiber in den Bereichen Energie, Wasser, Gesundheit.

Website besuchen

Nordrhein-Westfalen

Ministerium des Innern NRW – Referat 43 „KRITIS/IT-Sicherheit“
→ Führt Kontrollprozesse nach IT-Sicherheitsgesetz 2.0 durch.

Website besuchen

Niedersachsen

Niedersächsisches Ministerium für Inneres und Sport
→ Koordiniert Sicherheitsprüfungen für kritische Sektoren auf Landesebene.

Website besuchen

Saarland

Ministerium für Inneres, Bauen und Sport – Bereich KRITIS
→ Zuständig für sicherheitsrelevante Vorgänge in KRITIS-Bereichen.

Website besuchen

Rheinland-Pfalz

Ministerium des Innern und für Sport Rheinland-Pfalz – Abteilung „Öffentliche Sicherheit“
→ Kontaktstelle für Betreiberpflichten und Prüfberichte.

Website besuchen

Sachsen-Anhalt

Ministerium für Inneres und Sport – Landeskoordinierungsstelle KRITIS
→ Koordination von Prüfprozessen und Ansprechpartner für KRITIS-relevante Fragen.

Website besuchen

Sachsen

Sächsisches Staatsministerium des Innern – Referat 44 „Kritische Infrastrukturen“
→ Berät Betreiber bei Schutzmaßnahmen und Sicherheitskontrollen.

Website besuchen

Thüringen

Thüringer Ministerium für Inneres und Kommunales – Abteilung Sicherheit
→ Kontrollinstanz und strategische Beratung für Betreiber.

Website besuchen

Schleswig-Holstein

Ministerium für Inneres, Kommunales, Wohnen und Sport SH – Referat IT-Sicherheit
→ Führt Prüfungen gemäß § 8a BSIG durch.

Website besuchen

Hinweis: Für IT-sicherheitsrelevante KRITIS-Pflichten bleibt das BSI (Bundesamt für Sicherheit in der Informationstechnik) unabhängig vom Bundesland immer die zentrale Bundesaufsicht.

Weitere Infos: www.bsi.bund.de

Häufige Fragen zur Aufsicht und Kontrolle bei KRITIS-Betreibern

Betreiber kritischer Infrastrukturen (KRITIS) unterliegen zahlreichen gesetzlichen Vorgaben, deren Einhaltung regelmäßig überprüft wird. Doch wer kontrolliert eigentlich? Wie läuft eine Prüfung ab? Welche Dokumente müssen bereitgestellt werden? Die folgenden häufig gestellten Fragen helfen Ihnen, sich gut auf eine mögliche Überprüfung durch die zuständigen Aufsichtsstellen vorzubereiten – fachlich, organisatorisch und rechtlich.

Wer ist für die Kontrolle der KRITIS-Betreiber zuständig?
Je nach Bundesland und Infrastruktursektor erfolgt die Kontrolle durch unterschiedliche Stellen. Auf Bundesebene ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) zuständig, insbesondere für IT-bezogene Prüfungen. Daneben übernehmen Landesbehörden, Ministerien oder Aufsichtsämter die Verantwortung, beispielsweise für die Bereiche Energie, Wasser, Gesundheit oder Transport. Die genaue Zuständigkeit hängt vom Sektor und dem Standort der Einrichtung ab.
Wie läuft eine Sicherheitsprüfung konkret ab?
In der Regel beginnt sie mit einer schriftlichen Ankündigung und einem Fragenkatalog. Die Betreiber müssen dann Nachweise wie Sicherheitskonzepte, Risikoanalysen oder Notfallpläne einreichen. In manchen Fällen folgen Audits vor Ort oder digitale Interviews. Die Prüfinstanz bewertet die Angemessenheit der Maßnahmen anhand gesetzlicher Anforderungen, zum Beispiel des BSIG oder der NIS-2-Richtlinie.
Anschließend erhält der Betreiber einen Bericht mit eventuellen Auflagen oder Empfehlungen.
Muss ich mich als Betreiber aktiv melden, oder wartet man auf den Kontakt durch die Behörde?
Betreiber kritischer Infrastrukturen unterliegen Meldepflichten. Sobald ein Schwellenwert erreicht wird, muss der Betreiber seine Einrichtung beim BSI oder der zuständigen Landesbehörde registrieren. Auch Änderungen, Störungen oder bestimmte Vorfälle sind unverzüglich zu melden. Eine Prüfung kann unabhängig davon stattfinden. Proaktiv zu handeln schafft Vertrauen und verringert das Risiko von Sanktionen.
Welche Nachweise und Unterlagen muss ich bei einer Prüfung vorlegen?
Typische Nachweise sind IT-Sicherheitskonzepte, Netzpläne, Protokolle zu Notfallübungen, Zutrittsregelungen, Dokumentationen von Schwachstellenanalysen sowie Zertifikate (zum Beispiel ISO 27001). Darüber hinaus können auch Berichte über Sicherheitsvorfälle, Schulungsunterlagen oder Verträge mit Dienstleistern verlangt werden. Wichtig ist, dass die Dokumentation aktuell, nachvollziehbar und prüffähig ist.
Gibt es eine zentrale Stelle, die alle Prüfprozesse koordiniert?
Nein, es gibt keine zentrale Prüfbehörde für alle Bereiche. Die Koordination liegt entweder beim BSI oder bei den jeweils zuständigen Landesstellen – etwa Ministerien oder Sonderaufsichten. In manchen Sektoren wie der Energieversorgung ist zusätzlich die Bundesnetzagentur beteiligt. Für den Bereich Finanzen kann etwa auch die BaFin mitwirken, während im Gesundheitswesen die Landesministerien federführend sind.
Wie oft finden solche Überprüfungen statt?
Es gibt keine einheitlich festgelegten Intervalle. Die Häufigkeit hängt von der Kritikalität, dem bisherigen Sicherheitsniveau und dem Risikoprofil der jeweiligen Einrichtung ab. Einige Betreiber werden jährlich überprüft, andere in mehrjährigen Abständen oder nur anlassbezogen, beispielsweise nach einem Vorfall. Zudem müssen Betreiber auf Anfrage jederzeit prüfungsfähig sein.
Was passiert, wenn Mängel festgestellt werden?
Bei festgestellten Mängeln fordern die Prüfstellen in der Regel zunächst eine Nachbesserung. Sie setzen eine Frist zur Umsetzung und vereinbaren ggf. eine Nachprüfung. Bei schweren oder wiederholten Verstößen drohen Bußgelder, Betriebsbeschränkungen oder der Entzug der Betriebserlaubnis – je nach Branche und Rechtsgrundlage.
Wie bereite ich mich optimal auf eine Prüfung vor?
Eine gute Vorbereitung beginnt mit einer vollständigen und aktuellen Dokumentation aller Sicherheitsmaßnahmen. Betreiber sollten regelmäßig interne Audits durchführen, Zuständigkeiten klar regeln und ihre Mitarbeiter für Prüfungen sensibilisieren. Empfehlenswert sind außerdem regelmäßige Updates zu gesetzlichen Änderungen und eine externe Beratung durch zertifizierte IT- oder KRITIS-Sicherheitsberater.
Welche Rolle spielt das BSI bei der Kontrolle?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Kontrollinstanz für alle Belange der IT-Sicherheit kritischer Infrastrukturen. Es prüft, ob Betreiber die Anforderungen gemäß § 8a BSIG oder der NIS2-Richtlinie erfüllen. Zudem koordiniert das BSI Vorlagen, veröffentlicht Standards und bietet Schulungen, Informationsplattformen sowie Vorlagen zur Selbstprüfung an.
Können auch unangekündigte Kontrollen stattfinden?
Ja, in bestimmten Fällen sind unangekündigte Vor-Ort-Kontrollen möglich, insbesondere bei konkreten Hinweisen auf Mängel oder Vorfälle. Dabei überprüfen die Behörden die tatsächliche Umsetzung von Maßnahmen unabhängig von eingereichten Dokumenten. Betreiber sollten daher jederzeit prüfbereit sein und ihre Schutzmaßnahmen nicht nur auf dem Papier umsetzen.

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.

Unabhängig und neutral

Wir berichten unabhängig und ohne kommerzielle Interessen, damit Sie objektive Informationen erhalten.

Praxisnah und verständlich

Alle Inhalte sind leicht verständlich aufbereitet – speziell für Betreiber und Verantwortliche kritischer Infrastrukturen.

Aktuell & fundiert

Wir verfolgen kontinuierlich die Entwicklungen im Bereich KRITIS und Sicherheitsgesetzgebung, um Sie immer auf dem neuesten Stand zu halten.