KRITIS-Einstufung & Schwellenwerte
Ab wann gelten Sie als KRITIS-Betreiber

Auf dieser Seite erhalten Sie einen fundierten Überblick über die geltenden Schwellenwerte, die betroffenen Sektoren und die offizielle Feststellung der KRITIS-Zugehörigkeit. Das unterstützt Sie nicht nur bei der rechtlichen Einordnung, sondern auch bei der Planung von Sicherheitsmaßnahmen und Investitionen in Ihre Resilienz.

7

Wer zählt als KRITIS-Betreiber? – Einordnung und Relevanz

Die Einstufung als Betreiber einer kritischen Infrastruktur (KRITIS) hat große rechtliche und sicherheitsstrategische Bedeutung. Denn mit der offiziellen Einstufung gehen gesetzliche Pflichten sowie konkrete Anforderungen an Sicherheitsmaßnahmen, Meldeprozesse und Audits einher. Viele Unternehmen, vor allem mittelgroße Versorger oder Dienstleister, wissen jedoch nicht, dass sie unter die KRITIS-Vorgaben fallen – oder demnächst davon betroffen sein könnten.

Kritische Infrastrukturen sind laut Definition Organisationen und Anlagen, die für das Gemeinwesen essenziell sind. Sie sichern grundlegende Funktionen wie Energieversorgung, Wasserversorgung, Ernährungssicherheit, Gesundheitsversorgung, Verkehrsinfrastruktur, Kommunikation und Finanzwesen. Ein Ausfall dieser Systeme hätte massive Auswirkungen auf Staat, Gesellschaft und Wirtschaft. Um diesem Risiko zu begegnen, hat der Gesetzgeber klare Kriterien festgelegt, nach denen ein Unternehmen als KRITIS-Betreiber klassifiziert wird. Die Grundlage hierfür bilden unter anderem das BSI-Gesetz (BSIG) und das IT-Sicherheitsgesetz sowie sektorspezifische Verordnungen.

Die Rolle von Schwellenwerten in der KRITIS-Einstufung

Ein zentrales Element der KRITIS-Einstufung sind die sogenannten Schwellenwerte. Sie legen fest, ab welcher Größenordnung, Kapazität oder Versorgungsrelevanz ein Betreiber als kritische Infrastruktur gilt. Dabei handelt es sich nicht um eine willkürliche Festlegung, sondern um quantitative Grenzwerte, die je nach Branche und Dienstleistung differenziert festgelegt wurden. Die konkreten Schwellenwerte sind in der KRITIS-Verordnung geregelt, die vom Bundesinnenministerium regelmäßig angepasst und veröffentlicht wird.

Ein Beispiel aus der Energiewirtschaft verdeutlicht die Systematik: Ein Stromnetzbetreiber gilt ab einer bestimmten Anzahl von Netzkilometern oder ab einer Versorgung von mehr als 500.000 Personen als KRITIS-relevant. In der Wasserversorgung liegt die Grenze bei rund 22 Millionen Kubikmetern Jahresliefermenge. Im Gesundheitssektor wiederum wird nicht nach Mengen, sondern beispielsweise nach der Anzahl der versorgten Betten oder dem Einzugsgebiet von Kliniken differenziert. Diese branchenspezifischen Schwellenwerte bilden die Grundlage für die formale Einstufung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Verfahren zur Feststellung der KRITIS-Zugehörigkeit

Die Einstufung erfolgt nicht automatisch, sondern setzt in vielen Fällen die Mitwirkung des Betreibers voraus. Unternehmen, die vermuten, die relevanten Schwellenwerte zu überschreiten, sind dazu verpflichtet, sich eigenständig beim BSI zu melden. Dies geschieht in der Regel im Rahmen einer Selbsteinschätzung, die durch Dokumente wie Geschäftsberichte, technische Angaben und Versorgungskonzepte untermauert werden muss. Das BSI prüft die Angaben, zieht bei Bedarf externe Expertise hinzu und entscheidet anschließend über die offizielle KRITIS-Zugehörigkeit.

Wird eine Infrastruktur als KRITIS eingestuft, erhalten die Betreiber eine formale Bestätigung und werden in die Überprüfungs- und Meldepflichten des IT-Sicherheitsgesetzes eingebunden. Dazu zählen unter anderem die regelmäßige Durchführung von Sicherheitsüberprüfungen, die Umsetzung technischer und organisatorischer Maßnahmen (TOM) sowie die unverzügliche Meldung erheblicher IT-Störungen. Darüber hinaus verpflichtet die KRITIS-Einstufung zu einer engen Zusammenarbeit mit dem BSI und weiteren Aufsichtsbehörden, was nicht nur technische, sondern auch organisatorische Ressourcen bindet.

Die Bedeutung der KRITIS-Einstufung für die Betreiberverantwortung

Die offizielle Einstufung als KRITIS-Betreiber geht weit über eine rein formale Kategorisierung hinaus. Sie hat direkte Auswirkungen auf die interne Sicherheitsarchitektur, das Risikomanagement, Investitionsentscheidungen und IT-Strategien. Betreiber müssen sich auf konkrete Prüfungen durch das BSI vorbereiten, ihre Sicherheitskonzepte regelmäßig aktualisieren und ihre Mitarbeiter sensibilisieren. Auch Verträge mit Dienstleistern und Lieferanten sollten unter dem Gesichtspunkt der KRITIS-Konformität überprüft und angepasst werden.

Hinzu kommt, dass die Öffentlichkeit, insbesondere im Versorgungsbereich, ein zunehmendes Bewusstsein für die Resilienz kritischer Systeme entwickelt hat. Dadurch wird die Einhaltung der KRITIS-Vorgaben auch zu einem Reputationsfaktor. Betreiber, die offen und strukturiert mit der Einstufung umgehen, gewinnen nicht nur an Glaubwürdigkeit, sondern auch an Vertrauen gegenüber Behörden, Kunden und Partnern.

Ausblick: Dynamik durch NIS2 und KRITIS-Dachgesetz

Mit dem Inkrafttreten der NIS2-Richtlinie und des geplanten KRITIS-Dachgesetzes wird sich der Anwendungsbereich weiter ausweiten. Viele Unternehmen, die bislang nicht unter die bisherigen Schwellenwerte gefallen sind, könnten künftig in den Geltungsbereich aufgenommen werden, beispielsweise aus den Bereichen Abfallwirtschaft, kommunale IT-Dienstleistungen, Medien oder Finanzdienstleistungen. Die neue Gesetzgebung legt weniger Gewicht auf die Größe und mehr Gewicht auf die Relevanz für das Funktionieren des Gesamtstaates und die europäische Versorgungssicherheit.

Daher ist es ratsam, sich frühzeitig mit der eigenen Einstufung auseinanderzusetzen, auch wenn bislang keine formale KRITIS-Bestätigung vorliegt. Eine interne Risikoanalyse, kombiniert mit einer kritischen Bewertung der Dienstleistungsrelevanz, kann dabei helfen, potenzielle Pflichten zu erkennen und Maßnahmen rechtzeitig einzuleiten. Dies ist nicht nur ein Gebot der Sicherheit, sondern auch ein strategischer Vorteil im Umgang mit künftigen regulatorischen Anforderungen.

Bin ich KRITIS-Betreiber? Jetzt prüfen!

Die Einstufung als Betreiber kritischer Infrastrukturen hängt nicht nur von der Branche ab, sondern vor allem von Ihrer Versorgungskapazität. Wenn bestimmte Schwellenwerte überschritten werden, greifen umfangreiche gesetzliche Vorgaben – etwa in der IT-Sicherheit, beim Risikomanagement oder bei Meldepflichten.

Nutzen Sie die offiziellen Tabellen des Bundesinnenministeriums, um herauszufinden, ob Ihr Unternehmen betroffen ist – und welche Pflichten sich daraus ergeben könnten.

Jetzt Schwellenwerte prüfen

Häufige Fragen zur KRITIS-Einstufung und zu den Schwellenwerten

Viele Betreiber von Infrastrukturen sind sich nicht sicher, ob sie unter die gesetzliche Definition von KRITIS fallen. Die Einstufung hängt nicht nur von der Branche, sondern insbesondere von konkreten Schwellenwerten ab, die je nach Sektor unterschiedlich definiert sind. Die folgenden Fragen helfen Ihnen dabei, Ihre Position besser einzuordnen und Klarheit über Ihre Pflichten zu erlangen.

Was bedeutet es, als KRITIS-Betreiber eingestuft zu werden?
Die Einstufung als KRITIS-Betreiber bedeutet, dass Ihr Unternehmen eine kritische Dienstleistung erbringt, deren Ausfall erhebliche Auswirkungen auf das Gemeinwesen hätte. Daraus ergeben sich gesetzliche Pflichten, beispielsweise zur IT-Sicherheit, zum Risikomanagement und zur Meldung schwerwiegender Störungen an das BSI.
Welche Kriterien sind für die Einstufung maßgeblich?
Die wichtigsten sind die Zugehörigkeit zu einem KRITIS-Sektor (zum Beispiel Energie, Wasser oder Gesundheit) und das Erreichen oder Überschreiten definierter Schwellenwerte. Diese beziehen sich auf Leistungs-, Mengen- oder Versorgungskapazitäten, beispielsweise Kubikmeter Wasser, Bettenanzahl oder versorgte Personen.
Wo finde ich die offiziellen Schwellenwerte?
Die Schwellenwerte sind in der Anlage zur BSI-Kritisverordnung (BSI-KritisV) aufgeführt. Sie werden regelmäßig aktualisiert und können auf der Website des Bundesinnenministeriums (BMI) heruntergeladen werden. Ein direkter Link befindet sich auch auf dieser Seite im Infomodul „Bin ich betroffen?“.
Muss ich mich selbst beim BSI melden?
Ja, wenn Sie den Verdacht haben, dass Ihr Unternehmen die geltenden Schwellenwerte überschreitet. In diesem Fall sind Sie verpflichtet, sich aktiv beim BSI zu melden. In der Regel erfolgt dies durch eine formale Eigeneinschätzung mit entsprechender Begründung und Nachweisdokumentation.
Was passiert nach der Meldung?
Das BSI prüft Ihre Angaben, fordert bei Bedarf ergänzende Informationen an und entscheidet anschließend über die KRITIS-Einstufung. Bei einer positiven Bewertung erhalten Sie eine schriftliche Bestätigung sowie Informationen zu den geltenden Pflichten und Meldefristen.
Kann ich die KRITIS-Anforderungen auch freiwillig umsetzen?
Ja, das ist möglich und in vielen Fällen empfehlenswert, beispielsweise zur Vorbereitung auf künftige Gesetzesänderungen oder bei kritischen Vorleistungen für andere KRITIS-Betreiber. Zudem stärkt die freiwillige Anwendung der KRITIS-Vorgaben die Resilienz Ihres Unternehmens.
Welche Konsequenzen drohen bei einer falschen Einschätzung?
Wenn ein Betreiber fälschlicherweise davon ausgeht, nicht KRITIS-relevant zu sein, obwohl er die Schwellenwerte überschreitet, drohen im Ernstfall rechtliche Konsequenzen. Dazu gehören Bußgelder, Prüfauflagen oder Reputationsschäden bei versäumten Pflichten wie Sicherheitsüberprüfungen oder Meldepflichten.
Ändern sich die Schwellenwerte durch neue Gesetze?
Ja, durch neue Regelungen wie NIS2 und das kommende KRITIS-Dachgesetz werden bestehende Schwellenwerte möglicherweise gesenkt oder es werden ganz neue Sektoren einbezogen. Dadurch könnten künftig auch kleinere Einrichtungen KRITIS-relevant werden.
Wie kann ich mich auf eine mögliche Einstufung vorbereiten?
Zunächst ist eine interne Analyse Ihrer Leistungen, Versorgungszahlen und Abhängigkeiten empfehlenswert. Darüber hinaus sollten Sie Ihre bestehenden Sicherheitsprozesse, Ihre IT-Infrastruktur und Ihre Notfallpläne überprüfen und sie bei Bedarf an die KRITIS-Anforderungen anpassen.
Wer hilft mir bei der Einschätzung und Umsetzung?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Informationsmaterialien, Leitfäden und persönliche Ansprechpartner. Auch Fachverbände und branchenspezifische Netzwerke unterstützen Unternehmen dabei, ihre KRITIS-Relevanz einzuordnen und passende Sicherheitsstandards umzusetzen.

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.

Unabhängig und neutral

Wir berichten unabhängig und ohne kommerzielle Interessen, damit Sie objektive Informationen erhalten.

Praxisnah und verständlich

Alle Inhalte sind leicht verständlich aufbereitet – speziell für Betreiber und Verantwortliche kritischer Infrastrukturen.

Aktuell & fundiert

Wir verfolgen kontinuierlich die Entwicklungen im Bereich KRITIS und Sicherheitsgesetzgebung, um Sie immer auf dem neuesten Stand zu halten.