KRITIS-Dachgesetz, NIS2 & IT-Sicherheitsgesetz im Vergleich

Drei Regelwerke – ein Ziel: der Schutz kritischer Infrastrukturen

In einer zunehmend vernetzten Welt sind kritische Infrastrukturen anfälliger denn je für Ausfälle, Angriffe und Störungen. Deutschland begegnet dieser Bedrohung mit einem immer dichter werdenden Netz an gesetzlichen Vorgaben: dem bestehenden IT-Sicherheitsgesetz (IT-SiG), der NIS2-Richtlinie auf europäischer Ebene und dem künftig geplanten KRITIS-Dachgesetz. Obwohl diese Regelwerke das gemeinsame Ziel verfolgen, die Resilienz und Sicherheitskultur zu stärken, unterscheiden sie sich in Aufbau, Zielrichtung und Anwendungsbereich deutlich.

Für Betreiber kritischer Infrastrukturen ist es daher essenziell, die Unterschiede und Schnittmengen zu kennen. Nur so lassen sich Maßnahmen sinnvoll priorisieren und gesetzeskonform umsetzen.

Geltungsbereiche: Wen betreffen die Gesetze?

Das seit 2021 in Kraft befindliche IT-Sicherheitsgesetz 2.0 richtet sich vorrangig an Betreiber kritischer Infrastrukturen im engeren Sinne. Es definiert Schwellenwerte für verschiedene Sektoren, darunter Energie, Wasser, Ernährung, Gesundheit und Transport, und verlangt unter anderem IT-sicherheitsrelevante Maßnahmen sowie die Meldung erheblicher IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die NIS2-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt werden muss, erweitert den Geltungsbereich deutlich. Sie bezieht auch sogenannte „wichtige Einrichtungen” ein, darunter mittelständische IT-Dienstleister, Rechenzentren oder Hersteller kritischer Komponenten. Der Fokus liegt hierbei auf der gesamten digitalen Lieferkette.

Das geplante KRITIS-Dachgesetz wiederum, das 2026 in Kraft treten soll, orientiert sich an der physischen Sicherheit kritischer Infrastrukturen. Es basiert auf der europäischen CER-Richtlinie (EU) 2022/2557 und adressiert Risiken durch Naturereignisse, Sabotageakte, Terrorismus oder technische Ausfälle. Betroffen sind Betreiber, deren Einrichtungen für die Aufrechterhaltung essenzieller Dienste in Deutschland notwendig sind, unabhängig von deren IT-Komponente.

Inhaltliche Schwerpunkte: Cyber, physische Sicherheit, Resilienz

Die drei Regelwerke setzen unterschiedliche Akzente. So stellt das IT-Sicherheitsgesetz vor allem technische Schutzmaßnahmen wie den Einsatz zertifizierter Systeme, Penetrationstests und IT-Sicherheitsaudits in den Mittelpunkt, während sich NIS2 stärker auf die gesamte Unternehmensstruktur konzentriert. Hier spielen Risikomanagement, Lieferantenkontrolle, Business Continuity und Corporate Governance eine zentrale Rolle.

Das KRITIS-Dachgesetz erweitert die Perspektive hingegen um physische Gefahrenlagen. Es fordert ein umfassendes Resilienzmanagement, das sowohl bauliche Schutzmaßnahmen als auch organisatorische Notfallvorsorge umfasst. Betreiber müssen Risiken analysieren, Pläne zur Wiederherstellung entwickeln und ihre Resilienz regelmäßig evaluieren lassen.

Aufsichtsbehörden und Zuständigkeiten

Auch bei der Aufsicht gibt es Unterschiede. Das BSI ist zentrale Meldestelle und Kontrollinstanz für die Einhaltung des IT-Sicherheitsgesetzes. Für NIS2 ist ebenfalls das BSI vorgesehen, allerdings in Abstimmung mit weiteren zuständigen Behörden, je nach Branche, wie beispielsweise der Bundesnetzagentur, dem Bundesamt für Bevölkerungsschutz oder den Landesbehörden.

Für das KRITIS-Dachgesetz ist dagegen das Bundesministerium des Innern und für Heimat (BMI) federführend. Die Umsetzung und Kontrolle erfolgt dezentral unter Einbeziehung der Länder und branchenspezifischer Aufsichtsstellen. Dies führt zu einer komplexeren Verwaltungsstruktur, eröffnet aber auch die Möglichkeit, sektorspezifisch differenzierter zu regulieren.

Überschneidungen und Abgrenzungen in der Praxis

Die Realität zeigt: In vielen Fällen gelten für einen Betreiber mehrere Regelwerke gleichzeitig. So kann ein Energieversorger beispielsweise sowohl dem IT-SiG als auch NIS2 und dem kommenden KRITIS-Dachgesetz unterliegen. Das macht es umso wichtiger, vorhandene Strukturen zu harmonisieren und Doppelerfassungen zu vermeiden.

Dabei helfen integrierte Managementsysteme nach ISO 27001 (Informationssicherheit), ISO 22301 (Business Continuity) oder branchenspezifische Sicherheitsstandards (B3S). Diese lassen sich modular aufbauen und so gestalten, dass sie mehrere gesetzliche Anforderungen gleichzeitig erfüllen.

Wer bereits Meldeprozesse nach dem IT-Sicherheitsgesetz etabliert hat, kann diese mit den Anforderungen der NIS2-Richtlinie kombinieren. Auch Risikoanalysen und Wiederherstellungspläne lassen sich so gestalten, dass sie den technischen und den physischen Anforderungen genügen.

Fazit: Kein Regelwerk ersetzt das andere – sie alle ergänzen sich

Die Gesetzeslage zur Sicherheit kritischer Infrastrukturen wird in den kommenden Jahren deutlich komplexer. Statt sich auf einzelne Vorschriften zu konzentrieren, empfiehlt es sich jedoch, ein ganzheitliches Sicherheitsmanagement aufzubauen. Das IT-SiG, die NIS2-Richtlinie und das KRITIS-Dachgesetz verfolgen unterschiedliche, aber sich ergänzende Ziele: technologische Robustheit, organisatorische Resilienz und physischen Schutz.

Für Betreiber ist es entscheidend, frühzeitig zu analysieren, welchen Gesetzen sie unterliegen und welche Maßnahmen sich sinnvoll bündeln lassen. Wer vorausschauend plant, spart nicht nur Ressourcen, sondern steigert auch die Sicherheit der eigenen Infrastruktur und schafft Vertrauen bei Kunden, Partnern und Behörden.

Weiterführende Informationen

Offizieller Entwurf des KRITIS-Dachgesetzes (Stand: 2024): Zur Veröffentlichung auf BMI.bund.de

EU-Richtlinie 2022/2557 (CER-Richtlinie) – Grundlage des KRITIS-Dachgesetzes: Originaltext bei EUR-Lex ansehen

NIS2-Richtlinie (EU 2022/2555) – Cybersicherheit für Betreiber und wichtige Einrichtungen: Zur Richtlinie bei EUR-Lex

IT-Sicherheitsgesetz 2.0 (in Kraft seit 2021): Informationen beim Bundesamt für Sicherheit in der Informationstechnik (BSI)

Handreichung zu branchenspezifischen Sicherheitsstandards (B3S): BSI-Webseite zu B3S

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.