Betreiber kritischer Anlagen unter NIS 2 und KRITIS gleichzeitig
Ein Betreiber kritischer Anlagen wählt nicht zwischen NIS 2 und KRITIS. Beides gilt. Die NIS-2-Maßnahmen nach Artikel 21 sind der Sockel. Die KRITIS-spezifischen Pflichten nach §29, §32 und §65 BSIG kommen obendrauf. Das BSI führt beide Regime aus derselben Nachweisbasis.
Die Kurzfassung
Rund 1.500 bis 2.000 Einrichtungen in Deutschland betreiben eine kritische Anlage im Sinne der BSI-KritisV. Stromverteilung oberhalb von 500 GWh pro Jahr, Trinkwasser oberhalb von 22 Millionen Kubikmetern pro Jahr, Rechenzentren oberhalb von 3,5 Megawatt vertraglich vereinbarter Anschlussleistung und eine lange Liste weiterer sektorspezifischer Schwellen. Diese Betreiber sitzen nicht in einer Parallelwelt. Sie sitzen mitten in NIS 2 wie jede andere besonders wichtige Einrichtung, und die KRITIS-Pflichten stapeln sich obendrauf.
Der Sockel kommt aus Artikel 21 der NIS-2-Richtlinie: zehn Risikomanagementmaßnahmen, verhältnismäßig zum Risiko. Deutschland übernimmt das in §30 BSIG. Die KRITIS-Schicht legt drei Dinge oben drauf: eine höhere Verhältnismäßigkeitsanforderung nach Artikel 21 Absatz 1, weil die Folgen eines Ausfalls größer sind, ein verpflichtender dreijähriger Nachweiszyklus nach §29 BSIG, und das höhere Bußgeldband nach §65 BSIG (bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes).
Eine Behörde führt beide Regime. Das BSI nimmt die Registrierung nach §33 BSIG entgegen, prüft den §29-Nachweis, nimmt die §32-Meldungen entgegen und verhängt Bußgelder nach §65. Dieselbe Nachweisbasis bedient beide Schichten. Die Seite zeigt die Rechtsstapelung, die zusätzlichen KRITIS-Elemente, die zwei Prinzipien für jeden Grenzfall und die drei Irrtümer, die uns am häufigsten begegnen.
Artikel 21 Absatz 1 und 2 NIS-2-Richtlinie (EU) 2022/2555
Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik und gegebenenfalls einschlägiger europäischer und internationaler Normen sowie der Kosten der Umsetzung ein dem bestehenden Risiko angemessenes Sicherheitsniveau gewährleisten.
Artikel 21 Absatz 1 enthält die Verhältnismäßigkeitsklausel. Geeignet und verhältnismäßig heißt: Die Tiefe der Maßnahmen muss dem Risiko entsprechen. Ein Betreiber kritischer Anlagen sitzt am oberen Ende dieser Skala: großes Versorgungsgebiet, öffentliche Abhängigkeit, Kaskadeneffekte. Dieselben zehn Maßnahmen nach Artikel 21 Absatz 2 gelten, ein KRITIS-Betreiber muss sie aber tiefer umsetzen als eine kleine Anhang-II-Einrichtung.
§28, §30, §32, §33 und §65 BSIG (deutsche Umsetzung)
Besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen.
Das BSIG stapelt die Pflichten in einem Gesetz. §28 setzt den Anwendungsbereich (besonders wichtig, wichtig, KRITIS-Betreiber). §30 setzt die zehn Maßnahmen. §32 setzt die Meldekaskade (24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht). §33 setzt die Registrierungspflicht beim BSI. §65 setzt das Bußgeldband: bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes für besonders wichtige Einrichtungen und Betreiber kritischer Anlagen, bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen. KRITIS-Betreiber sitzen im höheren Band, auch wenn ihr Sektor sonst Anhang II wäre.
§29 BSIG und BSI-KritisV
Betreiber kritischer Anlagen müssen mindestens alle drei Jahre dem Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der Anforderungen nachweisen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
§29 BSIG ist der KRITIS-spezifische Nachweiszyklus. Alle drei Jahre legt der Betreiber dem BSI ein Audit, eine Prüfung oder eine Zertifizierung vor, die belegt, dass die Maßnahmen nach §30 tatsächlich wirken. Welche Anlage gemeint ist, definiert die BSI-KritisV: sektorspezifische quantitative Schwellen (Stromverteilung ab 500 GWh pro Jahr, Trinkwasser ab 22 Millionen Kubikmetern pro Jahr, Rechenzentren ab 3,5 Megawatt vertraglich vereinbarter IT-Leistung und so weiter). Schwelle überschritten, Betreiber kritischer Anlagen. Der §29-Zyklus greift automatisch.
NIS-2-Sockel (Artikel 21 und §30 BSIG)
Die zehn Risikomanagementmaßnahmen nach Artikel 21 Absatz 2: Risikoanalyse, Behandlung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, Lieferkette, sichere Entwicklung, Schwachstellenmanagement, Schulung, Kryptografie, Zugriffskontrolle, Multi-Faktor-Authentisierung. Verhältnismäßig zum Risiko nach Artikel 21 Absatz 1. Dieselbe Liste, die jede besonders wichtige und wichtige Einrichtung umsetzen muss. KRITIS-Betreiber starten hier, nicht woanders.
Dreijähriger Nachweis nach §29 BSIG
Über den NIS-2-Sockel hinaus legt ein KRITIS-Betreiber dem BSI alle drei Jahre ein Nachweispaket vor: einen Auditbericht, eine Prüfung oder eine anerkannte Zertifizierung über die §30-Maßnahmen. Der Zyklus ist fest, nicht risikobasiert. Verpasste Frist, Vollzug nach §65 BSIG. Die Registrierung nach §33 trägt zudem zusätzliche Felder für KRITIS-Betreiber: kritische Dienstleistung, Versorgungskennzahlen, Standort der Anlage und ein Kontaktpunkt rund um die Uhr.
Höheres Bußgeldband und tiefere Verhältnismäßigkeit
Nach §65 BSIG sitzen KRITIS-Betreiber im selben Bußgeldband wie besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes. Wichtige Einrichtungen (Anhang II ohne KRITIS-Anlage) sitzen eine Stufe darunter bei 7 Millionen Euro oder 1,4 Prozent. Auch die Verhältnismäßigkeitsprüfung nach Artikel 21 Absatz 1 verschiebt sich: Das Kostenargument trägt schwerer, wenn der Ausfall der Anlage Hunderttausende Versorgungspflichtige trifft.
Eine Behörde, eine Nachweisbasis, zwei Schichten
Das BSI führt beide Regime aus derselben Bonner Dienststelle. Das Audit, das Sie nach §29 BSIG abgeben, ist dasselbe Audit, das Ihre §30-Maßnahmen für NIS 2 belegt. Das Lieferantenregister für Artikel 21 Absatz 2 Buchstabe d ist dasselbe Register, das das BSI bei einer §29-Prüfung liest. KRITIS verdoppelt keine NIS-2-Nachweise. Es verlangt nur, die NIS-2-Maßnahmen auf einem festen Zyklus zu belegen, mit dem höheren Bußgeldband als Rückfallabsicherung.
KRITIS kommt obendrauf, ersetzt NIS 2 nicht
Eine verbreitete Fehllesart: 'Wir sind KRITIS, also gelten die NIS-2-Regeln nicht für uns.' Falsche Richtung. KRITIS sitzt im BSIG oben auf NIS 2, nicht daneben. §28 nennt KRITIS-Betreiber zusätzlich zu besonders wichtigen und wichtigen Einrichtungen. §30 (Maßnahmen), §32 (Meldung) und §33 (Registrierung) gelten für alle drei. §29 (dreijähriger Nachweis) und das höhere §65-Band sind die KRITIS-spezifischen Extras. Wenn Sie die NIS-2-Maßnahmen weglassen, verstoßen Sie gegen Artikel 21 der Richtlinie.
BSI führt beide Regime
Das Bundesamt für Sicherheit in der Informationstechnik ist nach §40 BSIG die zentrale zuständige Behörde. Es registriert KRITIS-Betreiber, prüft §29-Nachweise, nimmt §32-Meldungen entgegen und verhängt Bußgelder nach §65. Dieselbe Bonner Stelle bearbeitet einen 60-Personen-Hersteller nach Anhang II und einen 5.000-Personen-Stromverteilnetzbetreiber. Andere Größenordnung, gleiche Behörde, gleicher Rechtsstapel.
Energie und Telekommunikation haben eine zweite Aufsicht
Zwei Sektoren haben nicht nur das BSI. Energieversorger beantworten an die Bundesnetzagentur nach §11 EnWG zur Netzsicherheit. Telekommunikationsanbieter beantworten an die Bundesnetzagentur nach §165 TKG zur Netzintegrität. Diese Aufsichten stehen neben dem BSIG, nicht an dessen Stelle. Ein KRITIS-Stromverteiler meldet NIS-2-Vorfälle an das BSI und netzrelevante Ereignisse an die BNetzA. Gleiches Gebäude, zwei Postfächer.
Kein direktes KRITIS-Pendant auf EU-Ebene
Die NIS-2-Richtlinie kennt kein KRITIS-Regime. ENISA betreibt keinen dreijährigen Nachweiszyklus. Das nächste vergleichbare Konstrukt ist die CER-Richtlinie (2022/2557) zur Resilienz kritischer Einrichtungen, die sich um physische Resilienz dreht, nicht um Cybersicherheit. Andere Mitgliedstaaten setzen Artikel 21 und Artikel 23 ähnlich um, aber die zusätzliche deutsche KRITIS-Schicht ist eine nationale Entscheidung, übernommen aus dem IT-Sicherheitsgesetz 2015. Auslandsgesellschaften eines deutschen KRITIS-Betreibers übernehmen die §29-Pflicht im Ausland nicht.
Wir sind KRITIS, die neuen NIS-2-Regeln gelten für uns nicht.
Falsche Richtung. §28 BSIG nennt KRITIS-Betreiber als eine von drei regulierten Kategorien neben besonders wichtigen und wichtigen Einrichtungen. §30 (Maßnahmen), §32 (Meldung), §33 (Registrierung) und der Artikel-21-Sockel gelten für alle drei. Die KRITIS-spezifischen Extras sind §29 (dreijähriger Nachweis) und das §65-Bußgeldband. Wer die NIS-2-Maßnahmen weglässt, weil 'KRITIS das schon abdeckt', verstößt gegen Artikel 21 der Richtlinie und gegen die deutsche Umsetzung.
Wir liegen unter der KRITIS-V-Schwelle, also sind wir auch raus aus NIS 2.
Die BSI-KritisV-Schwelle (etwa 500 GWh pro Jahr für Stromverteilung, 22 Millionen Kubikmeter pro Jahr für Wasser, 3,5 Megawatt für Rechenzentren) entscheidet über KRITIS, nicht über NIS 2. Ein Stadtwerk, das 80.000 Personen versorgt, liegt unter der KRITIS-Schwelle, sitzt aber weiterhin in Anhang I Sektor 1 (Energie) und ist mit hoher Wahrscheinlichkeit mittleres Unternehmen. Das macht es zur besonders wichtigen Einrichtung unter NIS 2 mit Pflichten nach §30, §32 und §33. Nur ohne §29-Zyklus und im niedrigeren §65-Band.
Wir haben gerade den §29-Nachweis bestanden, damit ist NIS 2 erledigt.
Ein bestandener §29-Nachweis deckt den Nachweiszyklus ab. Den Rest von NIS 2 schaltet er nicht aus. Die §32-Meldekaskade (24 Stunden, 72 Stunden, ein Monat) läuft durchgehend. Die §33-Registrierungsdaten sind nach Artikel 27 Absatz 2 NIS 2 innerhalb von zwei Wochen nach jeder Änderung zu aktualisieren. Das Lieferantenrisiko nach §30 Absatz 2 Nummer 4 ist eine fortlaufende Pflicht. Der §29-Nachweis ist eine Momentaufnahme. Der Rest des BSIG ist das Betriebssystem.
Stellen Sie sich ein Stadtwerk in einer Stadt mit 200.000 Einwohnern vor. Stromverteilung, Trinkwasser, Fernwärme, öffentlicher Personennahverkehr und eine Glasfasertochter. Legen Sie die BSI-KritisV neben das Organigramm. Stromverteilung oberhalb von 500 GWh pro Jahr überschreitet die Schwelle. Trinkwasser oberhalb von 22 Millionen Kubikmetern pro Jahr überschreitet sie. Fernwärme unterhalb der Schwelle nicht. Der öffentliche Nahverkehr sitzt in Anhang II der Richtlinie, hat aber in Deutschland keine Anlagenklassifizierung.
Das Ergebnis ist ein Unternehmen unter drei Leseebenen gleichzeitig. Zwei Geschäftsfelder (Strom, Wasser) sind kritische Anlagen mit dem vollen §29-Nachweiszyklus obendrauf. Ein Geschäftsfeld (Fernwärme) sitzt in Anhang I Sektor 1, aber unterhalb der KRITIS-Schwelle, also NIS 2 wesentlich ohne §29. Ein Geschäftsfeld (ÖPNV) sitzt in Anhang II Verkehr. Die Glasfasertochter sitzt in Anhang I Sektor 8, sofern sie die Größenschwelle aus eigener Kraft erreicht. Eine §33-Registrierung deckt die juristische Person ab. Das §29-Audit erfasst nur die kritischen Anlagen. Die §30-Maßnahmen erfassen alles.
Die Anwendbarkeitsprüfung läuft die BSI-KritisV-Schwellen Zeile für Zeile durch: welche Anlage, welcher Sektor, welche quantitative Kennzahl, welche Schwelle. Wird eine überschritten, markiert die Seite den §29-Nachweiszyklus und schaltet das Unternehmensprofil auf Betreiber kritischer Anlagen. Das Registrierungsmodul zeigt dann die zusätzlichen §33-Felder (kritische Dienstleistung, Versorgungskennzahlen, Standort, Kontaktpunkt rund um die Uhr). Der Bußgeldrechner schaltet auf das höhere §65-Band.
Die Nachweisbasis ist geteilt. Dieselben Kontrollen, die §30 BSIG erfüllen, erzeugen die Audit-Spur, die Sie dem BSI nach §29 vorlegen. Das Lieferantenregister nach Artikel 21 Absatz 2 Buchstabe d ist dasselbe Register, das bei einer §29-Prüfung gelesen wird. Das Meldeformular bedient die §32-Kaskade (24 Stunden, 72 Stunden, ein Monat) für beide Regime. Eine Nachweisbasis, zwei Meldeziele, wo nötig (BSI plus, bei Energie und Telekommunikation, BNetzA).
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21 Absatz 1 (Verhältnismäßigkeit), Artikel 21 Absatz 2 (zehn Maßnahmen), Artikel 27 (Aktualisierung der Registrierung) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSIG (NIS2-Umsetzungsgesetz), §28 (Anwendungsbereich), §29 (dreijähriger Nachweis für Betreiber kritischer Anlagen), §30 (Maßnahmen), §32 (Meldung), §33 (Registrierung), §65 (Bußgelder) — gesetze-im-internet.de/bsig_2009
- BSI-KritisV (Verordnung zur Bestimmung kritischer Anlagen), sektorspezifische Schwellen für Strom, Wasser, Lebensmittel, Gesundheit, Verkehr, Finanzen, IT und Telekommunikation, Entsorgung, Raumfahrt — gesetze-im-internet.de/bsi-kritisv
- BSI, Informationspaket 'Kritische Infrastrukturen' und NIS-2-FAQ — bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen
- Bundesnetzagentur, IT-Sicherheitskatalog nach §11 EnWG (Aufsicht im Energiesektor) — bundesnetzagentur.de
- Richtlinie (EU) 2022/2557 (CER) zur Resilienz kritischer Einrichtungen (physische Resilienz, getrennt von NIS 2) — eur-lex.europa.eu/eli/dir/2022/2557/oj