NIS2 vs. KRITIS: Was ist der Unterschied?
Table of Contents
Warum es wichtig ist, den Unterschied zu kennen
Verwirrung um „KRITIS“ und „NIS2“ – was steckt dahinter?
In der täglichen Arbeit höre ich oft dieselbe Frage: „Gilt bei uns KRITIS oder NIS2 – oder beides?“ Bislang galten in Deutschland strikte Vorgaben nur für KRITIS‑Betreiber – also Energieversorger, Wasserwerke, Krankenhäuser oder Teile der Logistik – definiert über Sektoren und Schwellenwerte im BSI‑Gesetz. Doch nun kommt die neue EU‑Richtlinie NIS2 mit ihrer viel weiter gefassten Zielgruppe. Diese Regulierungsreform bringt verständliche Verwirrung – vor allem bei Compliance‑ und IT‑Einsteigern.
Warum die Unterscheidung in der Praxis entscheidend ist – besonders für KMU
Für kleine und mittlere Unternehmen war das Thema Cyber‑Compliance bisher oft ein „nice‑to‑have“– dank KRITIS‑Schwellenwerten betraf es meist nur große Infrastruktur‑Akteure. Mit NIS2 ändert sich das schlagartig: Schon ab etwa 50 Mitarbeitenden oder 10 Mio. Umsatz kann man zur „wesentlichen Einrichtung“ werden – ganz unabhängig von der Branche . Plötzlich werden Risiken sichtbar, die bisher im Schatten lagen – inklusive Melde‑, Dokumentations‑ und Risikomanagement‑Pflichten.
Das bedeutet: Ein mittelständisches Unternehmen in Österreich oder Deutschland kann schnell in den neuen NIS2‑Pflichten stecken, obwohl es nicht als KRITIS‑Betreiber gilt. Wer das nicht erkennt, läuft Gefahr, Bußgelder einzuheimsen – bei KNF‑ähnlichen Summen bis in die Millionenhöhe.
Erste Orientierung: KRITIS = alte Welt, NIS2 = neue Spielregeln?
- KRITIS ist bewusst eng definiert: nur Betreiber kritischer Infrastruktur – auf Basis einer klaren Liste von Sektoren und quantifizierbaren Schwellenwerten (z. B. Stromnetz, Wasserleitungssysteme) .
- NIS2 hingegen erweitert den Geltungsbereich auf alle „wesentlichen“ und „wichtigen“ Einrichtungen – mit Blick auf Größe, Branche und Rolle im digitalen Ökosystem.
Das bedeutet: KRITIS bleibt bestehen – doch NIS2 setzt neue Maßstäbe, die für deutlich mehr Unternehmen gelten. Wer jetzt denkt „Das betrifft uns nicht“, könnte in ein paar Wochen oder Monaten überrascht werden.
Unterm Strich lässt sich sagen:
Die Unterscheidung zwischen KRITIS und NIS2 ist keine theoretische Spielerei, sondern entscheidend für jedes Unternehmen, das in Richtung Compliance und IT-Sicherheit Verantwortung übernimmt. Denn während KRITIS auf bekannte Akteure abzielt, ist NIS2 der Game-Changer für eine neue Generation von „wesentlichen“ und „wichtigen“ Einrichtungen – und verlangt unmittelbare Aufmerksamkeit, gerade auch in KMU-Strukturen.
Was ist KRITIS?
Ursprung und Ziel von KRITIS
KRITIS steht für „kritische Infrastrukturen“ – Einrichtungen und Anlagen, deren Ausfall gravierende Folgen für das Gemeinwohl hätte. Grundlage ist das BSI-Gesetz, ergänzt durch die BSI-Kritisverordnung, in der konkrete Sektoren und Schwellenwerte festgelegt werden. Zweck ist es, Versorgungssicherheit und öffentliche Ordnung zu schützen, indem Betreiber bestimmter Einrichtungen verpflichtende IT-Sicherheitsmaßnahmen einhalten.
Relevanz in Deutschland: BSI-Gesetz, Sektoren, Schwellenwerte
In Deutschland definiert das BSI-Gesetz (§2 Abs. 10) die Sektoren, während die Kritisverordnung (BSI‑KritisV) die spezifischen Schwellen – z. B. Patientenaufkommen, Anlagenkapazität oder Volumen – präzisiert. Erst bei Überschreitung dieser Schwellen gelten besondere Melde- und Nachweispflichten nach dem Gesetz.
Beispielhafte Sektoren:
- Energie (z. B. Stromnetzbetreiber)
- Wasser (Trinkwasserversorgung, Abwasser)
- Gesundheit (Kliniken, Labore)
- Transport & Verkehr
- IT & Telekommunikation
- Finanzen & Versicherungen
- Ernährung
- Siedlungsabfallentsorgung (neu seit IT-Sicherheitsgesetz 2.0, 2021)
Fokus: „kritische Infrastrukturen“ (Betreiber:innen großer Systeme)
Betroffen sind vor allem große Betreiber – beispielsweise ein Krankenhaus mit mehr als 30 000 stationären Fällen oder ein Rechenzentrum mit über 3,5 MW Leistung – also Einrichtungen, deren Funktion essenziell für die Gesellschaft ist. Solche Anbieter müssen kontinuierlich ihre IT-Systeme nach dem Stand der Technik absichern (§ 8a BSIG) und Sicherheitsvorfälle melden.
Beispiele: Energieversorger, Wasserwerke, Krankenhäuser
Typische KRITIS-Betreiber in Deutschland sind:
- Energieversorger (Strom-, Gas-, Fernwärmenetze)
- Wasserwerke (Trinkwassergewinnung und -verteilung)
- Krankenhäuser (stationäre medizinische Versorgung, Labordienste)
- Rechenzentren (IT-Infrastruktur mit kritischer Bedeutung)
- Finanzinstitute und Börsen
- Transportdienste wie Flughäfen oder Eisenbahnverkehr
Grenzen des bisherigen KRITIS-Ansatzes
KRITIS fokussiert auf große, sektorenspezifische Infrastrukturen – kleine Unternehmen oder moderne digitale Dienstleister bleiben außerhalb. Zudem sind Schwellen starr: unterhalb dieser Grenzen gelten keine Pflichten. Damit bleiben viele Unternehmen unvorbereitet, auch wenn sie kritische digitale Services anbieten. In Österreich gibt es ähnliche Regelungen, oft angelehnt an das deutsche Modell – doch auch dort greifen die Pflichten nur bei „systemrelevanten“ Infrastrukturen.
Der KRITIS-Ansatz ist also zielgerichtet, aber eng gefasst – und bietet nur bedingt Flexibilität gegenüber neuen digitalen Risiken.
Was ist NIS2?
Ursprung: EU-Richtlinie zur Cybersicherheit (zweite Generation)
Die NIS2-Richtlinie (EU 2022/2555) ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016. Sie trat am 16. Januar 2023 in Kraft und soll laut EU-Plan ab 18. Oktober 2024 (nach Fristablauf der Umsetzungsverpflichtung) EU-weit gelten. Ziel: Einheitlich hohes Niveau in der Cybersicherheit – durch verbindliche Mindestregeln, Rangordnung nach „wesentlichen“ und „wichtigen“ Einrichtungen und angleichbare Sanktionen across all Member States.
Deutlich breitere Zielgruppe als KRITIS
Im Gegensatz zu KRITIS, das sich auf klar definierte, sektorenspezifische Großinfrastrukturen konzentriert, erfasst NIS2 explizit alle mittelgroßen und großen Unternehmen in 18 Sektoren – von Energie bis Lebensmittel. Selbst „moderne digitale Dienstleister“ fallen ins Raster, auch wenn traditionelle Schwellenwerte (wie Anlagenleistung, Umsatzgrenzen) nicht greift.
Neue Pflichten – auch für bisher unbetroffene Unternehmen
NIS2 bringt weitreichende Verpflichtungen:
- Risikomanagement (Detailanforderungen aus Art. 21)
- Incident-Reporting mit eng getakteten Fristen (z. B. Erstmeldung innerhalb 24 h, Follow-up nach 72 h)
- Rechenschaftspflicht auf Management-Ebene – Führungskräfte haften bei Nichteinhaltung
- Lieferketten-Sorgfaltspflichten, z. B. bei Drittanbietern
- Strafen: bis zu 10 Mio. € oder 2 % weltweiter Umsatz für „wesentliche Einrichtungen“; für „wichtige Einrichtungen“ bis zu 7 Mio. € oder 1,4 % Umsatz
Fokus auf „wesentliche“ und „wichtige“ Einrichtungen – nach neuen Kriterien
NIS2 unterscheidet zwei Kategorien:
- Wesentliche Einrichtungen: große Unternehmen in kritischen Sektoren (z. B. Energie, Verkehr, Gesundheitswesen, öffentliche Verwaltung, DNS, Trust-Services) – unterliegen proaktiver Aufsicht.
- Wichtige Einrichtungen: mittelgroße bis große Unternehmen in weniger kritischen Sektoren – werden reaktiv überwacht.
Beide Kategorien umfassen Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz – auch ohne klassische Infrastruktur.
Umsetzung in nationales Recht: Was kommt wann?
Deutschland:
- Sollte bis 17. Oktober 2024 umgesetzt sein – bisher verzögert durch politische Prozesse.
- Aktuell liegt ein Regierungsentwurf („NIS2UmsuCG“) vor, Update erwartet frühestens Q3/2025.
- Bis dahin: keine unmittelbare nationale Sanktion, aber klarer Handlungsdruck – z. B. durch BSI-Impact-Assessments.
Österreich:
- NIS2 tritt am 17. Oktober 2024 in Kraft – nationale Umsetzung verzögert.
- Ursprünglicher Entwurf im Juli 2024 gescheitert, neue Gesetzesvorlage im Sommer 2025 geplant, Inkrafttreten zum 1. Januar 2026 mit Übergangszeit.
- Unternehmen sollten jetzt mit Gap-Analysen & Vorbereitungen starten.
NIS2 vs. KRITIS: Der Unterschied konkret
Vergleichstabelle: KRITIS vs. NIS2
| Merkmal | KRITIS | NIS2 |
| Zielgruppe | Nur Betreiber kritischer Infrastrukturen (Deutschland via BSI‑KritisV: Energie, Wasser, Gesundheit etc.) | Mittelgroße und große Unternehmen (ab 50 Mitarbeitende/10 Mio. Umsatz) in 18 Sektoren; deutsche Umsetzung noch offen |
| Pflichten | Technische, organisatorische Maßnahmen + Meldepflicht (§ 8a BSIG) | Vollständiges Risikomanagement, Incident‑Reporting, Lieferketten‑Pflichten, Management‑Haftung |
| Sektoren | 10 definierte Sektoren (z. B. Energie, Gesundheit, Transport) | 18 Sektoren inkl. öffentlicher Verwaltung, Digitales, Weltraum, TLD‑Registries |
| Schwellen | Anlagenspezifisch (z. B. Krankenhaus > 30 000 Fälle, Rechenzentrum > 3,5 MW) | Unternehmensgröße (50 MA / 10 Mio. € Umsatz) oder als „besonders wichtig“ ab 250 MA / 50 Mio. € |
| Haftung & Sanktionen | Bußgelder; Verantwortlichkeit beim Unternehmen | Bußgelder bis zu 10 Mio. € oder 2 % Weltumsatz; Führungskräfte können persönlich haften |
Warum NIS2 kein Ersatz, sondern eine Erweiterung ist
NIS2 greift zusätzlich zu KRITIS – es eliminiert die alten Sektoren und Schwellen von KRITIS nicht, sondern ergänzt sie durch einen neuen, größeren Regelungsrahmen. Während KRITIS weiterhin für klassische Infrastrukturen gilt, nimmt NIS2 zahlreiche neue Akteure ins Visier – auch jenseits traditioneller Schwellen.
Was bleibt – und was ändert sich grundlegend
- Bleibt: Die Fokussierung auf Versorgungssicherheit, Meldepflichten und technische Maßstäbe (z. B. Incident-Reporting, Mindeststandards).
- Neu: Managementhaftung, Lieferkettensicherheit, Business Continuity Management (BCM) als Pflichterfordernis, präzise Fristen zur Meldung von Sicherheitsvorfällen (24/72 h).
Wichtige Stolperfallen
- Geltender Irrglaube: Wer bisher mit den KRITIS‑Schwellen gearbeitet hat, denkt automatisch: „Das betrifft uns nicht“ – wird aber bei NIS2 leicht zum Betroffenen.
- Unklare nationale Lage: Da deutsche/österreichische Gesetze noch in Arbeit sind, wissen viele nicht, welche Regeln wann greifen – frühzeitige Vorbereitung ist entscheidend.
- Management fehlt: Nicht nur IT-Teams, auch Geschäftsleitungen müssen eingebunden werden – Haftungspotenzial besteht.
- Lieferketten bleiben außen vor: KRITIS sah das nicht vor – NIS2 verlangt nun auch Sorgfalt mit Drittanbietern.
- Keine simplen Tools: Eine einfache Checkliste reicht nicht – Unternehmen brauchen Risikomanagementsysteme (ISMS/BCMS) als Basis.
Was bedeutet das in der Praxis?
Musst Du jetzt aktiv werden?
- Betroffen? Wenn Dein Unternehmen mindestens 50 Mitarbeitende oder 10 Millionen Euro Umsatz hat und in einem der 18 Sektoren tätig ist (z. B. Maschinenbau, IT, Energie, Gesundheitswesen, öffentliche Verwaltung), solltest Du frühzeitig prüfen, ob Du als „wesentliche“ oder „wichtige Einrichtung“ unter NIS2 fällstSchreibstil (Personal B….
- Für KRITIS-Betreiber (z. B. Energieversorger, Krankenhäuser) gelten die bisherigen Regeln weiter – NIS2 kommt zusätzlich hinzu.
- In Österreich läuft die Umsetzung verzögert, aber die Zielrichtung ist identisch – auch hier lohnt es sich, vorbereitet zu sein.
Tipp: Nutze Tools wie die BSI-Betroffenheitsanalyse oder meine Checkliste im weiterführenden Artikel, um eine erste Einschätzung zu bekommen.
Was ändert sich organisatorisch?
- Du solltest klare Verantwortlichkeiten für Informationssicherheit benennen – mindestens zwei Personen mit Mandat und Schulung.
- Die Geschäftsleitung muss aktiv eingebunden werden. NIS2 verlangt nicht nur technische Maßnahmen, sondern auch Verantwortung auf Management-Ebene – inklusive persönlicher Haftung.
- Bestehende Strukturen (z. B. aus ISO 27001, IT-Grundschutz, KRITIS) reichen oft nicht aus – es braucht ein Update Deiner Prozesse:
- Meldewesen (24 h/72 h),
- Lieferkettenmanagement,
- Awareness bei allen Beteiligten.
- Meldewesen (24 h/72 h),
Was braucht es technisch?
- Ein ISMS oder BCM ist künftig kein Nice-to-have mehr, sondern Grundlage.
- Sicherheitsmaßnahmen wie Firewalls, Patch-Management, Zugriffskontrollen, NDR/SOC sollten geprüft und nach dem Stand der Technik eingeführt sein.
- Auch Themen wie Sicherheitsaudits, Penetrationstests oder Notfallmanagement rücken stärker in den Vordergrund.
Erste Schritte für Dein Unternehmen – kompakte Checkliste
- Prüfe, ob Du betroffen bist – z. B. mit dem BSI-Sektorcheck oder der eigenen Branchenzuordnung.
- Benenne intern Zuständige – idealerweise mit Know-how aus IT und Organisation.
- Führe eine erste Gap-Analyse durch – auf Basis Deiner bestehenden IT-Sicherheitsmaßnahmen.
- Dokumentiere Deine Prozesse – insbesondere für Vorfallmanagement und Risikobewertung.
- Baue technisches Grundrauschen auf – kein „High-End“, sondern solide Basis.
- Vertraue nicht nur der IT-Abteilung – NIS2 betrifft das ganze Unternehmen.
- Beginne mit interner Sensibilisierung – Management, Einkauf, HR und Fachbereiche.
Weiterführende Inhalte
Wenn Du tiefer einsteigen willst: In meinem separaten Beitrag [„Praxis-Leitfaden NIS2-Implementierung“] findest Du eine ausführliche Schritt-für-Schritt-Anleitung, inkl. vollständiger Checkliste, Templates und Tipps speziell für Unternehmen in Deutschland und Österreich.
Fazit: Orientierung statt Verwirrung
KRITIS & NIS2 – Unterschiedlich, aber überschneidend
- KRITIS gilt weiterhin als spezifisches Regelwerk für klassische Infrastrukturen – Sektoren wie Energie, Wasser oder Gesundheit mit klar definierten Schwellenwerten.
- NIS2 erweitert dieses Spektrum erheblich: Es greift über die traditionellen Grenzen hinaus auf viele mittelgroße und große Unternehmen, auch außerhalb klassischer Infrastruktur-Sektoren – ergänzt, nicht ersetzt KRITIS.
Beide Regelwerke können parallel gelten – es ist daher wichtig zu verstehen, „wer was beachten muss“, statt abzuwarten.
Es geht nicht um „entweder oder“, sondern um „wer muss was beachten?“
- Betreiber kritischer Infrastrukturen (KRITIS) bleiben im Anwendungsbereich beider Regelwerke.
- Unternehmen, die bisher unter KRITIS fielen, erhalten neue Pflichten durch NIS2 (z. B. Management-Haftung, erweiterte Meldepflichten).
- Andere Unternehmen, die bisher ungeschützt waren, werden durch NIS2 neue Regelungen treffen – beispielsweise in digitaler Infrastruktur oder öffentlicher Verwaltung.
In der Praxis heißt das: Doppelte Compliance ist absehbar – aber mit dem richtigen Verständnis und frühzeitigem Handeln gut machbar.
Jetzt Klarheit schaffen – warum es sich lohnt
- Früh beginnen = weniger Stress
- Denn: Deutschland/Österreich hinken mit nationalem Gesetz hinterher – aber NIS2 ist aktuell bindend. Je später Du startest, desto enger wird’s.
- Denn: Deutschland/Österreich hinken mit nationalem Gesetz hinterher – aber NIS2 ist aktuell bindend. Je später Du startest, desto enger wird’s.
- Reputation & Wettbewerb
- Unternehmen, die schon früh ein wirksames ISMS haben, genießen mehr Vertrauen – bei Kunden, Partnern, Behörden.
- Unternehmen, die schon früh ein wirksames ISMS haben, genießen mehr Vertrauen – bei Kunden, Partnern, Behörden.
- Rechtlich & finanziell sicher
- Wer NIS2-Pflichten ernst nimmt, minimiert Risiken von Bußgeldern und Haftung – bis zu 10 Mio € oder 2 % des Umsatzes.
- Wer NIS2-Pflichten ernst nimmt, minimiert Risiken von Bußgeldern und Haftung – bis zu 10 Mio € oder 2 % des Umsatzes.
- Technisch & organisatorisch robuster
- Das Alles-zusammen-denken aus KRITIS, NIS2 & ISO/IT-Grundschutz schafft ein modernes Sicherheitslevel, das auch künftigen Anpassungen gerecht wird.
- Das Alles-zusammen-denken aus KRITIS, NIS2 & ISO/IT-Grundschutz schafft ein modernes Sicherheitslevel, das auch künftigen Anpassungen gerecht wird.
🔎 Mini‑FAQ: NIS2 vs. KRITIS in 60 Sekunden
Muss ich beides beachten?
Wenn Dein Unternehmen KRITIS-Betreiber ist (z. B. Energieversorger, Krankenhaus), gilt beides: KRITIS bleibt aktiv, und NIS2 ergänzt die Pflichten erheblich. Andere Unternehmen, die bisher unter KRITIS fielen, bekommen mit NIS2 neue Verpflichtungen wie Management-Haftung oder Lieferketten-Audits.
Gilt KRITIS noch
Ja – das KRITIS-Regelwerk (BSI‑KritisV u. a.) bleibt weiter gültig. NIS2 ergänzt, ersetzt aber nicht KRITIS. Beide Regelwerke können gleichzeitig greifen – je nach Sektor und Unternehmensgröße.
Ich bin kein Konzern – betrifft mich das überhaupt?
Ganz klar: Ja! Schon ab 50 Mitarbeitenden oder 10 Mio € Umsatz und Tätigkeiten in einem der definierten 18 Sektoren kann NIS2 für Dich relevant werden. Selbst kleine bis mittelgroße Unternehmen sind betroffen, insbesondere in digitaler Infrastruktur.
Was ist mit dem Umsetzungsdatum
Die EU-Richtlinie ist seit 16. Jan 2023 in Kraft, national gelten Umbaufristen:
- Deutschland: Ziel war 18. Okt 2024, Verzögerung auf frühestens Q3/2025 – Referentenentwurf liegt vor.
- Österreich: Ziel 17. Okt 2024, Verschiebung auf Januar 2026 geplant.
Stand Juni 2025: nationale Gesetze fehlen noch – aber NIS2 ist bereits EU-rechtlich bindend.
Gibt es ein Tool oder eine Liste zur Selbsteinschätzung?
Ja – das BSI bietet ein kostenloses Online-Tool, die NIS2‑Betroffenheitsprüfung, das in wenigen Schritten eine Erst-Einschätzung liefert – anonym, rechtlich nicht bindend, aber praxisnah. Auch diverse Anbieter stellen Quick‑Checks/Checklisten zur Verfügung (z. B. IHK, nis2-Navigator).
Fazit
NIS2 und KRITIS greifen parallel – oft ist es nicht „entweder oder“, sondern „beides beachten!“. Auch Dein mittelständisches Unternehmen kann betroffen sein. Nutze Tools wie die BSI‑Betroffenheitsprüfung, um schnell Klarheit zu bekommen – der Aufwand zahlt sich langfristig aus.