Wer ist kritische Einrichtung? Sektoren und Betroffenheit unter CER und KRITIS-Dachgesetz
Kernaussage
Ob ein Unternehmen als kritische Einrichtung gilt, ist keine Frage des Selbstbildes ("wir sind systemrelevant"), sondern folgt aus drei Bausteinen: Zugehörigkeit zu einem regulierten Sektor, Erfüllung von Schwellen und Kriterien sowie formaler Einstufung durch die zuständige Behörde. Maßgeblich für die physische All-Gefahren-Resilienz ist in Deutschland das KRITIS-Dachgesetz, das die CER-Richtlinie (EU) 2022/2557 umsetzt.
Die Betroffenheit muss aktiv geprüft und dokumentiert werden, getrennt von der NIS2-/Cyber-Betroffenheit. Beide Regime können gleichzeitig greifen, sind aber nicht deckungsgleich. Wer den eigenen Status nicht früh klärt, verliert Vorlaufzeit für Registrierung, Risikoanalyse und Resilienzmaßnahmen.
Problem in der Praxis
In vielen Organisationen verschwimmt die Frage "Sind wir betroffen?" mit "Sind wir wichtig?". Betroffenheit ist ein rechtlicher Tatbestand, kein Gefühl. Hinzu kommt die Verwechslung der beiden KRITIS-Ebenen: Cyber- und IT-Sicherheit laufen über BSIG und NIS2, die physische und organisatorische All-Gefahren-Resilienz über CER-Richtlinie und KRITIS-Dachgesetz. Wer nur an "KRITIS = IT-Sicherheit" denkt, übersieht die zweite Pflichtenwelt.
Typisch ist zudem die Annahme, die Behörde werde sich schon melden. Tatsächlich identifizieren die Mitgliedstaaten kritische Einrichtungen aktiv, und es bestehen Selbstmelde- und Registrierungspflichten. Wer den Status nicht vorab analysiert, gerät unter Zeitdruck, sobald eine Einstufung mitgeteilt wird, denn ab diesem Punkt laufen Fristen.
CISO-Einordnung
Die Betroffenheitsprüfung lässt sich entlang von vier Leitfragen strukturieren: In welchem Sektor sind wir tätig, und fällt diese Tätigkeit in den Anwendungsbereich? Erreichen unsere Anlagen Schwellen oder qualitative Kriterien? Sind wir parallel von NIS2/BSIG betroffen, also doppelt reguliert? Und wer in der Organisation verantwortet diese Klärung dauerhaft?
Der Anhang der CER-Richtlinie benennt elf Sektoren: Energie, Verkehr/Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum und Ernährung. Das KRITIS-Dachgesetz orientiert sich an den etablierten KRITIS-Sektoren (u. a. Energie, Verkehr, Finanz-/Versicherungswesen, Gesundheit, Wasser, Ernährung, IT/TK, Weltraum, Siedlungsabfallentsorgung). Der exakte nationale Sektor-Zuschnitt und besonders die Frage, ob und wie IT/TK sowie der Finanzsektor erfasst sind, ist am Gesetzestext und der Rechtsverordnung zu verifizieren; Sekundärquellen sind teils widersprüchlich. Adressat sind Betreiber kritischer Anlagen sowie kritische Einrichtungen von besonderer europäischer Bedeutung.
Umsetzungsperspektive
Eine belastbare Betroffenheitsanalyse lässt sich als kleiner, wiederholbarer Prozess aufsetzen:
- Sektor-Mapping: Welche Anlagen und Standorte gehören zu welchen regulierten Sektoren?
- Schwellen- und Kriterienprüfung: Als primäres Quantitätskriterium gilt ein Regel-Schwellenwert von 500.000 versorgten Personen je Anlage, ergänzt um qualitative Einzelfallkriterien wie Interdependenzen, Marktanteil und Versorgungsbedeutung. Die sektorspezifischen Detailschwellen unterhalb des Regelwerts ergeben sich aus der untergesetzlichen KRITIS-Verordnung und sind dort zu prüfen.
- Doppelbetroffenheit: Abgleich mit der NIS2-/BSIG-Betroffenheit, um Cyber- und physische Pflichten gemeinsam zu planen.
- Verantwortung und Nachweis: Ergebnis dokumentieren, mit Owner versehen und bei Veränderungen (neue Anlagen, Zukäufe, Kapazitäten) aktualisieren.
Viele Betreiber sind sowohl NIS2- als auch KRITIS-DachG-pflichtig, weil Cyber- und physische Resilienz parallel reguliert werden. Das ist kein Widerspruch, sondern Normalfall. Praktisch nutzbar ist, dass Behörden auf Teile bereits vorgelegter Nachweise zurückgreifen können, etwa nach Paragraf 39 BSIG oder aus branchenspezifischen Sicherheitsstandards (B3S), um Doppelnachweise zu vermeiden. Im Finanzsektor ist zusätzlich DORA (VO (EU) 2022/2554) als lex specialis zu beachten.
Die Registrierung erfolgt über eine gemeinsame Stelle von BBK und BSI (BBK federführend für physische Resilienz und Aufsicht, BSI als Registrierungs- und Meldestelle), frühestens ab dem 17.07.2026, sonst binnen drei Monaten nach Einstufung. Das KRITIS-Dachgesetz ist geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Ausnahme: Paragraf 14 Absatz 3 bis 5 tritt erst am 01.01.2030 in Kraft; Quelle: gesetze-im-internet.de/kritisdachg).
Typische Fehler
- Betroffenheit wird als Selbsteinschätzung der eigenen Bedeutung statt als rechtliche Prüfung behandelt.
- Die beiden KRITIS-Ebenen werden vermischt: Cyber (NIS2/BSIG) und physische Resilienz (CER/KRITIS-DachG).
- Sektorale Schwellenwerte werden als feststehend behauptet, obwohl die Detailschwellen in der Verordnung zu prüfen sind.
- Es wird nur auf die Einstufung gewartet, statt aktiv zu analysieren und Vorlaufzeit zu sichern.
- Konzernstrukturen mit mehreren Anlagen werden nicht anlagenscharf betrachtet.
Risiken und Trade-offs
Eine zu enge Auslegung lässt Pflichten und Fristen übersehen und führt unvorbereitet in eine Einstufung. Eine zu weite, vorsorgliche Auslegung bindet Ressourcen für Anlagen, die womöglich gar nicht erfasst sind.
Eine belastbare Aussage zur Betroffenheit setzt voraus, dass Gesetzestext und Rechtsverordnung ausgewertet werden, nicht nur Sekundärliteratur; das kostet Zeit, schützt aber vor Fehlplanung. Ein weiterer Trade-off: Wer Cyber- und physische Resilienz getrennt steuert, verdoppelt Aufwand; wer beides zusammenführt, braucht klare Zuständigkeiten über Silogrenzen hinweg.
Entscheidungspunkte
- Wer verantwortet die Betroffenheitsanalyse, und wie oft wird sie überprüft?
- Betrachten wir Betroffenheit anlagenscharf oder nur auf Unternehmensebene?
- Planen wir CER/KRITIS-DachG und NIS2 in einem gemeinsamen Resilienzprogramm oder getrennt?
- Auf welche Primärquellen stützen wir verbindliche Aussagen (Gesetzestext, Rechtsverordnung, EUR-Lex)?
- Welche Vorlaufmaßnahmen treffen wir, bevor eine Einstufung formal mitgeteilt wird?
Praktische Empfehlungen
- Erstellen Sie ein anlagenscharfes Sektor-Mapping aller Standorte und Tätigkeiten.
- Prüfen Sie Schwellen und qualitative Kriterien, behandeln Sie sektorale Detailschwellen jedoch als zu verifizieren.
- Führen Sie die NIS2-/BSIG-Prüfung parallel und planen Sie Doppelbetroffenheit als Normalfall ein.
- Der Rechtsstand des KRITIS-Dachgesetzes ist amtlich belegt (in Kraft seit 17.03.2026, Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66); behandeln Sie sektorale Detailschwellen und Detailfristen weiterhin als am Gesetzestext und an der Rechtsverordnung zu verifizieren, bevor Sie sie kommunizieren.
- Dokumentieren Sie das Ergebnis mit Owner und Stand und sichern Sie sich früh Vorlaufzeit für Registrierung, Risikoanalyse und Resilienzmaßnahmen.
Relevante Normreferenzen
- CER-Richtlinie (EU) 2022/2557 vom 14.12.2022 über die Resilienz kritischer Einrichtungen (ABl. L 333 vom 27.12.2022): EU-Rechtsgrundlage des physischen All-Gefahren-Schutzes; hebt die Richtlinie 2008/114/EG auf.
- KRITIS-Dachgesetz (KRITIS-DachG): nationale Umsetzung der CER-Richtlinie; verbindliche Aussagen aus Gesetzestext und Rechtsverordnung (amtliche Quelle gesetze-im-internet.de/kritisdachg). Geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Ausnahme: Paragraf 14 Absatz 3 bis 5 ab 01.01.2030).
- NIS2 / BSIG: komplementäres Cyber-Regime; relevant für die Doppelbetroffenheit (u. a. Nachweise nach Paragraf 39 BSIG, B3S).
- DORA (VO (EU) 2022/2554): lex specialis für die digitale operationale Resilienz im Finanzsektor.
- ISO 22301 (BCM), ISO 31000 (Risikomanagement) und ISO/IEC 27001 (ISMS): konzeptionelle "Wie"-Referenzen, reference-only.
- NIST CSF: konzeptionelle Mapping-Brücke ohne direkten Rechtsbezug.
Häufige Fragen
Sind wir betroffen, wenn wir uns als systemrelevant empfinden?+
Nicht automatisch. Betroffenheit ist ein rechtlicher Tatbestand aus Sektor, Schwellen/Kriterien und behördlicher Einstufung, keine Selbsteinschätzung.
Was ist der Unterschied zwischen NIS2 und CER/KRITIS-Dachgesetz?+
NIS2/BSIG regelt Cyber- und IT-Sicherheit, CER/KRITIS-DachG die physische und organisatorische All-Gefahren-Resilienz. Beide können gleichzeitig gelten.
Welche Sektoren sind erfasst und ab welcher Größe?+
Die CER nennt elf Sektoren; der nationale Zuschnitt ist am KRITIS-Dachgesetz zu prüfen. Als Regelwert gilt 500.000 versorgte Personen je Anlage; sektorale Detailschwellen stehen in der Verordnung und sind dort zu verifizieren.
Müssen wir warten, bis die Behörde uns einstuft?+
Nein. Sinnvoll ist eine aktive Betroffenheitsanalyse vorab, da nach einer Einstufung Fristen für Registrierung und Resilienzmaßnahmen laufen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen KRITIS & CER prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: kritis-002.
