top of page
Design ohne Titel - 2025-03-04T115557.178.png

Was ändert sich für KRITIS-Betreiber 2025?

Worauf müssen KRITIS-Betreiber jetzt besonders achten?


Deutschland hat im Jahr 2025 die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen (KRITIS) deutlich verschärft. Das Ziel: die Resilienz des Landes gegenüber Cyberangriffen, Sabotage und Ausfällen lebenswichtiger Dienste zu stärken.

Die neuen Vorgaben betreffen unter anderem die Sektoren Energie, Verkehr, Gesundheit, Wasser, Ernährung, Finanzwesen, Telekommunikation und Abfallentsorgung. Doch was ändert sich für KRITIS-Betreiber konkret – und worauf müssen sie jetzt achten?



Hintergrund: Warum Deutschland die KRITIS-Regeln verschärft hat


Die letzten Jahre haben gezeigt, wie verwundbar unsere Infrastrukturen sind. Cyberangriffe auf Wasserwerke, Krankenhäuser oder Stromnetzbetreiber nahmen massiv zu. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) stiegen die gemeldeten Sicherheitsvorfälle 2024 um über 30 % im Vergleich zum Vorjahr.


Zudem verpflichtet die EU-NIS2-Richtlinie, die bis 2025 vollständig umgesetzt sein muss, alle Mitgliedsstaaten dazu, strengere Sicherheits- und Meldepflichten einzuführen. Deutschland hat darauf reagiert – mit einer umfassenden KRITIS-Reform, die nicht nur große Betreiber betrifft, sondern auch mittelständische Zulieferer und Dienstleister, die Teil der Versorgungskette sind.


Was ändert sich für KRITIS-Betreiber konkret?


Die Änderungen betreffen vor allem drei zentrale Bereiche: Inventarisierung, Risikomanagement und Nachweispflichten.


1. Verpflichtende Sicherheitsinventare


Betreiber müssen künftig eine vollständige Übersicht ihrer IT- und OT-Systeme (Operational Technology) vorlegen können. Das bedeutet:


  • Jedes System, jeder Server, jede Steuerungseinheit muss dokumentiert werden.

  • Schnittstellen zu Drittanbietern und Cloud-Systemen müssen identifiziert werden.

  • Änderungen an der Infrastruktur sind fortlaufend zu erfassen.


Ziel: Transparenz schaffen, um Angriffsflächen frühzeitig zu erkennen.


2. Risikobewertungen & Sicherheitskonzepte


KRITIS-Betreiber sind nun verpflichtet, regelmäßige Risikobewertungen durchzuführen – mindestens einmal jährlich oder bei größeren Systemänderungen. Dazu gehören:


  • Bedrohungsanalysen (z. B. Cyberangriffe, physische Sabotage, Lieferausfälle)

  • Simulationen von Ausfallszenarien

  • Erstellung und Pflege eines Sicherheitskonzepts, das technische, organisatorische und personelle Maßnahmen umfasst


Dieses Konzept muss auf Anfrage der Aufsichtsbehörden (z. B. BSI, Landesbehörden) vorgelegt werden können.


ree

3. Nachweispflichten & Auditierungen


Betreiber müssen regelmäßig Nachweise erbringen, dass sie ihre Schutzmaßnahmen umsetzen und auf dem aktuellen Stand halten. Das umfasst:


  • Sicherheitszertifizierungen (z. B. ISO 27001, BSI-Grundschutz)

  • Penetrationstests durch unabhängige Dritte

  • Nachweise über Mitarbeiterschulungen und Incident-Response-Pläne


Besonders wichtig: Auch Zulieferer und Dienstleister werden zunehmend mit in die Haftung genommen.


Worauf müssen KRITIS-Betreiber jetzt achten?


Die Anforderungen steigen nicht nur auf dem Papier – sie werden auch strenger kontrolliert. Hier die wichtigsten Punkte, auf die Betreiber jetzt achten müssen:


  1. Compliance-Verantwortliche ernennen: Ein fester Ansprechpartner für Informationssicherheit (CISO) wird Pflicht.

  2. Lieferkettensicherheit prüfen: Verträge mit Dienstleistern sollten Sicherheitsstandards klar regeln (Stichwort: Third-Party-Risiko).

  3. Incident-Response-Plan erstellen: Behörden erwarten klare Abläufe für den Ernstfall – inklusive Meldefristen und Kommunikationsketten.

  4. Kontinuierliches Monitoring implementieren: Systeme müssen Angriffe in Echtzeit erkennen können.

  5. Nachweisbare Awareness-Schulungen: Mitarbeiter gelten als größte Schwachstelle – Schulungen sind jetzt verpflichtend.


Erweiterter KRITIS-Begriff: Wer ist jetzt betroffen?


Eine der größten Änderungen betrifft die Ausweitung des KRITIS-Begriffs. Nicht mehr nur klassische Versorgungsunternehmen sind betroffen, sondern auch:


  • IT-Dienstleister und Betreiber von Cloud- und Rechenzentrumsinfrastrukturen

  • Hersteller kritischer Komponenten (z. B. Sensorik, Steuerungstechnik)

  • Logistik- und Transportunternehmen, die Teil von Lieferketten kritischer Güter sind


Damit wird klar: Auch mittelständische Unternehmen geraten zunehmend in den Fokus der Sicherheitsvorschriften.



Sicherheit wird zur Managementaufgabe


Die neuen KRITIS-Regeln sind kein bürokratischer Selbstzweck – sie sind ein notwendiger Schritt, um Deutschland resilienter gegen moderne Bedrohungen zu machen. Für Unternehmer gilt: Wer die Anforderungen versteht und umsetzt, verschafft sich einen echten Wettbewerbsvorteil.


Die Frage „Was ändert sich für KRITIS-Betreiber?“ lässt sich daher klar beantworten: Mehr Verantwortung, mehr Transparenz – aber auch mehr Chancen, Vertrauen aufzubauen.

Kommentare

bottom of page