KRITIS-Dachgesetz und NIS-2: Neue Pflichten für Unternehmen

Das Wichtigste auf einen Blick: 

• Zwei Regelwerke, zwei Schwerpunkte: NIS‑2 stärkt die Cyber- und IT-Sicherheit (inkl. Meldepflichten, Schulungen, Managementverantwortung), während das KRITIS‑Dachgesetz die physische Resilienz kritischer Anlagen regelt (etwa mit Anforderungen für Risikoanalysen, Schutzmaßnahmen, Notfallpläne).
• Unterschiedliche Betroffenheit: NIS‑2 betrifft viele mittelgroße und große Unternehmen (z. B. ab 50 Mitarbeitenden), während beim KRITIS‑Dachgesetz die konkrete Anlage und ihre Bedeutung für die Versorgung entscheidend ist – die Einordnung ist oft komplex und noch im Fluss.
• Mehr Pflichten und Bürokratie: Neu sind vor allem umfangreichere Nachweis-, Dokumentations- und Meldepflichten sowie stärkere Verantwortlichkeiten für das Management; viele Grundlagen existieren bereits, aber der organisatorische und regulatorische Aufwand steigt deutlich.

Gleich zwei Regulierungen beschäftigen die Branche derzeit: das neue KRITIS-Dachgesetz, das erstmals die physische Resilienz kritischer Infrastrukturen umfassend regelt, sowie die europäische NIS-2-Richtlinie zur Stärkung der Cyber- und IT-Sicherheit.

Was bedeuten diese Regelwerke für die Unternehmen? Darüber sprach Wir.Hier. mit Christian Bünger, Digitalisierungsexperte beim VCI, und Verena Wolf, Spezialistin für Genehmigungsverfahren. 

Worum geht es bei den beiden Regelwerken?

Christian Bünger: Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU Richtlinie zur Cybersicherheit. Sie legt unter anderem fest, welche Pflichten das Management trägt, wie Sicherheitsvorfälle gemeldet werden müssen und welche Anforderungen an Schulungen gestellt werden.

Beim KRITIS-Dachgesetz geht es breiter um die physische Resilienz sogenannter kritischer Infrastrukturen. Es verpflichtet Unternehmen beispielsweise dazu, Risiken systematisch zu analysieren, Schutzmaßnahmen zu ergreifen und Notfallpläne zu erstellen.

Wie viele Unternehmen sind betroffen?

Christian Bünger: Von NIS-2 sind grundsätzlich mittelgroße und große Unternehmen der Chemie- und Pharmaindustrie betroffen – also solche mit mehr als 50 Beschäftigten oder einem Jahresumsatz von über zehn Millionen Euro.

Beim KRITIS-Dachgesetz ist die Abgrenzung komplexer: Entscheidendes Kriterium ist nicht das Unternehmen selbst oder die Unternehmensgröße, sondern es kommt auf die jeweilige Anlage und ihre Bedeutung für die Versorgung der Bevölkerung an. 

Unternehmen müssen selbst prüfen, ob sie unter die Regelung fallen – und genau das stellt viele vor Herausforderungen. 

Wo liegen bei dieser Betroffenheitsprüfung die größten Schwierigkeiten?

Christian Bünger: Für viele Sektoren ist noch nicht abschließend definiert, was genau als „kritische Dienstleistung“ gilt. Das erschwert die Einordnung. Ein Entwurf der Verordnung liegt mittlerweile vor, allerdings muss dieser erst das Gesetzgebungsverfahren durchlaufen.

Verena Wolf: Zudem ist das Regelwerk teilweise noch im Aufbau. Detailvorgaben fehlen oder entwickeln sich noch weiter – auch auf Ebene der Bundesländer. Für die Betroffenheitsprüfung brauchen Unternehmen daher oft spezialisierte Beratung, die nicht überall verfügbar ist. Das Bundesamt für Sicherheit in der Informationstechnik bietet für NIS-2 eine Hilfestellung für die Betroffenheitsprüfung an. 

Grundsätzlich lässt sich aber sagen: Anlagen, die bisher schon als „kritische Infrastruktur“ galten, werden es in der Regel auch weiterhin sein – allerdings mit erweiterten Pflichten.

Welche Pflichten kommen konkret hinzu?

Christian Bünger: Unternehmen müssen ihre Sicherheitsmaßnahmen stärker systematisieren und dokumentieren. Dazu gehören etwa Zugangskontrollen, bauliche Sicherung oder Redundanz- und Aufrechterhaltungskonzepte für kritische Prozesse sowie das Risikomanagement.

Viele dieser Maßnahmen gab es bereits, neu sind jedoch vor allem die erweiterten Nachweis , Melde- und Dokumentationspflichten sowie neue Haftungsregelungen. Unternehmen müssen beispielsweise strukturierte Reporting-Prozesse aufbauen, sich registrieren und Schulungskonzepte etablieren.

War die Sicherheit bislang nicht ausreichend?

Verena Wolf: Sicherheits- und Umweltschutz haben in unserer Branche traditionell einen sehr hohen Stellenwert – unabhängig von gesetzlichen Vorgaben. Die Unternehmen verfügen bereits über etablierte Managementsysteme, besonders im Bereich Umweltschutz und Anlagensicherheit.

Neu ist jedoch die wachsende regulatorische Dichte: Unternehmen müssen ihre Maßnahmen künftig deutlich umfassender dokumentieren und gegenüber Behörden nachweisen. Wir sind nicht grundsätzlich gegen Regulierung – aber sie muss verständlich und praktikabel sein. Gerade für mittelständische Unternehmen ist es eine große Herausforderung, die komplexen Vorgaben zu interpretieren und umzusetzen.

Wo finden Unternehmen Unterstützung?

Verena Wolf: Unterstützung bieten unter anderem die zuständigen Bundesbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) für NIS-2 und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) für das KRITIS-Dachgesetz. Dort gibt es Leitfäden und Praxishilfen.

Auch wir als Branchenverband unterstützen unsere Mitglieder – etwa durch Webinare, Informationsveranstaltungen und die Vermittlung qualifizierter Berater.

Welche Tipps geben Sie Unternehmen?

Christian Bünger: Sicherheits- und Resilienz-Konzepte sollten als klare Managementaufgabe verstanden werden. Es handelt sich nicht allein um ein IT-Thema. Die Verantwortung liegt bei der Führungsebene, auch wenn die Umsetzung operativ erfolgt.

Verena Wolf: Zudem ist interne Abstimmung zwischen den verschiedenen Einheiten eines Unternehmens entscheidend. Viele Bereiche sind beteiligt – deshalb müssen Informationen transparent geteilt und Prozesse gut koordiniert werden.