Login

Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

Was ist der Unterschied zwischen KRITIS und NIS2?

Veröffentlicht am: 4. März 2026

Max Mustermann

Veröffentlicht am: 04.03.2026

Kritische Infrastrukturen und NIS2 - Wie hängt das zusammen?

KRITIS-Regulierung und NIS2 stecken den Rahmen ab, wie Cybersicherheit für kritische und wesentliche Einrichtungen in Deutschland und der EU geregelt wird. In Deutschland richtet sich die KRITIS-Regulierung (u. a. BSIG/IT-SiG in Verbindung mit der BSI-Kritisverordnung) vor allem an Betreiber kritischer Infrastrukturen, die über definierte Schwellenwerte identifiziert werden. NIS2 erweitert den Kreis der verpflichteten Organisationen deutlich und macht Cybersicherheit ausdrücklich zur Aufgabe der Unternehmensleitung: Verantwortung, Steuerung und Kontrolle liegen beim Management. Ziel beider Regelwerke ist es, die Widerstandsfähigkeit zentraler Versorgungs- und Wirtschaftsstrukturen zu erhöhen und Sicherheitsrisiken systematisch organisatorisch beherrschbar zu machen.

Kurz zusammengefasst

  • KRITIS reguliert eine klar definierte Gruppe systemrelevanter Betreiber.
  • NIS2 erweitert den Kreis erheblich und verschiebt den Fokus stärker auf Governance, Risikomanagement und Managementverantwortung.
  • Unternehmen müssen ihre Betroffenheit selbst prüfen. Eine automatische Benachrichtigung erfolgt nicht.

Durch NIS2 erweitert sich KRITIS

KRITIS (im NIS2-Sinn) betrifft längst nicht mehr nur klassische Betreiber kritischer Infrastrukturen wie Energie- oder Wasserversorger. Mit der Umsetzung der NIS2-Richtlinie erweitert sich der Kreis der regulierten Organisationen erheblich. Neben systemrelevanten Einrichtungen rücken zunehmend mittelständische Unternehmen, IT-Dienstleister, digitale Infrastrukturanbieter und Teile der Industrie in den regulatorischen Fokus.

Für Geschäftsführung und Vorstand ist das Thema relevant, weil Cyberrisiken als unternehmerische Risiken eingeordnet werden. Regulatorische Vorgaben verlagern die Verantwortung ausdrücklich auf die Leitungsebene. Fehlende oder unzureichende Maßnahmen können nicht nur zu erheblichen Bußgeldern führen, sondern auch persönliche Haftungsfragen aufwerfen.

Für GRC- und Compliance-Verantwortliche steht die strukturierte Integration der Anforderungen in bestehende Governance- und Kontrollsysteme im Mittelpunkt. IT-Leitung und Informationssicherheitsverantwortliche müssen sicherstellen, dass technische Maßnahmen organisatorisch eingebettet und nachweisfähig dokumentiert sind.

Die Relevanz ergibt sich zudem aus Marktanforderungen. Kunden, Geschäftspartner und Versicherer erwarten zunehmend belastbare Sicherheitsnachweise. Cyberresilienz wird damit nicht nur zur regulatorischen Pflicht, sondern auch zu einem Wettbewerbsfaktor im B2B-Umfeld.

KRITIS vs NIS2

Was bedeutet das für Unternehmen?

KRITIS (NIS2) verfolgt die Grundlogik, systemische Risiken für Gesellschaft und Wirtschaft präventiv zu reduzieren. Die Regelwerke zielen darauf ab, Organisationen in die Lage zu versetzen, Risiken strukturiert zu identifizieren, angemessene Schutzmaßnahmen umzusetzen und im Ereignisfall handlungsfähig zu bleiben.

Das Regelwerk für kritische Infrastruktur basiert auf dem BSI-Gesetz und der KRITIS-Verordnung. Maßgeblich sind es sektorspezifische Schwellenwerte, die bestimmen, ob eine Einrichtung als kritisch eingestuft wird. Die Verpflichtungen umfassen insbesondere angemessene technische und organisatorische Maßnahmen sowie Meldepflichten gegenüber dem BSI.

NIS2 ist eine europäische Richtlinie, die in nationales Recht umgesetzt wird. Sie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen und erweitert den Anwendungsbereich erheblich. Neben klassischen Infrastrukturbereichen werden auch digitale Dienste, bestimmte Industrieunternehmen und größere Organisationen einbezogen. Die aktuell maßgebliche Grundlage ist die Richtlinie (EU) 2022/2555; die nationale Umsetzung erfolgt über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz.

Zentrale Prinzipien beider Regelwerke sind:

  • Risikobasierter Ansatz
  • Angemessenheit der Maßnahmen
  • Incident- und Meldeprozesse
  • Nachweis- und Dokumentationspflicht

Bewusst offengelassen wird die konkrete technische Ausgestaltung. Die Gesetze definieren Ziele und Mindestanforderungen, überlassen jedoch die konkrete Umsetzung den Organisationen. Dadurch entsteht ein Gestaltungsspielraum, der zugleich erhöhte Governance-Anforderungen mit sich bringt.

Externe Treiber sind in erster Linie regulatorische Anforderungen, verschärfte Aufsicht und potenziell hohe Sanktionen. Zusätzlich steigt die Anzahl komplexer Cyberangriffe auf Versorgungs- und Produktionsstrukturen. Regulatoren reagieren darauf mit klaren Vorgaben zu Meldefristen, Managementverantwortung und Business Continuity.

Interne Treiber liegen in der Risikotransparenz. Cyberrisiken wirken sich unmittelbar auf operative Stabilität, Reputation und Unternehmenswert aus. Fehlende Klarheit über Abhängigkeiten, kritische Prozesse oder Lieferketten erhöht die Anfälligkeit für systemische Störungen.

Darüber hinaus zwingt die zunehmende Verzahnung von IT- und Produktionsumgebungen Unternehmen dazu, Sicherheitsaspekte frühzeitig in strategische Entscheidungen einzubeziehen. KRITIS (NIS2) fungiert hier als strukturierender Rahmen.

Womit in der Praxis beginnen?

Der Einstieg erfolgt regelmäßig über eine strukturierte Betroffenheitsanalyse. Unternehmen müssen klären, ob sie unter die KRITIS-Regelungen fallen oder als wesentliche oder wichtige Einrichtung nach NIS2 einzustufen sind.

Zentrale Bestandteile einer belastbaren Umsetzung sind:

  • Dokumentiertes Cyber-Risikomanagement
  • Klare Governance-Strukturen
  • Incident-Response- und Meldeprozesse
  • Business Continuity Management
  • Regelmäßige Wirksamkeitsprüfung

Wichtige Rollen sind die Geschäftsleitung als verantwortliches Organ, ein Informationssicherheitsbeauftragter oder CISO, ein Risikomanagement-Verantwortlicher sowie interne oder externe Auditfunktionen.

Relevante Dokumente und Artefakte umfassen unter anderem:

  • Risikoregister
  • Richtlinien und Sicherheitsleitlinien
  • Notfall- und Wiederanlaufpläne
  • Meldeprozesse
  • Schulungsnachweise
  • Auditberichte

Entscheidend ist die Verzahnung dieser Elemente in einem konsistenten Steuerungsmodell.

Strukturierte Umsetzung der Regelwerke

Eine strukturierte Umsetzung folgt typischerweise mehreren aufeinander aufbauenden Schritten.

Zunächst erfolgt die formale Einordnung und Abgrenzung des Geltungsbereichs. Anschließend wird eine Gap-Analyse durchgeführt, um bestehende Maßnahmen mit regulatorischen Anforderungen abzugleichen. Darauf aufbauend werden Governance-Strukturen angepasst oder etabliert. Dazu gehört die klare Zuordnung von Verantwortlichkeiten, Eskalationswegen und Berichtslinien. Parallel wird ein systematisches Risikomanagement implementiert oder weiterentwickelt.

Im nächsten Schritt werden Incident-Management- und Meldeprozesse operationalisiert. Diese müssen organisatorisch abgesichert und regelmäßig getestet werden. Abschließend ist eine kontinuierliche Überwachung und Verbesserung erforderlich. Interne Audits, Management-Reviews und regelmäßige Tests der Notfallpläne bilden den Kern einer auditfesten Umsetzung.

Welche Vorteile bietet eine Software wie GRASP German GRC?

Eine integrierte Softwareplattform unterstützt Governance-Strukturen, indem sie Risiken, Maßnahmen, Verantwortlichkeiten und Nachweise in einem konsistenten System zusammenführt. Dadurch entsteht Transparenz über Status, Reifegrad und offene Handlungsfelder. Im Hinblick auf Compliance und Nachweisfähigkeit ermöglicht eine strukturierte Lösung die revisionssichere Dokumentation von Maßnahmen, Tests und Managemententscheidungen. Dies reduziert manuelle Aufwände und verbessert die Prüfbarkeit gegenüber Aufsichtsbehörden.

Operativ profitieren Organisationen von konsolidierten Risikoregisterstrukturen, klaren Eskalationsmechanismen und standardisierten Reporting-Funktionen. Entscheidungen können auf einer konsistenten Datenbasis getroffen werden.

Einordnung für die Praxis: Bedarf an integrierter GRC-Struktur prüfen

Im Kontext von KRITIS (NIS2) stellt sich für viele Organisationen weniger die Frage, ob Anforderungen bestehen, sondern wie strukturiert diese umgesetzt und gesteuert werden. Eine kurze Selbstprüfung kann helfen, den eigenen Reifegrad einzuordnen.

  1. Besteht Transparenz darüber, welche regulatorischen Verpflichtungen konkret gelten und wie diese organisatorisch abgebildet sind?
  2. Existiert ein zentrales, konsolidiertes Risikoregister, das regulatorische, operative und strategische Risiken zusammenführt?
  3. Sind Incident- und Meldeprozesse klar definiert, dokumentiert und im Störungsfall unmittelbar anwendbar?
  4. Erhält die Geschäftsleitung regelmäßige, belastbare Berichte zur Risikolage und zum Umsetzungsstand regulatorischer Maßnahmen?
  5. Können Maßnahmen, Tests und Wirksamkeitsprüfungen jederzeit nachvollziehbar dokumentiert und gegenüber Prüfern oder Aufsichtsbehörden belegt werden?

Wenn diese Fragen nur teilweise beantwortet werden können oder die Informationen in verteilten Strukturen vorliegen, deutet dies weniger auf ein inhaltliches Defizit als auf ein strukturelles Steuerungsproblem hin.

Häufig gestellte Fragen

Was ist der Unterschied zwischen KRITIS und NIS2?

Der Unterschied zwischen KRITIS und NIS2 liegt im Rechtsrahmen und im Anwendungsbereich. KRITIS basiert auf deutschem Recht (BSI-Gesetz und KRITIS-Verordnung) und richtet sich an Betreiber kritischer Infrastrukturen mit klar definierten Schwellenwerten. NIS2 ist eine EU-Richtlinie, die deutlich mehr Unternehmen erfasst und Cyberrisiken ausdrücklich als Managementverantwortung einordnet. Während KRITIS stärker anlagenbezogen ist, verfolgt NIS2 einen umfassenden Governance-Ansatz.

Wer ist von KRITIS und NIS2 betroffen?

Von KRITIS sind Betreiber kritischer Infrastrukturen betroffen, die bestimmte sektorspezifische Schwellenwerte überschreiten.
NIS2 betrifft sogenannte „wesentliche“ und „wichtige“ Einrichtungen. Maßgeblich sind Unternehmensgröße, Umsatz oder Bilanzsumme sowie die Zugehörigkeit zu bestimmten Sektoren. Der Kreis der betroffenen Organisationen ist unter NIS2 deutlich größer.

Ist NIS2 dasselbe wie KRITIS?

NIS2 verlangt, dass Unternehmen strukturierte Verfahren zur Bewältigung von Betriebsunterbrechungen etablieren. Dazu gehören dokumentierte Wiederherstellungsstrategien, klar definierte Verantwortlichkeiten, getestete Notfallpläne sowie vorbereitete Kommunikationsprozesse. Organisationen müssen nachweisen können, dass ihre BCM-Maßnahmen auf fundierten Risikobewertungen basieren und systematisch umgesetzt werden.

Müssen KRITIS-Unternehmen zusätzlich NIS2 erfüllen?

Ja, sofern sie in den Anwendungsbereich von NIS2 fallen. KRITIS-Unternehmen bleiben reguliert, müssen jedoch prüfen, ob zusätzliche Anforderungen aus der NIS2-Umsetzung hinzukommen, insbesondere im Bereich Managementverantwortung, Meldepflichten und Risikomanagement.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

GRASP Dokumentation

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen