Framework-Vergleich
NIS2 vs KRITIS
KRITIS und NIS2 betreffen beide kritische Infrastrukturen, aber NIS2 erweitert den Kreis der regulierten Unternehmen erheblich. Viele Organisationen, die bisher nicht als KRITIS galten, werden durch NIS2 erstmals erfasst.
Kurzantwort
KRITIS ist das bestehende deutsche Recht für Betreiber kritischer Infrastrukturen mit hohen Schwellenwerten. NIS2 ist die neue, breitere EU-Vorgabe, die deutlich mehr Sektoren und kleinere Unternehmen einbezieht. NIS2 löst KRITIS nicht ab, sondern erweitert und integriert die Pflichten.
NIS2 und KRITIS im direkten Vergleich
| NIS2 | KRITIS | |
|---|---|---|
| Herkunft | EU-Richtlinie (in DE über BSIG) | Deutsches Recht (BSI-Gesetz, KRITIS-Verordnung) |
| Betroffene | Wesentliche und wichtige Einrichtungen, 18 Sektoren | Betreiber kritischer Infrastrukturen |
| Schwellen | Niedriger (ab ca. 50 Mitarbeitende / 10 Mio. €) | Hoch (Versorgungsgrad, Schwellenwerte je Sektor) |
| Reichweite | Deutlich breiter, viele neue Unternehmen | Enger, große Versorger |
| Kern | Risikomanagement + Meldepflichten | Angemessene Vorkehrungen + Meldepflichten |
| Verhältnis | Erweitert und verschärft die Pflichten | Bestehender, engerer Rahmen |
Die wichtigsten Unterschiede
Wer betroffen ist
KRITIS erfasst nur große Betreiber oberhalb hoher Schwellenwerte. NIS2 senkt die Schwellen deutlich und zieht viele mittelständische Unternehmen erstmals in die Pflicht.
Zahl der Sektoren
NIS2 deckt 18 Sektoren ab, deutlich mehr als der bisherige KRITIS-Kreis.
Einrichtungstypen
NIS2 unterscheidet wesentliche und wichtige Einrichtungen mit abgestufter Aufsicht. KRITIS kennt diese Differenzierung in der Form nicht.
Reifegrad der Pflichten
Viele KRITIS-Betreiber haben bereits etablierte Sicherheitsprogramme. NIS2 bringt Sicherheitspflichten zu Unternehmen, die damit oft erstmals konfrontiert sind.
Gemeinsamkeiten
- Beide schützen die Funktionsfähigkeit kritischer Dienste
- Beide verlangen angemessene Sicherheitsvorkehrungen und Meldungen an das BSI
- Beide werden in Deutschland über das BSI-Gesetz geregelt
- Bestehende KRITIS-Programme sind eine gute Grundlage für NIS2
Welches brauche ich?
NIS2 baut auf dem KRITIS-Gedanken auf, weitet ihn aber massiv aus. Bestehende KRITIS-Betreiber erfüllen viele NIS2-Anforderungen bereits, müssen aber Anpassungen vornehmen. Neu betroffene Unternehmen bauen ihr Sicherheitsmanagement oft erstmals strukturiert auf.
Empfehlung: Prüfen Sie zuerst Ihre Betroffenheit nach Branche und Größe. Bisherige KRITIS-Betreiber gleichen ihre Programme gegen NIS2 ab; neu Betroffene starten am besten mit einer Gap-Analyse und einem ISMS-Rahmen.
Häufig gestellte Fragen
Löst NIS2 die KRITIS-Regelung ab?
Nein. NIS2 erweitert und verschärft die Pflichten und bezieht viel mehr Unternehmen ein, integriert die KRITIS-Welt aber, statt sie abzulösen. Beide werden über das BSI-Gesetz geregelt.
Bin ich von NIS2 betroffen, obwohl ich kein KRITIS bin?
Sehr wahrscheinlich möglich. NIS2 senkt die Schwellen deutlich und erfasst auch mittelständische Unternehmen in den betroffenen Sektoren, die bisher nicht als KRITIS galten.
Was müssen bisherige KRITIS-Betreiber tun?
Ihre bestehenden Programme gegen die NIS2-Anforderungen abgleichen und Lücken schließen, etwa bei Lieferkettensicherheit und der Einbindung der Geschäftsleitung.
NIS2 und KRITIS in einer Plattform
CompliantDesk bringt alle Frameworks über ein gemeinsames Kern-Modell zusammen. Check-Antworten fließen automatisch in alle relevanten Standards, kein doppeltes Dokumentieren.