BBK Registrierung KRITIS: Anleitung für 2026

Stichtag ist der 17.07.2026. Bis dahin muss jede kritische Anlage im BBK-Portal eingetragen sein. Drei vollständige Datenblöcke und eine vorstandsseitige Unterschrift sind Pflicht (BBK, Kritische Infrastrukturen). Dieser Text führt durch die Felder, die das Portal verlangt, durch die Unterschriftenlogik und durch die Fehler, die wir bei den ersten 100 begleiteten Registrierungen wiederholt gesehen haben.

Was die BBK-Registrierung 2026 leisten soll

Das BBK-Register ist die zentrale Erfassung aller kritischen Anlagen in Deutschland. Vorher lag die Identifikation bei den Sektor-Aufsichtsbehörden, oft fragmentiert. Ab 2026 ist die Datenbank die Grundlage für Aufsichts-, Audit- und Meldepflichten nach dem KRITIS-Dachgesetz (Bundestag-Drucksache 20/9262).

Das Register ist mit dem NIS-2 Notification Register verschränkt. Wer als KRITIS-Betreiber erfasst ist, wird automatisch als NIS-2 wesentliche Einrichtung geführt, sofern der Sektor identisch ist. Doppeleintragungen sind nicht vorgesehen, Dateninkonsistenzen jedoch ein bekanntes Risiko: Stamm- und Anlagendaten müssen in beiden Systemen synchron bleiben.

Vertrauensschutz für Nachzügler gibt es nicht. Wer nach dem 17.07.2026 registriert, gilt nicht als rechtzeitig konform. Das BBK ist gesetzlich verpflichtet, verspätete Eingänge an die zuständige Bußgeldstelle weiterzuleiten. Ein „wir waren in der Klärungsphase" hat in der Anhörung bisher nicht getragen.

Nächster Schritt: Wer den Gesamtpflichtenkatalog noch nicht überblickt, beginnt mit der KRITIS-Dachgesetz Checkliste mit allen 12 Pflichten.

Wer registrieren muss

Registrierungspflichtig sind Betreiber von Anlagen oberhalb der Schwellenwerte aus der BSI-KritisV (gesetze-im-internet.de, KritisV). Die KritisV ist trotz neuem Dachgesetz weiter die maßgebliche Schwellenwert-Verordnung. Eine Ablösung ist für 2027 angekündigt, gilt aber noch nicht.

Zehn Sektoren werden erfasst: Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanzen, Transport/Verkehr, Siedlungsabfall, Weltraum und öffentliche Verwaltung. Jeder Sektor hat eine eigene Schwellenwert-Tabelle im KritisV-Anhang. Die Subsektoren sind nummeriert, etwa Anhang 1 Teil 3 Nr. 1.2.1 für Stromerzeugungsanlagen. Diese Anhang-Position ist im Portal Pflichtfeld.

Die Selbsteinstufung ist Pflicht. Es gibt keinen Behörden-Bescheid, der dem Betreiber die Einordnung abnimmt. Wer auf einen BBK-Bescheid wartet, läuft in die Frist. Das BBK bestätigt Eingänge, prüft Stichproben und erlässt Bescheide nur im Streitfall.

Konzern-Ebene und Anlagen-Ebene haften separat. Eine Holding mit drei Stromnetzbetreibern hat vier Registrierungen, nicht eine. Jede Anlage hat eigene Stammdaten, eigene Schwellenwert-Belegung und eine eigene Vorstandsunterschrift. Erbringt die Holding selbst kritische Dienstleistungen, wird sie zusätzlich erfasst.

Drei Datenblöcke, die das Portal verlangt

Das BBK-Portal KRITIS strukturiert die Eingabe in drei Blöcke. Jeder Block hat eigene Pflichtfelder und eigene Belegquellen.

Block 1: Betreiber-Stammdaten. Pflichtangaben sind: Firma in der HR-Schreibweise, Handelsregisternummer mit Registergericht, USt-IdNr., Sitzadresse, ladungsfähige Anschrift sowie Vorstandsvertretung mit Namen, Geburtsdatum und Funktion. Bei AGs alle vertretungsberechtigten Vorstandsmitglieder. Bei GmbHs alle Geschäftsführer mit Einzel- oder Gesamtvertretungsbefugnis. Inkonsistenzen zwischen HR-Eintrag und Portal-Angabe werden vom BBK automatisch markiert.

Block 2: Anlagenklasse. Sektor, Subsektor, KritisV-Anhang-Position (Anhang/Teil/Nummer), Anlagentyp im Klartext, geographische Lage (Adresse plus Geokoordinaten), Inbetriebnahmedatum. Die Anlagenklasse bestimmt, welche Aufsichtsbehörde zuständig wird und welche Sektor-spezifischen Pflichten greifen. Zu enge Klassifizierung ist der häufigste Fehler (siehe Abschnitt 6).

Block 3: Schwellenwert-Belegung. Hier wird der Versorgungsgrad nachgewiesen. Pflichtfelder sind: erbrachte Dienstleistung in der KritisV-Maßeinheit (kWh, m³, Anzahl Versicherte), Bezugszeitraum (in der Regel das letzte Kalenderjahr) und Berechnungsmethode mit Formel. Dazu kommt die Quelle der Eingangsdaten: interne Verbrauchsabrechnung, BNetzA-Meldung oder Bundesnetzagentur-Statistik. Ohne nachvollziehbare Quelle ist die Belegung im Audit nicht haltbar.

Praxis-Tipp: Wir empfehlen ein PDF-Belegdokument je Anlage mit allen drei Blöcken plus Rohdaten als Anhang. Das Portal akzeptiert PDF-Uploads bis 20 MB je Anlage. Dieses Dokument wird im ersten BBK-Audit (regulär 12 bis 18 Monate nach Registrierung) angefordert.

Wer unterschreibt und wer haftet

Die Registrierung wird durch ein vertretungsberechtigtes Vorstandsmitglied persönlich gezeichnet. Persönlich heißt: qualifizierte elektronische Signatur (QES) oder Versand per De-Mail mit absenderbestätigter Signatur. Eine gescannte Unterschrift unter PDF reicht nicht.

Bei Kollektivunterschrift muss der zweite Zeichnungsberechtigte koordiniert werden. Das Portal akzeptiert zwei Signaturen sequenziell, beide müssen innerhalb von 14 Tagen erfolgen, sonst verfällt der Vorgang. In Konzernen mit verteilten Vorständen ist die Terminplanung der Engpass, nicht die Datenerhebung.

Delegation an die Sicherheitsleitung ist nicht zulässig. Das KRITIS-Dachgesetz weist die Registrierung explizit dem Leitungsorgan zu, parallel zur Konstruktion in NIS-2 Artikel 20. Prokura und Generalvollmacht genügen nicht. Die Sicherheitsleitung bereitet vor, der Vorstand zeichnet.

Die Haftung bleibt beim unterzeichnenden Vorstand. Falschangaben im Block 3 (zu niedrige Schwellenwert-Belegung, um Registrierung zu vermeiden) werden als Ordnungswidrigkeit verfolgt, in schweren Fällen als strafbare Falschangabe gegenüber Behörden (KRITIS-Dachgesetz § 62, Gesetze im Internet). Die Haftungslogik folgt der bekannten Linie aus NIS-2 Vorstandshaftung im Detail: persönlich, nicht versicherbar, dokumentationspflichtig.

Nach der Registrierung: Dauerpflichten

Die Eingangsbestätigung des BBK trifft per De-Mail oder Portal-Nachricht ein, in der Regel innerhalb von 72 Stunden (BBK, Kritische Infrastrukturen). Diese Bestätigung wird im ersten Audit verlangt. Sie gehört unverändert ins Compliance-Archiv, mit Zeitstempel und Aktenzeichen.

Änderungsmeldungen sind binnen vier Wochen einzureichen (KRITIS-Dachgesetz § 34, Gesetze im Internet), sobald sich Anlagenklasse, Schwellenwerte oder Verantwortliche ändern. Auslöser sind: Anlagenerweiterung (neue Trafostation, zusätzliches Rechenzentrum), Überschreitung des Schwellenwertes, Vorstandswechsel, Sitzverlegung oder Umfirmierung. Wir empfehlen einen quartalsweisen internen Abgleich, automatische Trigger sind selten zuverlässig.

Jährlich ist eine Selbstbestätigung der Daten fällig, jeweils zum Stichtag der Erstregistrierung. Das Portal sendet eine Erinnerung. Der Vorgang dauert bei aktualisierten Daten 30 Minuten je Anlage. Ohne Bestätigung gilt der Eintrag nach 90 Tagen als überfällig, was ein Aufsichtssignal auslöst (BBK, Kritische Infrastrukturen).

Die Registrierung verknüpft sich mit der Schutzkonzept-Pflicht aus dem KRITIS-Dachgesetz. Wer registriert ist, muss binnen 24 Monaten ein Schutzkonzept vorlegen (KRITIS-Dachgesetz § 38, Gesetze im Internet), das physische und cyber-bezogene Maßnahmen abdeckt. Für Perimeter- und Geländeschutz gehört dazu ein nachweisbares Detektionsverfahren. Eine Option ist Perimeterschutz mit autonomer Patrouille, die Patrouillen-Logs als Auditnachweis liefert.

Häufige Fehler in den ersten 100 Registrierungen

Fehler 1: Schwellenwert-Berechnung ohne nachvollziehbare Quelle. Die häufigste Beanstandung. Der Versorgungsgrad steht im Portal, die Berechnung liegt in einer Excel auf dem Laufwerk der Sicherheitsleitung, die Rohdaten sind nicht versioniert. Im Audit fragt das BBK nach der Datenquelle vom Stichtag. Wer dann rekonstruiert, verliert. Korrektur: PDF-Belegdokument je Anlage, signiert, mit Datums- und Quellenstempel.

Fehler 2: Anlagenklasse zu eng gefasst. Ein Betreiber meldet ein Umspannwerk als „Stromübertragung", übersieht aber die angeschlossene Mittelspannungsverteilung im selben Areal. Die zweite Anlage bleibt unregistriert, fällt im Audit auf, gilt als unterlassene Registrierung mit eigenem Bußgeldrahmen (KRITIS-Dachgesetz § 62, Gesetze im Internet). Korrektur: Anlageninventur vor Registrierungsbeginn, mit physischer Begehung und Abgleich gegen den KritisV-Anhang.

Fehler 3: Vorstandsvertretung unklar bei mehrstufiger Konzernstruktur. Die Betreibergesellschaft hat zwei Geschäftsführer mit Einzelvertretung, die Holding einen Vorstand mit Gesamtvertretung. Wer zeichnet für die Anlage? Antwort: die Vertretungsberechtigten der Betreibergesellschaft, nicht der Holding. Häufige Falschannahme: Holding-Vorstand könne „durchgreifen". Das funktioniert nur, wenn die Holding selbst Betreiberin im Sinn der KritisV ist.

Fehler 4: Eingangsbestätigung nicht im Compliance-Archiv. Die Bestätigung kommt per De-Mail, wird vom Sekretariat ausgedruckt, abgelegt, vergessen. Beim Auditor-Termin 14 Monate später ist sie nicht auffindbar. Das BBK kann auf Anfrage einen Auszug erstellen, das dauert vier bis sechs Wochen und gilt als Verfahrenssignal. Korrektur: De-Mail direkt ins DMS, mit Aufbewahrungsregel zehn Jahre.

Wer Wachschutz und Patrouillenlogs als Auditbeleg integriert betrachten will, findet die Kostenstruktur in Wachschutz Kosten 2026 TCO. Das Robotics-as-a-Service Modell verlagert die Patrouillen-Dokumentation in einen mietbaren OpEx-Posten, was bei Audits durch revisionssichere Logs hilft.

Für die individuelle Klärung von Konzernstruktur, Sektorzuordnung und Unterschriftsfrage erreichen Sie Marcus Köhnlein, Sales Lead Schweiz oder direkt die KRITIS-Beratungsseite. Ein 30-Minuten-Termin reicht in der Regel, um den Registrierungspfad der jeweiligen Anlagen zu skizzieren.