KRITIS Sektoren: Zuordnung und Schwellenwerte 2026

Das KRITIS-Dachgesetz ordnet 2026 zehn Sektoren der kritischen Infrastruktur. Wer Schwellenwerte erreicht, wird vom BBK erfasst, registriert sich im Meldeportal und erstellt ein Schutzkonzept. Dieser Text liefert die Sektorliste, die Zahlen aus der KritisV und die operativen Schritte. Er ersetzt keine Rechtsberatung. Er ersetzt das Blättern in fünf Quellen.

KRITIS-Sektoren nach Dachgesetz: Vollständige Bereichsübersicht

Das Dachgesetz nennt Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Siedlungsabfallentsorgung, Weltraum sowie öffentliche Verwaltung. Jeder Sektor hat eine eigene Anlagenkategorienverordnung mit numerischen Schwellen (Bundestag-Drucksache 20/9262).

Der Sektor Weltraum kam mit dem Entwurf 2024 hinzu. Er erfasst Bodenstationen, Satellitenkontrollzentren und Telemetrie-Infrastruktur. Wer Satelliten betreibt oder Daten von Konstellationen empfängt, prüft diese Kategorie zuerst, weil sie in älteren Übersichten fehlt.

Siedlungsabfall ist neu klassifiziert. Entsorgungsanlagen ab 500.000 Einwohnergleichwerten fallen in den Anwendungsbereich. Müllverbrennung, mechanisch-biologische Behandlung und Sortieranlagen großer kommunaler Verbünde sind betroffen.

Die Sektorzuordnung ist nicht freiwillig. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe identifiziert Betreiber anhand der Schwellenwerte (BBK). Wer Schwellen reißt, ist KRITIS, unabhängig davon, ob er sich selbst meldet.

Mehrfachzuordnung ist Regel, nicht Ausnahme. Stadtwerke betreiben Energie, Wasser und häufig Transport (ÖPNV) parallel. Sie unterliegen drei Sektor-Pflichten gleichzeitig, mit drei Anlagenkategorien und drei Meldeketten. Die Detailübersicht KRITIS-Sektoren listet die Kategorien je Sektor.

Schwellenwerte: Wann ein Unternehmen KRITIS-pflichtig wird

Die Schwellen stehen in der BSI-KritisV, rechtsverbindlich und numerisch (gesetze-im-internet.de). Sektor Energie: 3.700 GWh pro Jahr Stromerzeugung, 420 MW installierte Erzeugungsleistung, 104 km Hochspannungsnetz ab 110 kV. Gasversorgung und Mineralöl haben eigene Schwellen in derselben Verordnung.

Sektor Wasser: 22 Millionen Kubikmeter Trinkwasser pro Jahr oder 500.000 angeschlossene Einwohner. Abwasser folgt einer separaten Größe in Einwohnergleichwerten. Wer einen dieser Werte erreicht, ist erfasst. Die anderen Werte dürfen dabei unterschritten bleiben.

Sektor Gesundheit: Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr. Apothekenversorger, Labore und Hersteller verschreibungspflichtiger Arzneimittel haben eigene Schwellen. Details zu Klinikpflichten liefert der Beitrag zu Krankenhäuser im Sektor Gesundheit.

Sektor Transport: Flughäfen über 20 Millionen Passagiere pro Jahr, Häfen über 8 Millionen Tonnen Güterumschlag, Schienennetze ab 300.000 Zugkilometern pro Tag. Logistikzentren sind über Sendungsmengen und Knotenfunktion erfasst.

Die Werte werden alle zwei Jahre überprüft. Wer 2024 unter der Schwelle lag, kann 2026 erfasst sein. Ursachen: gestiegene Erzeugungsleistung, gewachsene Patientenzahlen oder eine abgesenkte Schwelle. Selbstprüfung gehört in den Jahresabschlussprozess.

Sektor Energie: Größte Gruppe, höchste physische Angriffsfläche

Der Sektor Energie hat die längste Zaunkilometerleistung aller Sektoren. Umspannwerke, Kraftwerke, Windparks, Gasspeicher und Tanklager addieren mehrere tausend Kilometer Außengrenze in Deutschland. Jede dieser Anlagen ist ein potentielles Angriffsziel.

Sabotage-Vorfälle an Umspannwerken haben sich laut BBK-Lagebild seit 2022 vervierfacht (BBK-Lagebild 2024). Brandstiftung an Kabelschächten, Kupferdiebstahl mit Folgeschaden, Drohnenüberflüge mit Aufklärungsabsicht sind dokumentiert. Die Bedrohungslage ist nicht abstrakt.

Drohnen-Sichtungen über Energieanlagen sind nach § 11 KRITIS-Dachgesetz meldepflichtig. Wer nicht detektiert, kann auch nicht melden. Detektion erfordert LiDAR oder RF-Sensorik im Perimeter. QR-3 mit LiDAR und Drohnenerkennung liefert beide Modalitäten in einer Plattform.

Die hybride Bedrohung verlangt physische und Cyber-Verteidigung parallel. Die NIS-2-Richtlinie greift kumulativ zum Dachgesetz. Wer nur den Server härtet und das Tor offen lässt, hat beide Regulierungen verfehlt.

Typische Anlagengrößen reichen von 80.000 bis 400.000 Quadratmetern Perimeter pro Standort. Zwei bis vier QR-2 Einheiten ersetzen die klassische Wachstreife auf dieser Fläche und liefern lückenlosen Track statt punktueller Rundgänge.

Sektor Gesundheit: Krankenhäuser unter Doppelregulierung

Kliniken ab 30.000 Fällen unterliegen KRITIS. Kleinere Häuser fallen häufig unter NIS-2 als wesentliche Einrichtungen. Doppelregulierung ist Standard, weil Patientendaten, Versorgungssicherheit und kritische Lieferketten gleichzeitig geschützt werden müssen.

Physische Pflichten umfassen Zugangskontrolle der Notaufnahme rund um die Uhr, Schutz der Notstromversorgung gegen Manipulation und gesicherte Lagerung von Betäubungsmitteln und Hochrisiko-Arzneien. Diese Schutzziele stehen in der KritisV und in den Branchenstandards der DKG.

Sicherheitsdienst-Kosten in Kliniken liegen 2026 bei 18.000 bis 26.000 Euro monatlich pro 24/7-Posten, abhängig von Manteltarifvertrag und Region (BDSW Zahlen Daten Fakten 2025). Die Aufstellung im Wachschutz-Kosten im Vergleich zeigt die Bandbreite.

QR-1 mit Audio-Detection eignet sich für Innenrundgänge in nicht-klinischen Bereichen wie Technikgeschossen, Tiefgaragen und Lieferzonen. QR-2 sichert Lieferantenzufahrt, Müllhof und Hubschrauberlandeplatz. Patientenkontakt erfolgt durch Personal, nie durch den Roboter.

Die Geschäftsführung haftet persönlich bei nachgewiesener Pflichtverletzung. Der Mechanismus entspricht der Vorstandshaftung aus NIS-2 Artikel 20 und 21. D&O-Versicherungen schließen vorsätzliche Pflichtverletzung regelmäßig aus, die Haftung trifft das Privatvermögen.

Sektor Transport und Verkehr: Häfen, Flughäfen, Logistikknoten

Containerterminals mit über 8 Millionen Tonnen Umschlag sind erfasst. Hamburg, Bremerhaven und Wilhelmshaven liegen deutlich über der Schwelle, kleinere Spezialhäfen erreichen sie über Massengut. Der Anwendungsbereich umfasst Kaianlagen, Kranbereiche und Hinterland-Anschlüsse.

Perimeter solcher Terminals liegen regelmäßig über 1 Million Quadratmeter. Humane Bestreifung ist auf dieser Fläche wirtschaftlich nicht darstellbar. Zwei Streifengänge pro Schicht decken weniger als 20 Prozent des Perimeters in nutzbarer Frequenz ab. (Interner Benchmarkwert; Quelldokumentation auf Anfrage.)

Thermische Personenerkennung bei Nacht ist Pflichtfunktion. QR-2 liefert FLIR-Boson-Stream direkt an das SOC, mit Klassifikation Mensch versus Tier versus Fahrzeug. Diese Klassifikation senkt die Fehlalarmrate auf eine Größenordnung, die ein Disponent verarbeiten kann.

Im Schienennetz gelten Stellwerke und Tunnelportale als kritische Komponenten nach KritisV § 7. Wer ein Stellwerk betreibt, das mehr als eine definierte Streckenlast steuert, ist KRITIS. Die Schwelle ist nicht der Bahnhof, sondern die Funktion.

Resilienz-Audits werden ab 2027 verpflichtend. Der Nachweis physischer Schutzmaßnahmen geht an das BBK, mit Anlagendokumentation, Detektionsketten und Reaktionszeiten. Wer Robotik einsetzt, liefert diese Daten automatisch aus dem Einsatzlog.

Sektorzuordnung in der Praxis: Selbstprüfung und BBK-Meldung

Schritt eins: Jahreswerte gegen KritisV-Schwellen prüfen. Stichtag ist der 31. März des Folgejahres. Erzeugungsleistung, Wassermenge, Patientenfälle, Tonnage werden aus dem Jahresabschluss und den Betriebsstatistiken gezogen. Eine Excel mit Schwellen und Ist-Werten gehört in jede Compliance-Akte.

Schritt zwei: Registrierung im BBK-Portal binnen drei Monaten nach Erreichen der Schwelle. Die BBK-Registrierung Schritt für Schritt erklärt das Verfahren mit Formularen und Pflichtfeldern. Verspätete Registrierung ist eigenständiger Bußgeldtatbestand.

Schritt drei: Benennung eines KRITIS-Beauftragten mit Vertretung. Keine Doppelfunktion mit dem IT-Sicherheitsbeauftragten, weil physische und digitale Schutzziele konkurrierende Prioritäten erzeugen können. Beauftragter und Vertretung sind dem BBK namentlich zu melden.

Schritt vier: Schutzkonzept erstellen, physisch und digital, mit Risikoanalyse, Maßnahmenkatalog und Wirksamkeitsnachweis. Fortschreibung alle zwei Jahre, oder unverzüglich bei wesentlicher Lageänderung. Die KRITIS-Dachgesetz-Checkliste mit 14-Wochen-Plan liefert die Gliederung.

Schritt fünf: Vorfallsmeldungen über das einheitliche Meldeportal. Frist für erhebliche Störungen: 24 Stunden nach Kenntnis. Folgemeldung mit Detailbericht binnen 72 Stunden. Wer den Vorfall verspätet erkennt, dokumentiert den Zeitpunkt der Kenntniserlangung, das Portal akzeptiert ihn als Fristbeginn.

Sanktionen bei Sektor-Nichtmeldung oder Pflichtverletzung

Bußgelder reichen bis 10 Millionen Euro oder 2 Prozent des weltweiten Konzernumsatzes (KRITIS-Dachgesetz RefE, § 62). Die Höhe leitet sich aus der NIS-2-Umsetzung ab und wird im Dachgesetz parallel verankert. Maßgeblich ist der höhere Wert, was bei Konzernen schnell zweistellige Millionenbeträge bedeutet.

Die Geschäftsleitung haftet bei Pflichtverletzung persönlich. Versicherbarkeit ist eingeschränkt, weil Vorsatz und grobe Fahrlässigkeit aus D&O-Policen regelmäßig ausgeschlossen sind. Der Geschäftsführer, der die KRITIS-Meldung übersieht, riskiert sein Privatvermögen.

Untersagungsverfügungen sind möglich bei wiederholten Verstößen. Die Betriebsstilllegung ist ultima ratio. In der Energie- und Wasserversorgung kommt sie praktisch nicht in Betracht. In Logistik und Gesundheit ist sie regulatorisch denkbar. Ersatzbetreiberlösungen werden vorbereitet.

Das BBK kann Audits anordnen und externe Prüfer auf Kosten des Betreibers einsetzen. Das Honorar liegt im sechsstelligen Bereich, hinzu kommen Aufwände für Begleitung und Nachbesserung. (Erfahrungswert aus Branchenpraxis; keine amtliche Quelle verfügbar.) Ein angeordnetes Audit ist regelmäßig teurer als die Vermeidung durch ordentliche Compliance.

Reputationsschaden bei öffentlich gemachten Verstößen übersteigt häufig die Bußgeldhöhe. Wer als KRITIS-Versager in der Presse steht, verliert Kunden, Kreditkonditionen und Mitarbeitervertrauen. Die finanzielle Wirkung übersteigt das Bußgeld regelmäßig. Die finanzielle Wirkung ist schwer zu beziffern, aber regelmäßig größer als das Bußgeld selbst.

Robotik als operative Antwort auf KRITIS-Pflichten

Lückenlose Dokumentation ist die operative Anforderung. Jede Patrouille liefert Zeitstempel, GPS-Track und Sensordaten. Diese Daten sind auditfähig und werden ohne Zusatzaufwand archiviert. Bei einem BBK-Audit liefert ein Klick die Streifenhistorie der letzten 24 Monate.

Das Robotics-as-a-Service Modell vermeidet CapEx und passt zum Zwei-Jahres-Schutzkonzept-Zyklus. Monatliche Servicegebühr statt Investition, Vertragslaufzeit synchron zur Fortschreibung des Schutzkonzepts. Wer die KRITIS-Pflicht verliert, kündigt den Service. Wer skaliert, ergänzt Einheiten.

Lieferzeit 48 Stunden ab Bestellung ermöglicht Reaktion auf akute Bedrohungslage ohne Ausschreibungsverzögerung. Klassische Investitionsbeschaffung in Konzernen dauert drei bis neun Monate. Diese Frist passt nicht zu einem Sabotageanstieg im laufenden Quartal.

Skalierung als Erfahrungswert: ein QR-2 pro 200.000 Quadratmeter Außenfläche im DACH-Industrieperimeter. Bei dichter Bebauung oder hoher Vegetation verschiebt sich der Wert nach unten, bei offenen Flächen nach oben. Die genaue Zahl liefert der Site Survey.

Pilotstart mit einer Einheit, Ausweitung nach 90-Tage-Evaluation. Wer seinen Sektor in der Detailübersicht KRITIS-Sektoren verifiziert hat, startet mit der Pilotanfrage bei Marcus Köhnlein. Site Survey und Schwellenwert-Verifikation sind Teil des Erstgesprächs.