What operators must prove in 2026.
State of the art per § 7 KRITIS-DG, two-year audit cycle, 24-hour reporting deadline, branch-specific security concept, sectoral crisis plan — the operational requirements catalogue for the 2026 Federal Act, with sources.
- Audit cycle
- 2 yrs
- Report
- 24 h
- Fine max.
- 10 M€
- § 7
- ✓
Six core obligations
Six obligations turn the law into operations.
The KRITIS-Dachgesetz and § 8a/8b BSIG together define six pillars: state of the art, registration, security concept, audit, reporting, crisis plan. NIS-2 adds supply-chain risk management for companies under both regimes.
- 01 · State of the art
Physical + IT security per § 7 KRITIS-DG, concretised by BSI guidance and B3S sector standards.
- 02 · Registration
Within three months of threshold exceedance, with BSI per § 8b BSIG. Late registration: fine up to €2M.
- 03 · Security concept
Branch-specific (B3S Krankenhaus, Strom, Wasser etc.), reviewed every two years by an accredited auditor.
- 04 · Audit cycle
Two-year resilience audit per § 8a (3) BSIG. Report submitted to BSI; rectification orders if deficient.
- 05 · Reporting
24-hour first report, 72-hour status update, one-month closure report. Per § 8b BSIG and NIS-2 Art. 23.
- 06 · Crisis plan
Sector-wide, tested annually, coordinated with BBK and the relevant Land authority for cross-domain incidents.
Three resilience pillars
Physical, IT, governance — all three audited together.
- 01Physical
Perimeter, access control, CCTV, fire and intrusion detection, sabotage protection. Newly state-supervised under the 2026 Federal Act — was sector-internal before.
KRITIS-DG § 7 · BBK Leitfaden 2025
- 02IT
ISMS per ISO 27001 or BSI IT-Grundschutz, network segmentation, patch and vulnerability management, backup with tested RTO/RPO, MFA, supply-chain risk management.
§ 8a BSIG · NIS-2 Art. 21
- 03Governance
Compliance officer with reporting line to management, mandatory training (NIS-2 Art. 20), documented escalation chain, cross-sector crisis communication, audit trail integrity.
NIS-2 Art. 20 · KRITIS-DG § 11
Where to next
The law itself, sectors, who counts as KRITIS, hospital specifics.
Federal Act page covers the 2026 law in full. Sector page lists all ten domains. Companies page maps the threshold logic. Hospital page handles the health-sector special case.
FAQ
Eight questions auditors and CISOs ask before the assessment.
Welche Anforderungen müssen KRITIS-Betreiber 2026 erfüllen?
Sechs Pflichtbereiche aus dem KRITIS-Dachgesetz und § 8a BSIG: (1) Stand der Technik in physischer und IT-Sicherheit (§ 7 KRITIS-DG), (2) BSI-Registrierung binnen drei Monaten ab Schwellenüberschreitung, (3) Sicherheitskonzept mit branchenspezifischem Standard (B3S), (4) Resilienzprüfung alle zwei Jahre durch akkreditierten Auditor, (5) Meldepflicht binnen 24 Stunden für Sicherheitsvorfälle, (6) sektorspezifischer Krisenplan. NIS-2 ergänzt Lieferketten-Risikomanagement nach Art. 21 für gleichzeitig betroffene Unternehmen.
Was bedeutet „Stand der Technik" konkret?
§ 7 KRITIS-DG verlangt Maßnahmen, die nach dem Fortschritt von Wissenschaft und Technik aktuell zur Vermeidung von Gefährdungen geeignet, geprüft und am Markt verfügbar sind. Der Begriff stammt aus § 2 Nr. 11 BSIG und wird durch BSI-Orientierungshilfen, branchenspezifische Standards (B3S) und ISO-Normen konkretisiert. Im Klartext: nicht das Mindeste, nicht der Höchststand, sondern das nachweislich Bewährte am oberen Rand des aktuell Üblichen — und es muss dokumentiert sein, wie dieser Stand erreicht wird.
Wie oft müssen KRITIS-Betreiber auditiert werden?
Alle zwei Jahre nach § 8a Abs. 3 BSIG. Auditor muss BSI-anerkannt und sektorfachlich qualifiziert sein. Der Bericht wird beim BSI eingereicht; Mängel können zur Nachbesserungsanordnung mit Fristsetzung führen. Bei systematischen Defiziten droht Bußgeld bis 2 Mio. €. Bei NIS-2-Überlapp gilt zusätzlich Art. 32 mit jährlicher Selbstbewertung und stichprobenartiger Behördenprüfung. Praxis: erste Auditphase nach Erstregistrierung erfolgt binnen 24 Monaten — direkt mit Audittrails aus Realbetrieb arbeiten lohnt sich.
Welche technischen Maßnahmen werden im § 7 KRITIS-DG erwartet?
Die Bandbreite ergibt sich aus § 7 Abs. 2 in Verbindung mit BSI-Orientierungshilfen: (a) Zugriffs- und Identitätsmanagement nach IT-Grundschutz; (b) Netzwerksegmentierung, Patch- und Vulnerability-Management; (c) Backup- und Wiederherstellungsfähigkeit mit getesteten RTO/RPO-Werten; (d) physische Schutzmaßnahmen — Perimeter, Zutritt, Sabotageschutz, Brand- und Stromausfallvorsorge; (e) Detektion mit kontinuierlicher Überwachung und Alarmeskalation; (f) Krisenmanagement mit getestetem Notfallplan. Alle Maßnahmen müssen revisionssicher dokumentiert und auditierbar sein.
Welche Reporting-Pflichten gelten bei einem Sicherheitsvorfall?
Drei-Stufen-Meldung nach § 8b BSIG und NIS-2 Art. 23: (1) Erstmeldung binnen 24 Stunden ab Kenntnis — kurze Beschreibung von Vorfall, mutmaßlicher Ursache, sofortigen Gegenmaßnahmen; (2) Verlaufsupdate binnen 72 Stunden — detaillierter Statusbericht mit Aktualisierung der Indicators of Compromise; (3) Abschlussbericht binnen einem Monat — Root-Cause, dauerhafte Mitigationsmaßnahmen, Lessons-Learned. Adressat: BSI-Meldeportal, ggf. zusätzlich Landesbehörde und DSGVO-Aufsicht (bei Personendaten).
Was ist der Unterschied zwischen KRITIS-Anforderungen und NIS-2-Anforderungen?
KRITIS-Anforderungen sind anlagenbezogen und gelten ab Schwellenwertüberschreitung; NIS-2-Anforderungen sind unternehmensbezogen und greifen ab Größenschwellen (mittlere und große Unternehmen in 18 Sektoren). Inhaltlich überlappen sich ca. 80 % der Pflichten — Risikomanagement, Stand der Technik, Meldepflicht. Unterschied: NIS-2 verlangt explizit Lieferketten-Risikomanagement (Art. 21), Schulungspflichten für die Geschäftsleitung (Art. 20) und Multi-Faktor-Authentifizierung. Wer beide Regime erfüllt, lebt unter dem strengeren Standard.
Welche Sanktionen drohen bei Nichterfüllung?
Nach KRITIS-DG § 11 Bußgelder bis 2 Mio. € pro Verstoß. Bei gleichzeitiger NIS-2-Anwendung Bußgelder bis 10 Mio. € oder 2 % weltweiten Konzernumsatzes (NIS-2 Art. 34). Persönliche Haftung der Geschäftsleitung nach KRITIS-DG § 11 Abs. 4 inkl. möglicher Berufsuntersagung. Strafrechtlich relevant wird der Verstoß bei daraus folgendem Sicherheitsvorfall mit Personenschaden oder erheblichem Versorgungsausfall (§ 109e StGB). Aufsichtsbehörde kann Nachbesserungsanordnungen erlassen und im Wiederholungsfall Anordnungen mit Zwangsgeld durchsetzen.
Wie unterstützt autonomer Perimeterschutz die KRITIS-Anforderungen?
Vier konkrete Beiträge: (1) § 7 Stand der Technik — KI-klassifizierte Detektion pro Vorfall ist die aktuell höchste am Markt verfügbare Form der Freigeländesicherung; (2) Audittrail — jede Patrouille, jede Klassifikation, jede Eskalation wird revisionssicher gespeichert und ist binnen Sekunden für Auditor abrufbar; (3) Reporting — bei Detektion wird die 24-h-Meldefrist durch die automatische Vorfall-Dokumentation drastisch entlastet; (4) Wirtschaftlichkeit — 3.500 €/Monat statt 10.500 € Wachdienst, Differenz finanziert weitere Compliance-Posten. CE-konform nach EU-Maschinenverordnung 2023/1230.