Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
KRITIS companies

Which entities the Federal Act covers.

Sector classification, branch threshold, two-year reference window — the three-step test that decides whether your company is a KRITIS operator. Plus what changes in 2026: physical resilience, fines, personal management liability.

Free site analysisCalculate price
Affected
29,500
Fine max.
10 M€
Audit
2 yrs
NIS-2

Definition

A KRITIS company operates a facility that exceeds the BSI threshold.

Per § 2 (10) BSI Act, a company becomes a KRITIS operator when it runs a facility within one of the ten sectors and that facility exceeds the branch-specific threshold defined in BSI-KritisV. The 2026 Federal Act extends this from IT to physical resilience — perimeter, access, sabotage protection are now state-supervised.

  • 01 · Sector

    Energy, water, food, IT/telecom, health, finance, transport, media, state, waste — § 2 BSIG.

  • 02 · Threshold

    Branch-specific, e.g. 500,000 served persons (water), 30,000 in-patient cases (hospital).

  • 03 · Reference window

    Most thresholds calculate over the previous two calendar years. Three-month registration deadline.

Three-step self-test

Sector, threshold, window — decision in 30 minutes.

  • 01Sector classification

    Is your facility one of the ten sectors of § 2 BSIG? Energy, water, food, IT/telecom, health, finance, transport, media, state, waste. If no, the act does not apply.

    § 2 Abs. 10 BSIG

  • 02Branch threshold

    Does the actual facility exceed the value in BSI-KritisV Annex 1 to 6? Examples: 500,000 served persons (water), 3,700 GWh/a (power), 30,000 in-patient cases (hospital).

    BSI-KritisV · Anlage 1 to 6

  • 03Reference window

    Most thresholds calculate over the previous two calendar years. If exceeded, three-month deadline to register with BSI per § 8b BSIG. Late registration: fine up to €2M.

    § 8b BSIG · KRITIS-DG § 11

Where to next

The full sector list, requirements catalogue, hospital threshold, the law itself.

If you are still unsure: the sector page lists all ten domains; the requirements page details what § 7 KRITIS-DG demands; the Federal Act page explains the law in full; the hospital page handles the health-sector special case.

Federal ActSectorsRequirementsHospitalsKRITIS filePricingContact

FAQ

Eight questions CFOs and compliance officers ask us first.

  • Welche Unternehmen fallen unter das KRITIS-Dachgesetz?

    Unternehmen werden Betreiber kritischer Infrastrukturen (KRITIS-Betreiber), wenn sie eine Anlage in einem der zehn KRITIS-Sektoren betreiben und den Schwellenwert der BSI-KritisV erreichen. Maßgeblich ist nicht der Konzernumsatz, sondern die Versorgungs­leistung der konkreten Anlage — z. B. 500.000 versorgte Personen für Wasser, 30.000 voll­stationäre Behandlungs­fälle für ein Krankenhaus, 3.700 GWh/a für einen Stromerzeuger. Bei Sektor-Überschreitung greift die KRITIS-Pflicht binnen drei Monaten ab Schwellenwert­überschreitung.

  • Wie ermittle ich, ob mein Unternehmen KRITIS-Betreiber ist?

    Drei-Schritt-Prüfung: (1) Sektor­zuordnung — fällt Ihre Anlage unter einen der zehn Sektoren des § 2 BSIG? (2) Branchen-Schwellenwert — erreicht die konkrete Anlage den Wert in Anlage 1 bis 6 der BSI-KritisV? (3) Bemessungs­zeitraum — die meisten Schwellen rechnen über zwei Kalender­jahre rückwärts. Wer alle drei Bedingungen erfüllt, muss sich binnen drei Monaten beim BSI registrieren. Bei Unsicherheit empfiehlt sich eine schriftliche BSI-Anfrage nach § 8b Abs. 6 BSIG.

  • Welche Pflichten gelten für KRITIS-Unternehmen ab 2026?

    Sechs Kern­pflichten nach KRITIS-Dachgesetz: (1) Registrierung beim BSI binnen drei Monaten, (2) Melde­pflicht für Sicherheits­vorfälle binnen 24 Stunden, (3) Stand der Technik nach § 7 KRITIS-DG für physische und IT-Sicherheit, (4) Resilienz­prüfung alle zwei Jahre durch akkreditierten Auditor, (5) sektor­spezifischer Krisen­plan, (6) sektor­übergreifende Zusammen­arbeit mit BBK und BSI. Verletzungen werden mit Bußgeldern bis 2 Mio. € sanktioniert; bei NIS-2-Überschneidung bis 10 Mio. € oder 2 % Konzernumsatz.

  • Was kostet die KRITIS-Compliance ein mittelständisches Unternehmen?

    Realistische Spanne 80.000 bis 250.000 € im ersten Jahr, danach 30.000 bis 80.000 € p.a. — abhängig von Sektor, Anlage­größe und Reife­grad. Größte Posten: ISMS-Aufbau nach ISO 27001 (40-60 k €), externer Auditor für die zweijährliche Prüfung (15-30 k €), physische Nachrüstung Perimeter (variiert stark), interner Compliance-Officer (volle Stelle ab Sektor­leistung mittlerer Größe). Bei autonomer Perimeter-Robotik ersetzt ein QR-2 Pro für 3.500 €/Monat einen Wachdienst zu 10.500 €/Monat — die Differenz finanziert oft die übrigen Compliance-Posten.

  • Was ändert sich gegenüber dem alten BSI-Gesetz?

    Das BSIG regulierte bisher nur die IT-Sicherheit kritischer Infrastrukturen. Das KRITIS-Dachgesetz 2026 erweitert die Aufsicht erstmals um die physische Resilienz. Konsequenzen: (a) Perimeterschutz, Zutrittskontrollen, Brand- und Sabotage­schutz sind nicht mehr sektor­interne Hausaufgabe, sondern Teil der staatlich geprüften Resilienz; (b) Aufsichts­behörde wird neben dem BSI auch das BBK; (c) Sanktionen, Audit­zyklen und Krisen­pflichten werden bundesweit harmonisiert. Sektor­spezifische Verordnungen (BSI-KritisV, EnWG, KHZG) bleiben für Schwellen­werte zuständig.

  • Sind Tochtergesellschaften eines KRITIS-Konzerns automatisch KRITIS?

    Nein — die Aufsicht ist anlagen- und nicht konzern­bezogen. Eine Tochter­gesellschaft fällt nur dann unter das Dachgesetz, wenn sie selbst eine KRITIS-relevante Anlage über Schwellenwert betreibt. Die Konzern­mutter haftet jedoch oft mittelbar: bei NIS-2-Überlapp greift Art. 21 (Risiko­management entlang der Lieferkette), und der Konzern­vorstand ist für die § 7-Compliance des KRITIS-Bereichs persönlich haftbar (KRITIS-DG § 11, Bußgelder bis 2 Mio. € persönlich). Praxis: Konzerne ziehen die Compliance-Architektur vor.

  • Wie viele KRITIS-Unternehmen gibt es in Deutschland?

    Stand 2024 sind beim BSI rund 4.500 KRITIS-Anlagen registriert, betrieben von etwa 2.300 Unternehmen (BSI-Tätigkeits­bericht 2024). Mit Inkrafttreten des Dachgesetzes 2026 und der zusätzlichen NIS-2-Umsetzung wird die Zahl der unter Aufsicht stehenden Unternehmen auf etwa 25.000 bis 30.000 ansteigen — die Schätzung des BMI im Gesetzes­begründung-Entwurf liegt bei 29.500 betroffenen Einrichtungen, davon ca. 4.500 als „besonders wichtige" und 25.000 als „wichtige" Einrichtungen klassifiziert.

  • Welche Konsequenzen hat eine versäumte KRITIS-Registrierung?

    Bußgeld bis 2 Mio. € pro Verstoß (KRITIS-DG § 11). Bei gleichzeitiger NIS-2-Anwendung bis 10 Mio. € oder 2 % weltweiten Konzernumsatzes (Art. 34 NIS-2). Hinzu kommt die persönliche Geschäfts­führer­haftung nach § 11 Abs. 4 KRITIS-DG, einschlie­ßlich möglicher Berufs­untersagung. Strafrechtlich relevant wird der Verstoß, wenn durch die Pflicht­verletzung ein Sicherheits­vorfall mit Personen­schaden oder erheblichem Versorgungs­ausfall eintritt — dann § 109e StGB (Sabotage­schutz für lebenswichtige Einrichtungen).

Call now+49 711 656 267 63Free quote · 24 hCalculate price →