NIS2 vs. KRITIS-DachG: Was ist der Unterschied?

NIS2 und KRITIS-DachG: Zwei verschiedene Gesetze, zwei Ziele

Beide Gesetze betreffen kritische Infrastrukturen in Deutschland — aber sie regeln unterschiedliche Aspekte:

• NIS2 (NIS2UmsuCG): Cybersicherheit — IT- und OT-Sicherheitsmaßnahmen, Meldepflichten für Sicherheitsvorfälle, Registrierung beim BSI
• KRITIS-DachG: Physische Resilienz — Schutz kritischer Infrastrukturen vor physischen Angriffen, Naturkatastrophen und Sabotage; Registrierung beim BBK (Bundesamt für Bevölkerungsschutz)

Wer fällt unter NIS2 — und wer unter KRITIS-DachG?

NIS2 gilt für alle wichtigen und besonders wichtigen Einrichtungen in 18 definierten Sektoren — mit Schwellenwerten ab 50 Mitarbeitern bzw. 10 Mio. EUR Jahresumsatz. Deutlich breiterer Anwendungsbereich als KRITIS.

KRITIS-DachG gilt für Betreiber kritischer Anlagen — das sind Einrichtungen, die bei Ausfall oder Beeinträchtigung erhebliche Versorgungsunterbrechungen oder Gefährdungen für die öffentliche Sicherheit verursachen könnten. Deutlich enger definiert, höhere Schwellenwerte.

Können beide Gesetze gleichzeitig gelten?

Ja. Ein Stromnetzbetreiber oder Krankenhaus kann gleichzeitig unter NIS2 und KRITIS-DachG fallen. In diesem Fall gelten beide Pflichten nebeneinander — aber die Meldepflichtsysteme sind unterschiedlich: NIS2-Meldungen gehen ans BSI, KRITIS-DachG-Meldungen ans BBK.

Was bedeutet das für die Praxis?

Für die meisten mittelständischen Unternehmen ist NIS2 das relevantere Gesetz — KRITIS-DachG betrifft vor allem sehr große Infrastrukturbetreiber. Wenn Sie unter NIS2 fallen, brauchen Sie in jedem Fall einen strukturierten Meldeprozess für Sicherheitsvorfälle nach §32 BSIG.