Referentenentwurf zur KRITIS-Verordnung: CII mit Einschätzung zum geleakten BMI-Dokument

Mit dem Referentenentwurf zur neuen Kritisverordnung operationalisiert das Bundesinnenministerium die Vorgaben des seit März 2026 geltenden KRITIS-Dachgesetzes und setzt gleichzeitig die europäische CER-Richtlinie sowie den delegierten Rechtsakt zur Liste wesentlicher Dienste um. Die Verordnung knüpft methodisch an die seit 2016 bewährte BSI-Kritisverordnung an, die mit Inkrafttreten der neuen Regelung außer Kraft tritt, und behält den Regelschwellenwert von 500.000 zu versorgenden Einwohnern bei.

Systematisch bedeutsam ist die Konsolidierung bislang paralleler Regelungsebenen: Künftig bestimmt eine einzige Rechtsverordnung den Adressatenkreis der Betreiber kritischer Anlagen sowohl für die physische Resilienz nach dem KRITIS-Dachgesetz als auch für die IT-Sicherheitspflichten nach dem BSIG. Damit wird der parallele Anwendungsbereich von CER- und NIS2-Richtlinie erstmals systematisch zusammengeführt.

Aus CII-Sicht verdient ein weiterer Punkt besondere Aufmerksamkeit: Die vorgesehene Evaluierung nach zwei Jahren und anschließend im Fünf-Jahres-Rhythmus deutet darauf hin, dass der Regelschwellenwert mittelfristig auf den Prüfstand kommen wird. Der Schwellenwert von 500.000 versorgten Einwohnern wurde aus Notfallkapazitäten der 2010er Jahre abgeleitet. Angesichts gestiegener Bedrohungslagen, wachsender Abhängigkeiten in digitalen Lieferketten und zunehmender hybrider Angriffe ist er womöglich zu hoch angesetzt. Kleinere, aber systemrelevante Anlagen sollten künftig ebenfalls erfasst werden.

Den Referentenentwurf zur KRITIS-Verordnung stellen wir hier zum Download bereit: