DARLOTParis · 1856

Darlot · Leitfaden

KRITIS und NIS-2 Umsetzung 2026.

Was sich für kritische Infrastruktur 2026 ändert, wer betroffen ist, welche Pflichten neu sind, was Geschäftsführung persönlich verantwortet und wie Sicherheitssysteme darauf antworten.

Die Umsetzung von NIS-2 in Deutschland erweitert den Kreis der zur Cybersicherheit verpflichteten Einrichtungen erheblich. Wer bisher außerhalb des KRITIS-Regimes operierte, kann jetzt darin liegen — mit allen Konsequenzen für Risikomanagement, Meldepflichten und persönliche Geschäftsführer-Haftung. Dieser Leitfaden ordnet die Lage für 2026 ein. Er ersetzt keine Rechtsberatung. Er ordnet ein.

Was sich 2026 ändert

Die deutsche NIS-2-Umsetzung ist 2025 in Kraft getreten und entfaltet 2026 ihre volle Wirkung. Drei Verschiebungen sind aus Praxis-Sicht entscheidend.

Erstens, der Anwendungsbereich. NIS-2 erfasst rund 30.000 deutsche Einrichtungen statt der bisher rund 4.500 KRITIS-Pflichtigen. Die Erweiterung trifft den industriellen Mittelstand, Forschungseinrichtungen, Lebensmittelhersteller, kommunale Verwaltungen und Lieferanten kritischer Sektoren. Wer mehr als 50 Mitarbeiter und mehr als 10 Mio EUR Jahresumsatz hat und in einem der 18 erfassten Sektoren tätig ist, prüft seine Pflichtigkeit selbst und meldet sich beim BSI an.

Zweitens, die persönliche Haftung. §38 BSIG normiert die Verantwortung der Geschäftsleitung für die Umsetzung der Sicherheitsmaßnahmen. Bußgelder bis zu 10 Mio EUR oder 2 Prozent des weltweiten Jahresumsatzes treffen das Unternehmen. Daneben kann die Aufsichtsbehörde ein Bußgeld direkt gegen die Geschäftsleitung verhängen. D&O-Versicherungen decken behördliche Bußgelder typischerweise nicht; die Geschäftsführung trägt das Risiko persönlich.

Drittens, die Meldepflicht. Erhebliche Vorfälle sind innerhalb von 24 Stunden mit einer Erstmeldung anzuzeigen, innerhalb von 72 Stunden mit einem Detailbericht zu konkretisieren und nach einem Monat mit einem Abschlussbericht zu schließen. Wer keine auditfeste Reaktionskette hat, kann diese Fristen nicht einhalten.

Wer ist betroffen

Die NIS-2-Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Beide Kategorien sind voll pflichtig; die Aufsichtsintensität unterscheidet sich. Wesentliche Einrichtungen unterliegen einer ex-ante-Aufsicht (laufende Kontrolle), wichtige Einrichtungen einer ex-post-Aufsicht (Kontrolle nach Anlass). Folgende 18 Sektoren sind erfasst:

  • Energie. Strom, Erdöl, Erdgas, Fernwärme, Wasserstoff
  • Transport und Verkehr. Luftfahrt, Schiene, Binnenschiff, See, Straße, Logistik-Drehkreuze
  • Bankwesen. Kreditinstitute, Wertpapierfirmen, FinTech mit BaFin-Lizenz
  • Finanzmarktinfrastruktur. Handelsplätze, zentrale Gegenparteien, Zahlungsdienste
  • Gesundheit. Krankenhäuser ab 1.500 Betten, Labore, Apotheken-Großhandel, Hersteller von Arzneimitteln und Medizinprodukten
  • Trinkwasser und Abwasser. Versorger ab Schwellenwert; Kläranlagen mit kritischer Größe
  • Digitale Infrastruktur. DNS, TLD-Registrare, Cloud, Rechenzentren, Content-Delivery-Networks
  • IKT-Diensteverwaltung. Managed Service Provider, Managed Security Service Provider
  • Öffentliche Verwaltung. Bundesverwaltung und Landesverwaltung; Kommunen ab Schwellenwert
  • Weltraum. Bodeninfrastruktur, Satellitenkommunikation
  • Post und Kurier. Universalpostdienst-Anbieter, KEP-Dienste ab Schwellenwert
  • Abfallwirtschaft. Entsorger ab Schwellenwert; Recyclinganlagen kritischer Größe
  • Chemie. Hersteller, Verarbeiter, Lager kritischer Stoffe; Seveso-III-Betriebe
  • Lebensmittel. Großhandel, industrielle Produktion ab Schwellenwert
  • Maschinen und Fahrzeugbau. Sektorspezifische Schwellenwerte
  • Forschung. Universitäre und außeruniversitäre Forschungseinrichtungen ab Schwellenwert
  • Digitale Anbieter. Online-Marktplätze, Suchmaschinen, soziale Netzwerke
  • Vertrauensdienste. qualifizierte Vertrauensdienste-Anbieter nach eIDAS

Hinzu kommen Lieferanten dieser Sektoren, soweit sie kritische Dienstleistungen erbringen. Damit erfasst NIS-2 indirekt eine Vielzahl mittelständischer Zulieferer, die ihre eigene Pflichtigkeit prüfen müssen — auch wenn sie selbst nicht in einem der 18 Sektoren tätig sind. Auftraggeber aus pflichtigen Sektoren werden ihre Lieferketten nach §30 BSIG dokumentieren und verlangen entsprechende Nachweise.

Die zehn Mindestmaßnahmen nach §30 BSIG

Das novellierte BSI-Gesetz verlangt von erfassten Einrichtungen ein Risikomanagement mit zehn Mindestmaßnahmen. Sie betreffen sowohl die Cybersicherheit als auch die physische Sicherheit kritischer Standorte. Aus Sicht der Sicherheitsverantwortlichen ist die Liste eine Pflichten-Checkliste:

  1. Konzepte für Risikoanalyse und Sicherheit der Informationssysteme — schriftlich, regelmäßig aktualisiert, vom Vorstand verabschiedet.
  2. Bewältigung von Sicherheitsvorfällen — dokumentierte Eskalationsketten, definierte Reaktionsteams, Übungsturnus.
  3. Aufrechterhaltung des Betriebs — Notfall- und Krisenmanagement, Backup-Strategie, Wiederherstellungsplan.
  4. Sicherheit der Lieferkette — Anforderungen an Zulieferer, Zugangskontrolle, dokumentierte Sicherheitskonzepte der wesentlichen Anbieter.
  5. Sicherheit beim Erwerb, der Entwicklung und Wartung von IT-Systemen — Patch-Management, Sicherheitsanforderungen in Beschaffungen.
  6. Konzept zur Bewertung der Wirksamkeit — interne Audits, Reifegrad-Modelle, Kennzahlenrahmen.
  7. Cyberhygiene und Schulungen — verpflichtende Schulungen, auch für die Geschäftsleitung.
  8. Kryptografie und Verschlüsselung — Konzepte für Datenverschlüsselung, Schlüsselmanagement.
  9. Personalsicherheit, Zugangskontrolle und Vermögensverwaltung — physische Zugangsrechte, Hintergrundprüfungen, Asset-Inventar.
  10. Multifaktor-Authentifizierung, sichere Sprachübertragung, Notfallkommunikation.

Punkt 9 ist für physische Sicherheit zentral. Zugangskontrolle und Perimeterschutz fallen darunter. Wer KRITIS-Anforderungen erfüllen will, muss dokumentieren können, wer wann auf welchem Werksgelände war, wie unbefugte Zutritte detektiert werden und wie auf Vorfälle reagiert wurde. Eine moderne KI-Videoanalyse mit Audit-Trail erfüllt diese Anforderungen umfassender als klassische Wachprotokolle.

Was Geschäftsführung persönlich verantwortet

Die persönliche Haftung der Geschäftsleitung nach §38 BSIG ist die wahrscheinlich folgenreichste Neuerung. Sie umfasst drei Pflichten.

Erstens, die Genehmigung der Risikomanagementmaßnahmen. Die Geschäftsleitung muss die Sicherheitskonzepte selbst verabschieden, nicht delegieren. Eine Unterschrift unter einem vom Sicherheitsverantwortlichen vorgelegten Konzept reicht nicht — die Geschäftsleitung muss verstehen, was sie unterschreibt, und das nachweisen.

Zweitens, die Überwachung der Umsetzung. Die Geschäftsleitung muss die Wirksamkeit der Maßnahmen überwachen. Praktisch heißt das: regelmäßige Berichte, dokumentierte Befassung im Vorstands- oder Geschäftsführungssitzungen, klare Eskalationswege bei festgestellten Mängeln.

Drittens, die Schulungspflicht. Die Geschäftsleitung muss selbst regelmäßig an Schulungen teilnehmen, um die Risiken im Bereich Cybersicherheit beurteilen zu können. Die Aufsichtsbehörde kann Schulungsnachweise verlangen.

Verstöße können mit Bußgeldern gegen die Person geahndet werden. D&O-Versicherungen decken behördliche Bußgelder regelmäßig nicht. Die Versicherung greift nur bei zivilrechtlichen Schadensersatzansprüchen — etwa wenn nach einem Sicherheitsvorfall Anteilseigner Regress nehmen wollen. Die Aufsichtsbehörden-Bußgelder bleiben am Geschäftsführer hängen.

Wie Sicherheitssysteme darauf antworten

NIS-2 fokussiert primär auf Cybersicherheit, aber §30 BSIG verlangt auch physische Sicherheit. Drei Anforderungen prägen die operative Schicht.

Auditfeste Reaktionskette. Jeder Vorfall — physisch wie digital — muss lückenlos rekonstruierbar sein. Zeitstempel der Detektion, Konfidenzwert, Begründungspfad der KI, menschliche Bewertung in der Leitstelle, Eskalationsentscheidung, Reaktionsmaßnahme. Eine klassische Wachfirma mit Streifenprotokoll auf Papier kann diese Kette nicht liefern. Eine KI-gestützte Videoanalyse mit Logging-System schon.

Erklärbare KI nach EU AI Act Artikel 13. Wer KI für die Detektion einsetzt, muss erklären können, warum ein Alarm ausgelöst wurde. Generische Wahrscheinlichkeits-Scores reichen der Aufsicht nicht — gefordert ist ein Begründungspfad: welche Bildmerkmale zur Klassifikation führten, welcher Trainingsdatensatz zugrunde liegt, wie False-Positive-Raten dokumentiert sind. Das ist gleichzeitig Voraussetzung für Versicherungsfähigkeit.

Europäische Datenhaltung. Der Datenschutz nach DSGVO und die Vermeidung von Drittland-Übermittlung sind nach Schrems II keine Auslegungsfrage mehr. KRITIS-Standorte mit US-Cloud-Detektion sind angreifbar. Eine eigene europäische Leitstelle mit dokumentierter EU-Cloud-Architektur ist die saubere Antwort.

Praktische Schritte für 2026

  1. Pflichtigkeit prüfen. Sind Sie wesentliche oder wichtige Einrichtung im Sinne von §28 BSIG? Wenn ja, registrieren Sie sich beim BSI.
  2. Sicherheitskonzept aktualisieren. Decken Ihre bestehenden Konzepte die zehn Mindestmaßnahmen aus §30 BSIG? Lücken priorisieren und schließen.
  3. Reaktionskette dokumentieren. Können Sie für einen Vorfall der vergangenen 90 Tage Zeitstempel, Detektion, Eskalation, Reaktion lückenlos belegen? Wenn nein, dann fehlt Auditfähigkeit.
  4. Geschäftsführung schulen. Welche Schulungen hat die Geschäftsleitung 2025 absolviert? Nachweise bündeln, Lücken füllen.
  5. Lieferkette mappen. Welche Zulieferer erbringen kritische Leistungen? Sicherheitsvereinbarungen mit ihnen aktualisieren.
  6. Versicherer informieren. Vor- und Nachvertragliche Anzeigepflichten zu NIS-2-Pflichtigkeit prüfen. Cyber-Police und D&O-Police entsprechend anpassen lassen.

Zeitstrahl der Umsetzung

  • Januar 2023. EU-Richtlinie 2022/2555 (NIS-2) tritt in Kraft. Mitgliedstaaten verpflichtet, bis 17. Oktober 2024 in nationales Recht umzusetzen.
  • Oktober 2024. Umsetzungsfrist für Mitgliedstaaten endet. Deutschland überschreitet die Frist mit Verzögerungen im Gesetzgebungsprozess.
  • 2025. Deutsches NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz tritt in Kraft. BSIG wird novelliert; neue §§30, 32, 38 BSIG normieren Risikomanagement, Meldepflichten, persönliche Haftung der Geschäftsleitung.
  • 2026. Volle Anwendbarkeit für alle erfassten Einrichtungen. Erste Aufsichts­prüfungen, erste Bußgeldbescheide, erste D&O-Streitfälle zu persönlicher Geschäftsführer-Haftung.
  • Laufend. BSI veröffentlicht laufend sektorspezifische Konkretisierungen. EU-Kommission konsultiert zu Durchführungsrechtsakten für Lieferkettenabsicherung.

Häufige Fragen

Wer fällt unter NIS-2 in Deutschland?

NIS-2 erweitert den Geltungsbereich gegenüber NIS-1 erheblich. Erfasst sind in Deutschland alle wesentlichen und wichtigen Einrichtungen in 18 Sektoren, darunter Energie, Transport, Banken, Gesundheit, Wasserwirtschaft, digitale Infrastruktur, öffentliche Verwaltung, Forschung und Lebensmittel. Schwellenwerte richten sich nach Mitarbeiterzahl (mehr als 50) und Jahresumsatz (mehr als 10 Mio EUR), mit sektorspezifischen Ausnahmen. Anders als unter NIS-1 müssen Einrichtungen sich selbst registrieren — keine behördliche Auswahl mehr.

Was ist der Unterschied zwischen KRITIS und NIS-2?

KRITIS ist der bestehende deutsche Rechtsrahmen für kritische Infrastruktur, geregelt im BSI-Gesetz und der BSI-KRITIS-Verordnung. NIS-2 ist die EU-Richtlinie 2022/2555, die in deutsches Recht überführt wurde und KRITIS umfasst. Praktisch heißt das: Wer KRITIS-pflichtig ist, ist auch NIS-2-pflichtig — aber NIS-2 erfasst zusätzlich viele Einrichtungen, die bisher nicht KRITIS-relevant waren.

Welche Pflichten kommen 2026 neu?

Die wichtigsten neuen oder verschärften Pflichten: Risikomanagement nach §30 BSIG mit zehn Mindestmaßnahmen, Meldung erheblicher Vorfälle innerhalb von 24 Stunden mit Erstmeldung und 72 Stunden mit Detailbericht, persönliche Verantwortung der Geschäftsführung mit Bußgeldhaftung, jährliche Schulungspflicht für Geschäftsleitung, Lieferkettenabsicherung mit dokumentierten Anforderungen an Zulieferer.

Was bedeutet die persönliche Haftung der Geschäftsführung?

§38 BSIG normiert eine persönliche Verantwortung der Geschäftsleitung für die Umsetzung der Sicherheitsmaßnahmen. Bußgelder können sich gegen die Einrichtung (bis 10 Mio EUR oder 2 Prozent Jahresumsatz) UND gegen die Geschäftsleitung persönlich richten. Eine D&O-Versicherung deckt diese Bußgelder typischerweise nicht. Geschäftsführung muss nachweisen, dass sie die Schulungspflicht erfüllt hat und die internen Kontrollsysteme angemessen sind.

Welche Rolle spielen Videoüberwachung und physische Sicherheit?

NIS-2 fokussiert primär auf Cybersicherheit, aber §30 BSIG verlangt auch physische Sicherheitsmaßnahmen. Konkret: Zugangsschutz, Perimeter, Detektion physischer Eingriffe, dokumentierbare Reaktionsketten. Eine moderne KI-Videoanalyse mit Audit-Trail erfüllt diese Anforderungen besser als klassische Wachfirma, weil jede Detektion mit Begründungspfad nachweisbar ist. Versicherer fordern diesen Nachweis zunehmend bei Schadensregulierung.

Was ist eine 'auditfeste Reaktionskette'?

Eine Reaktionskette ist auditfest, wenn jeder Schritt zwischen Detektion und Reaktion lückenlos dokumentiert ist und die Logik der Eskalation rekonstruierbar ist. Praktisch heißt das: Zeitstempel, KI-Detektion mit Konfidenzwert und Begründungspfad, menschliche Bewertung in der Leitstelle, dokumentierte Eskalationsentscheidung, Reaktionsmaßnahme. Ein Aufsichtsbehörden- oder Versicherer-Audit muss diese Kette für jeden Vorfall reproduzieren können.

Wann tritt NIS-2 in Deutschland in Kraft?

Die EU-Richtlinie war von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht zu überführen. Deutschland setzte mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz Verzögerungen, das Gesetz ist 2025 in Kraft getreten. Die meisten neuen Pflichten greifen seither schrittweise; volle Anwendbarkeit für alle erfassten Einrichtungen ist 2026.

Wie unterscheidet sich KRITIS-Sicherheit von normaler Werksicherheit?

KRITIS-Standorte unterliegen verschärften Vorgaben für Verfügbarkeit, Integrität, Vertraulichkeit. Praktisch: höhere Reaktionsgeschwindigkeit (Sekunden statt Minuten), redundante Detektion (KI plus Mensch plus Hardware), dokumentierte Härtung gegen physische Eingriffe, jährlicher Auditbericht an die zuständige Aufsichtsbehörde. Normale Werksicherheit prüft Anwesenheit; KRITIS-Sicherheit prüft Wirksamkeit.

Wo Darlot ansetzt

Darlot liefert die operative Sicherheitsschicht für KRITIS-pflichtige Standorte. KI-Videoanalyse mit dokumentiertem Begründungspfad nach EU AI Act Artikel 13. Mobile Sicherheitstürme und Patrouillenrobotik mit auditfester Eskalationskette. Eigene europäische 24/7-Leitstelle, EU-Cloud-Architektur, deutscher Datenstandort auf Wunsch. Das alles als monatlicher Vertrag, ohne Investitions­kapital, mit Aktivierung in 48 Stunden.

Konkrete KRITIS-Konfigurationen finden Sie unter Lösungen · KRITIS. Vergleichende Daten zu klassischen Sicherheitsdiensten unter Vergleich. Die regulatorische Einordnung der Begriffe in unserem Glossar.

Stand: April 2026. Dieser Leitfaden ersetzt keine Rechtsberatung im Einzelfall. Maßgebliche Quellen: BSI-Gesetz in der Fassung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes; EU-Richtlinie 2022/2555; BSI-KRITIS-Verordnung; einschlägige Verwaltungs­anweisungen des BSI.

Sie sind KRITIS-pflichtig?

15-Minuten-Erstgespräch zur konkreten Standort-Konfiguration. Vertraulich.

Standort konfigurieren →Sales DACH kontaktieren

Marke · 1856 — heute

Seit 1856.

Was wir sehen, hat über uns entschieden.

1856 fertigte Darlot in Paris Präzisionsoptik — Linsen, die sahen, was andere übersahen. Das Handwerk hat sich gewandelt, der Anspruch nicht. Wo früher Glas die Wahrnehmung schärfte, klassifiziert heute KI in Echtzeit. Dieselbe Disziplin. Neue Mittel. Darlot sieht weiterhin, was zählt — heute für die kritische Infrastruktur Europas.