NIS-2 (EU-Richtlinie 2022/2555, umgesetzt durch das NIS2UmsuCG seit 6. Dezember 2025) und KRITIS (traditionell im BSI-Gesetz und BSI-KritisV geregelt, erweitert durch das KRITIS-Dachgesetz seit Anfang 2026) bilden zusammen den Kern der deutschen Regulierung für kritische Infrastrukturen und Cybersicherheit. Beide Regelwerke ergänzen sich, überschneiden sich aber nur teilweise.
Grundlegende Unterschiede
- Zweck und Fokus
NIS-2 zielt auf ein einheitliches Mindestniveau der Cybersicherheit (Informationssicherheit) in der EU ab. Es geht primär um Schutz vor Cyberbedrohungen, Risikomanagement, Vorfallmeldung und Governance.
KRITIS-Dachgesetz (Umsetzung der CER-Richtlinie 2022/2557) stärkt die gesamte Resilienz kritischer Anlagen gegen alle Gefahren (All-Hazards-Ansatz), mit Schwerpunkt auf physische Sicherheit, Ausfallsicherheit, Redundanz und Krisenmanagement. - Anwendungsbereich und Betroffenheit
NIS-2 erfasst ca. 29.500–30.000 Einrichtungen in Deutschland (starke Erweiterung gegenüber früher ~4.500). Es unterscheidet: - Besonders wichtige Einrichtungen (bwE): KRITIS-Betreiber + große Unternehmen in hochkritischen Sektoren (Anhang 1 NIS-2, z. B. Gesundheit, Energie).
- Wichtige Einrichtungen (wE): Mittlere/große Unternehmen in kritischen Sektoren (Größenschwellen: ≥50 MA oder ≥10 Mio. € Umsatz/Bilanz).
KRITIS-Dachgesetz gilt nur für Betreiber kritischer Anlagen (enger Kreis, Schwellenwerte nach BSI-KritisV, z. B. im Gesundheitssektor Labore mit ≥1,5 Mio. Aufträgen/Jahr). Der Anwendungsbereich ist deutlich kleiner. - Sektoren
Beide decken ähnliche Sektoren ab (Energie, Gesundheit, Verkehr usw.), aber NIS-2 erweitert auf 18 Sektoren (inkl. Herstellung, Forschung, digitale Dienste). KRITIS bleibt bei den klassischen 9 Sektoren mit präzisen Schwellenwerten pro Anlage. - Aufsicht und Behörden
NIS-2: Zentral BSI (Bundesamt für Sicherheit in der Informationstechnik).
KRITIS-Dachgesetz: BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) für physische Aspekte, BSI bleibt für Cyber relevant. Risikobasierte Prüfungen, keine starren Intervalle.
Vergleich der Kernpflichten
| Aspekt | NIS-2 (seit Dez. 2025) | KRITIS-Dachgesetz (seit 2026) | Überschneidung / Unterschied |
|---|---|---|---|
| Risikomanagement | Risikoanalysen, ISMS, BCMS, Lieferkettensicherheit, technische Maßnahmen (MFA, Patch-Management, Segmentierung) | All-Hazards-Risikoanalysen, Resilienzpläne, physische TOM (Zutritt, Notstrom, Redundanz) | NIS-2: Cyber-fokussiert; KRITIS: physisch + ganzheitlich |
| Vorfallmeldung | Erstmeldung ≤24 h, Update ≤72 h, Abschluss ≤1 Monat (BSI-Portal) | Meldepflichten für Störungen, ergänzend zu NIS-2 | NIS-2 strengere Fristen; KRITIS erweitert auf physische Vorfälle |
| Governance & Verantwortung | Geschäftsführung persönlich verantwortlich, Fortbildungspflicht, nicht vollständig delegierbar | Managementverantwortung, aber weniger explizit persönliche Haftung | NIS-2: Starke persönliche Haftung der GF |
| Nachweise / Audits | Regelmäßige Nachweise, Audits (bes. bwE ab 2028), Stichproben / Anlassprüfungen | Nachweispflicht für TOM, risikobasierte Prüfungen, Anerkennung NIS-2-Audits | Synergien möglich, Doppelprüfungen vermeiden |
| Sanktionen | Bis 10 Mio. € oder 2 % weltweiter Umsatz (bwE), persönliche Haftung GF | Bis 20 Mio. €, Betriebsuntersagungen möglich | NIS-2: Höhere Bußgelder bei Cyber-Verstößen |
| Registrierung | Bis 6. März 2026 beim BSI (MUK + Portal) | Registrierung als Betreiber kritischer Anlagen (BBK/BSI) | NIS-2: Frist bereits verstrichen, Nachmeldung möglich |
Speziell im Gesundheitswesen / Labormedizin
- KRITIS: Stationäre Versorgung (Krankenhäuser ≥30.000 Fälle/Jahr), Laboratoriumsdiagnostik (≥1,5 Mio. Aufträge/Jahr oder kumulativ in Verbünden), Versorgung mit Arzneimitteln/Blut/Medizinprodukten. Strenge Schwellenwerte → nur große Labore/Ketten betroffen.
- NIS-2: Gesundheitsdienstleistungen (inkl. Labore, EU-Referenzlabore, F&E Pharmazeutika/Medizinprodukte). Erfasst viele mittelgroße Labore/Praxen/MVZ ab Größenschwelle (≥50 MA oder ≥10 Mio. € Umsatz). Automatisch bwE, wenn KRITIS-Schwellen überschritten.
KRITIS-Betreiber (z. B. große Labore) gelten automatisch als bwE unter NIS-2 → sie müssen beide Regelwerke erfüllen, wobei NIS-2 zusätzliche Governance-, Melde- und Lieferkettenpflichten bringt.
Fazit und praktische Implikationen
- NIS-2 ist der breite Cyber-Schirm für die Wirtschaft (EU-Harmonisierung, Fokus auf Digitalisierung und Managementverantwortung).
- KRITIS-Dachgesetz ist der spezifische Resilienz-Rahmen für echte kritische Anlagen (physisch + cyber, engerer Kreis, All-Hazards).
Für Labore im Gesundheitswesen bedeutet das:
- Große KRITIS-Labore müssen NIS-2-Pflichten (z. B. 24-h-Meldung, GF-Haftung) nachrüsten.
- Mittelgroße Labore fallen oft nur unter NIS-2 (wE/bwE), nicht unter KRITIS.
- Synergien nutzen: Bestehende B3S- oder ISO-27001-Systeme decken viel ab; Audits werden gegenseitig anerkannt, um Doppelarbeit zu vermeiden.
Beide Gesetze erhöhen die Resilienz, fordern aber massive Umsetzungsanstrengungen – besonders in heterogenen Labor-IT/OT-Umgebungen. Betreiber sollten eine integrierte Gap-Analyse (Cyber + physisch) durchführen und Prioritäten setzen (z. B. OT-Segmentierung, Lieferkettensicherheit).
