KRITIS-Gesetz: 30.000 Organisationen müssen sich registrieren

30.000 Organisationen betroffen – aber viele fehlen

Seit Ende 2025 gilt das novellierte BSI-Gesetz. Es setzt die EU-NIS-2-Richtlinie um. Seit März 2026 ist zudem das KRITIS-Dachgesetz in Kraft. Der Kreis der regulierten Organisationen wuchs massiv. Rund 30.000 Einrichtungen sind betroffen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Doch Stand März hatten sich erst 11.000 registriert.

Anzeige: Nur 11.000 von 30.000 betroffenen Organisationen haben sich bisher registriert – die Frist läuft. Wer jetzt handelt, vermeidet Haftungsrisiken und schützt sich vor Cyberangriffen. Dieser Report liefert die Checkliste für die fristgerechte Registrierung, einen Mustervertrag für Dienstleister und einen Notfallplan. Jetzt kostenlosen Report anfordern

Das Bundesinnenministerium legte am 26. Mai einen Entwurf für die KRITIS-Dachgesetz-Verordnung vor. Sie definiert konkrete Schwellenwerte. Beispiel Medizinprodukte: Wer einen Jahresumsatz von 90,68 Millionen Euro erzielt, gilt als KRITIS-Betreiber. Bei Arzneimitteln liegt die Schwelle bei 4,65 Millionen Packungen pro Jahr. Für Apotheken bedeutet das: Wer mehr als 26,54 verschreibungspflichtige Medikamente pro Minute abgibt, ist kritische Infrastruktur.

Cyberangriffe treffen Kliniken und Behörden

Die Bedrohung ist real. Eine Studie des Deutschen Krankenhausinstituts von 2025 zeigt: 20 Prozent der Allgemeinkrankenhäuser mit über 100 Betten waren in drei Jahren von meldepflichtigen IT-Vorfällen betroffen. Experten warnen: Krankenhäuser werden zum Ziel hybrider Kriegsführung. Cyberangriffe gefährden direkt die Patientensicherheit.

Ein aktueller Fall zeigt die Risiken durch externe Dienstleister. Die Ransomware-Gruppe Kairos griff den Dienstleister Unimed an. Zehntausende Datensätze flossen ab. Betroffen waren die Unikliniken Mainz, Freiburg und Köln. Allein in Freiburg waren 54.000 Datensätze involviert. Die Angreifer veröffentlichten Datenmengen im Terabyte-Bereich.

Auch die öffentliche Verwaltung bleibt nicht verschont. Die Berliner Datenschutzbeauftragte verwarnte die BVG. Grund: Ein Vorfall bei einem Dienstleister im Januar 2025. 180.000 Kundendatensätze waren kompromittiert. Die Behörde kritisierte die verspätete Meldung und unzureichende Kontrollen bei der Datenlöschung. Die Verantwortung bleibt laut DSGVO beim Auftraggeber.

Digitale Souveränität: Open Source als Ausweg

Einige Bundesländer ziehen Konsequenzen. Schleswig-Holstein migriert rund 60.000 Arbeitsplätze auf Linux und LibreOffice. Staatskanzleichef Dirk Schrödter spricht von digitaler Souveränität. Ziel: Zugriffsmöglichkeiten ausländischer Behörden durch Gesetze wie den US Cloud Act verhindern.

Parallel entstehen neue Technologien. Die Deutsche Telekom und Palo Alto Networks stellten eine KI-gestützte Sicherheitsplattform vor. Sie basiert auf einer souveränen Cloud-Infrastruktur. Die Datenverarbeitung bleibt innerhalb Europas. Ein Konsortium aus Secunet, DCSO und Tenzir bietet spezialisierte Cyberabwehr für KRITIS-Betreiber. Datenhoheit: Deutschland.

Auf EU-Ebene plant das „European Technological Sovereignty Package“ Investitionen von 420 Milliarden Euro bis 2036. Ein Teil fließt in den „Cloud and AI Development Act“. Er sieht strenge Sicherheitsstufen für sensible Regierungsdaten vor.

Forschung und operative Abwehr

Anzeige: Cyberangriffe auf Kliniken und Behörden nehmen zu – der Fall Unimed zeigt: Auch Dienstleister-Vorfälle haften auf den Auftraggeber zurück. Mit dem Mustervertrag aus diesem Report sichern Sie Ihre Dienstleister-Anbindung rechtskonform ab. Mustervertrag jetzt sichern

Die Cyberagentur startete am 30. April das Forschungsprojekt ARCH. Ein internationales Konsortium unter Leitung der Université de Montréal entwickelt Modelle. Ziel: Materielle und immaterielle Schäden durch IT-Angriffe systematisch erfassen.

Im operativen Bereich handeln Sicherheitsbehörden. Das Landeskriminalamt Niedersachsen führte zwischen dem 25. Mai und 3. Juni einen Schwerpunkteinsatz im Raum Wilhelmshaven durch. Schutz kritischer Infrastrukturen in Energie und Hafenlogistik.

Doch nicht alle Methoden sind unumstritten. Berichte über den Ankauf von Bewegungsdaten durch Landeskriminalämter bei kommerziellen Datenhändlern stoßen bei Datenschützern auf massive Bedenken. Die Rechtsgrundlage bleibt fraglich.

de | wirtschaft | 69510389 |