Ob Ihr Unternehmen direkt unter das KRITIS-Dachgesetz fällt, ist im Gesetz klar definiert, lässt sich aber nicht mit einem einfachen „Ja“ oder „Nein“ beantworten. Die rechtliche Prüfung basiert auf drei zentralen Kriterien:
- Sektor: Gehören Sie zu den kritischen Sektoren (z. B. Energie, Wasser, Transport, Gesundheit, Ernährung)?
- Schwellenwert: Erreichen Sie die spezifischen Grenzwerte der BSI-Kritisverordnung (z. B. Versorgungsleistung für mindestens 500.000 Personen)?
- Versorgungsrelevanz: Erbringt Ihre Einrichtung eine funktional oder regional kritische Dienstleistung, deren Ausfall erhebliche Störungen verursachen würde?
Rein rechtlich richtet sich das KRITIS-Dachgesetz an die großen Betreiber. Die Praxis für den Mittelstand sieht jedoch anders aus:
Selbst wenn Sie die oben genannten Schwellenwerte nicht direkt erreichen, geraten Sie durch die NIS2-Richtlinie und die Lieferkettensicherheit in die Pflicht. Große KRITIS-Betreiber geben die strengen Anforderungen an den physischen Schutz heute direkt an ihre Dienstleister und Partner weiter.
Wer Teil einer kritischen Lieferkette ist, muss faktisch die gleichen Sicherheitsstandards erfüllen wie ein KRITIS-Betreiber – sonst drohen Auftragsverlust und Haftungsrisiken.