Rechtsgrundlagen

Die Kritis-Regulierung ist fragmentiert und umfasst diverse unterschiedliche Normen auf gesetzlicher und untergesetzlicher Ebene (siehe näher die Erläuterungen zum Aufbau des NIS-2-Umsetzungsgesetzes hier). Im Folgenden finden Sie eine Übersicht der wichtigsten Normen, Begründungen und Auslegungshinweisen für die Ver- und Entsorgungswirtschaft.

Alle Fassungen des NIS-2-Umsetzungsgesetzes und des Kritis-Dachgesetz (Kritis-DachG) finden Sie unter den Normentwürfe / Normbegründungen weiter unten.

Normen

Deutsche Gesetze

• NIS-2-Umsetzungsgesetz
  • BSIG
  • EnWG (insbesondere §§ 5c - 5e EnWG)
  • TKG (insbesondere §§ 165 - 168 TKG)
• Kritis-DachG (siehe zum aktuellen Stand unten)
• Allgemeine Gesetze
  • AktG (insbesondere § 93 AktG)
  • GmbHG (insbesondere § 43 GmbhG)

Deutsche untergesetzliche Normen

• BSI-Kritisverordnung
• IT-Sicherheitskataloge
  • Betreiber von Energienetzen
  • Betreiber von Energieanlagen
  • Betreiber von TK-Infrastrukturen

Europäische Gesetze und Verordnungen

• NIS2-Richtlinie (Richtlinie (EU) 2022/2555 vom 14. Dezember 2022)
• CER-Richtlinie (Richtlinie (EU) 2022/2557 vom 14. Dezember 2022)
• Delegierte Verordnung (EU) 2023/2450 zur Ergänzung CER-Richtlinie durch eine Liste wesentlicher Dienste
• Delegierte Verordnung (EU) 2024/1366 - Netzkodex mit sektorspezifischen Vorschriften für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse
• Durchführungsverordnung (EU) 2024/2690 (spezifische Anforderungen an IKT-Betreiber)
• Cyber Resilience Act (Cybersicherheitspflichten hauptsächlich für Hersteller Produkte mit digitalen Elementen)

Normentwürfe / Normbegründungen

NIS-2-Umsetzungsgesetz (2025)

• Beschlussempfehlung und Bericht Innenausschuss im Bundestag (Änderungen am Gesetzentwurf der Bundesregierung durch den Bundestag; Stand: 12.11.2025)

• Gesetzentwurf der Bundesregierung (inklusive Stellugnahme vom Bundesrat und Gegenäußerung der Bundesregierung) - Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (Stand: 25.07.2025)

• Referentenentwurf des Bundesministeriums des Innern - Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (Stand: 23.06.2025)

Kritis-DachG (2025)

• Gesetzesentwurf der Bundesregierung - Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (Stand: 3.11.2025)

• Referentenentwurf des Bundesministeriums des Innern - Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (Stand: 27.08.2025)

Behördliche Auslegungshilfen

BSI

• Infoseite speziell zur NIS-2-Umsetzung
• Allgemeine Kritis-FaQ zur alten Rechtslage (teilweise immernoch relevante Ausführungen zur bisherigen Rechtslage)
• Spezielle Kritis-FaQ für den Sektor Informationstechnik und Telekommunikation zur alten Rechtslage (teilweise immernoch relevante Ausführungen zur bisherigen Rechtslage)
• Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung zur alten Rechtslage (teilweise immernoch relevante Ausführungen zur bisherigen Rechtslage)
• Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG zur alten Rechtslage (teilweise immernoch relevante Ausführungen zur bisherigen Rechtslage)

BNetzA

• Mitteilung zur Betriebsführung durch Dritte durch die BNetzA zur alten Rechtslage (teilweise immernoch relevante Ausführungen zur bisherigen Rechtslage)

Branchenspezifischen Sicherheitsstandards (B3S)

• Übersicht der Branchenspezifischen Sicherheitsstandards (B3S)