KritisV: TeleTrusT-Kommentar und -Kritik zum vorliegenden Entwurf

Die „Verordnung zur Bestimmung kritischer Anlagen nach dem KRITIS-Dachgesetz (Kritisverordnung – KritisV)“ soll durch Festlegung von Sektoren, Branchen, kritischen Dienstleistungen, Anlagenkategorien und Schwellenwerten jene Anlagen definieren, welche als „kritisch“ einzustufen sind

[datensicherheit.de, 16.06.2026] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) kommentiert in seiner Stellungnahme vom 15. Juni 2026 den vorliegenden Entwurf einer „Verordnung zur Bestimmung kritischer Anlagen nach dem KRITIS-Dachgesetz (Kritisverordnung – KritisV)“. Diese KritisV bestimmt demnach durch die Festlegung von Sektoren, Branchen, kritischen Dienstleistungen, Anlagenkategorien und Schwellenwerten, welche Anlagen als „kritisch“ einzustufen sind. Sie soll damit die bisherige BSI-Kritisverordnung auch für Zwecke der IT-Sicherheit nach dem BSIG ablösen und künftig als gemeinsame Rechtsverordnung für physische Resilienz und IT-Sicherheit fungieren. Der TeleTrusT begrüßt einerseits diesen Ansatz, kritische Anlagen für Zwecke der IT-Sicherheit und der physischen Resilienz einheitlich zu identifizieren und dadurch für mehr Rechtssicherheit und Verständlichkeit der Regelungen zu sorgen. Gleichwohl weise der vorliegende Entwurf nicht nur redaktionelle, sondern auch semantische und methodische Schwächen auf.

Zügiges Umsetzen der überfälligen „Kritisverordnung“ gefordert

Unverständlich bleibe, „warum die Verordnung sich noch im vorgelegten, nicht abgestimmten Entwurfsstadium befindet“. Die viel zu späte Umsetzung der „CER-Richtlinie“ habe hierzu eine ungewöhnlich lange Vorbereitungszeit geboten. „Die betroffenen Unternehmen werden ohne Übergangsfrist materiell verpflichtet sein.“

• RA Karsten U. Bartels LL.M. (HK2 RAe, stellv. TeleTrusT-Vorstand) führt aus: „Es ist sinnvoll wie naheliegend, durch eine einheitliche ,Kritisverordnung’ die Anwendbarkeit sowohl des ,KRITIS-Dachgesetzes’ als auch des ,BSI-Gesetzes’ auszugestalten. Wir wünschen uns Klarheit für die Unternehmen und hoffen deshalb auf ein zügiges Umsetzen der überfälligen Verordnung.“

Indes moniert er: „Die Schwellenwert-Methode in der hergebrachten Weise ist jedoch nicht im Mindesten geeignet, die tatsächlichen Risiken in ein angemessenes Verhältnis zum Anwendungsrahmen des Gesetzes zu bringen. Mit anderen Worten: Die Bezugsgröße von 500.000 versorgten Personen hielt und hält keiner Überprüfung stand, ist methodisch widerlegt – und leider ein Risiko für sich!“

KritisV-Entwurf bleibt noch hinter Anforderungen zurück

Der Referentenentwurf der KritisV greife die europäischen Vorgaben der „CER-Richtlinie“ zwar im Grundsatz auf und schaffe eine begrüßenswerte Kohärenz zwischen physischer Resilienz und IT-Sicherheit. In seiner derzeitigen Fassung bleibe der Entwurf jedoch noch hinter den Anforderungen an eine rechtssichere, praktisch handhabbare und methodisch überzeugende Regulierung zurück.

• Insbesondere fehle es an einer hinreichend nachvollziehbaren Auseinandersetzung mit den angelegten Schwellenwerten. Die Zahl von 500.000 versorgten Personen werde zwar als Regelschwellenwert herangezogen – ihre Herleitung und Übertragung auf unterschiedliche Sektoren überzeuge jedoch keinesfalls.

Hinzu kommt laut TeleTrusT, dass eine Auseinandersetzung mit weiteren in Art. 7 „CER-Richtlinie“ ausdrücklich genannten Kriterien, etwa sektorübergreifenden Abhängigkeiten, geographischen Auswirkungen, Substituierbarkeit sowie Dauer und Ausmaß möglicher Störungen, zur Geltung kommen müsse.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Ziele und Nutzen Bundesverband IT-Sicherheit e.V. (TeleTrusT)

TeleTrusT Bundesverband IT-Sicherheit e.V.
Arbeitsgruppe „IT-Sicherheitsrecht“ – RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte

TeleTrusT Bundesverband IT-Sicherheit e.V., 15.06.2026
Stellungnahmen 2026: Stellungnahme zum Referentenentwurf – Verordnung zur Bestimmung kritischer Anlagen nach dem KRITIS-Dachgesetz (Kritisverordnung – KritisV)

DVNW Deutsches Vergabenetzwerk, Vergabeblog, 28.05.2026
Politik und Markt / BMI legt Entwurf der neuen KRITIS-Verordnung vor

openkritis.de, Paul Weissmann, 26.05.2026
KRITIS – auf den zweiten Blick / Neue KRITIS-Verordnung 2026 Entwurf

openkritis.de
EU CER Resilienz

Bundesministerium der Justiz und für Verbraucherschutz, Bundesamt für Justiz
Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)

datensicherheit.de, 23.03.2026
CPS im Visier: Cyberkriminelle Attacken zunehmend auf KRITIS / Claroty warnt vor opportunistischen Angriffen auf Cyber-Physische Systeme (CPS) – beeinflusst durch geopolitische Ereignisse, indes technisch nicht besonders ausgefeilt

datensicherheit.de, 09.03.2026
KRITIS-Dachgesetz: Bitkom warnt vor kurzfristiger Absenkung des Schwellenwertes / Das „KRITIS-Dachgesetz“ soll die Umsetzung der europäischen CER-Richtlinie in deutsches Recht ermöglichen und schreibt KRITIS-Betreibern u.a. eine Risikobewertung für hybride Bedrohungen vor

datensicherheit.de, 03.02.2026
KRITIS-Dachgesetz verabschiedet: Deutschland muss dringend seine Kritischen Infrastrukturen besser schützen / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ lief am 18. Oktober 2024 ab – gegen die Bundesrepublik wurde bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission eingeleitet

datensicherheit.de, 01.02.2026
KRITIS-Dachgesetz: eco begrüßt Verabschiedung bundesweit einheitlichen Rahmens für den Schutz Kritischer Infrastrukturen / Für die Internetwirtschaft sind stabile Stromversorgung, funktionierende Netze und verlässliche Rahmenbedingungen essenziell – das „KRITIS-Dachgesetz“ setzt hierzu grundsätzlich an der richtigen Stelle an