Kritische Infrastruktur
Kritische Infrastruktur (KRITIS) umfasst Organisationen, Einrichtungen und Systeme, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe, Gefährdungen der öffentlichen Sicherheit oder schwerwiegende Auswirkungen auf Gesundheit, Wirtschaft oder das soziale Wohl der Bevölkerung zur Folge hätte.
Ausführliche Erklärung
Kritische Infrastrukturen sind das Rückgrat moderner Gesellschaften. Sie gewährleisten die Versorgung mit elementaren Gütern und Dienstleistungen – von Strom und Trinkwasser über Kommunikationsnetze bis hin zu Gesundheitsversorgung und Verkehrssystemen. Der Begriff "kritisch" bezieht sich dabei auf die Systemrelevanz dieser Einrichtungen für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, nicht auf die Wahrscheinlichkeit eines Ausfalls. Störungen können dennoch weitreichende Dominoeffekte auslösen, da viele Infrastrukturen voneinander abhängig sind.
Auf EU-Ebene definiert die CER-Richtlinie (EU 2022/2557) elf Bereiche als kritische Infrastruktur: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, digitale Infrastruktur, Trinkwasser, Abwasser, Lebensmittel, Gesundheitswesen, öffentliche Verwaltung und Raumfahrt. In Deutschland wurde die Umsetzung im März 2026 mit dem KRITIS-Dachgesetz abgeschlossen, das neben Cybersicherheit auch die physische Resilienz regelt. In Österreich gibt es mehrere Gesetze zum Schutz kritischer Infrastrukturen, darunter das Netz- und Informationssicherheitsgesetz (NISG), das die NIS-2-Richtlinie umsetzt.
Für Unternehmen, die als KRITIS eingestuft werden, ergeben sich umfassende Pflichten: Sie müssen Sicherheitsmaßnahmen nach Stand der Technik implementieren, Risikobewertungen durchführen, Resilienzpläne dokumentieren und Sicherheitsvorfälle binnen definierter Fristen melden. Die NIS-2-Richtlinie erweitert seit 2024 den Kreis betroffener Unternehmen erheblich – statt nach Schwellenwerten wie "500.000 versorgte Personen" greift nun eine Größenklassifizierung ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in den definierten Sektoren.
Auch KMU, die selbst keine kritische Infrastruktur betreiben, können indirekt betroffen sein: als Zulieferer, IT-Dienstleister oder wenn sie in den erweiterten Sektorenkatalog fallen. Zudem spielt kritische Infrastruktur eine zentrale Rolle im EU AI Act – KI-Systeme, die als Sicherheitskomponenten in kritischen Infrastrukturen eingesetzt werden (z. B. Verkehrssteuerung, Energiemanagement), gelten nach Anhang III als Hochrisiko-Anwendungen und unterliegen strengen Konformitätspflichten.
Praxisbeispiel
Ein mittelständisches Wasserversorgungsunternehmen mit 75 Mitarbeitenden in Oberösterreich fällt unter die NIS-2-Richtlinie und wird als wesentliche Einrichtung eingestuft. Das Unternehmen muss ein Risikomanagementsystem einrichten, Cybersicherheitsmaßnahmen nachweisen, einen Resilienzplan erstellen und Sicherheitsvorfälle binnen 24 Stunden an die zuständige Behörde melden. Bei Nichteinhaltung drohen Geldstrafen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Quellen
- Parlament nimmt neue Regeln zum Schutz kritischer Infrastruktur in der EU an | Europäisches Parlament
- Wissenschaftliche Dienste des Deutschen Bundestags: Kritische Infrastrukturen in Deutschland und Österreich
- Kritische Infrastruktur | HESSEN Landesregierung
- NIS2 umsetzen in Österreich (NISG 2026) - KMU
- Hochrisiko KI-Systeme | Bundesnetzagentur