KRITIS
KRITIS bezeichnet Kritische Infrastrukturen im Sinne des BSI-Gesetzes und der BSI-Kritisverordnung. Betreiber in definierten Sektoren unterliegen verschärften IT-Sicherheitspflichten, Meldepflichten bei erheblichen Störungen und regelmäßigen Nachweispflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Wer eine KRITIS-relevante Technologieplattform erwirbt, übernimmt diese Pflichten mit dem Closing.
Definition
KRITIS steht für Kritische Infrastrukturen nach §2 Abs. 10 BSIG in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV). Als kritisch gelten Anlagen, Systeme und Teile davon, die für das Funktionieren des Gemeinwesens von wesentlicher Bedeutung sind und deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit zur Folge hätte. Die Verordnung nennt neun Sektoren: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Siedlungsabfallentsorgung sowie Staat und Verwaltung.
Die Betreiber-Eigenschaft entsteht nicht durch Selbsteinschätzung, sondern durch das Überschreiten sektorspezifischer Schwellenwerte. Wer beispielsweise Anlagen zur Trinkwasserversorgung für mehr als 500.000 Menschen betreibt oder Rechenzentrumskapazitäten ab einem definierten Schwellenwert vorhält, gilt als KRITIS-Betreiber kraft Verordnung. Mit dieser Eigenschaft greifen Pflichten zur Registrierung beim BSI, zur Benennung einer Kontaktstelle, zur Umsetzung angemessener organisatorischer und technischer Vorkehrungen nach dem Stand der Technik sowie zur Meldung erheblicher IT-Störungen innerhalb enger Fristen.
Seit 2023 ergänzt NIS2 die nationale KRITIS-Architektur auf europäischer Ebene. NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen und erweitert den Anwendungsbereich erheblich. Für KRITIS-Betreiber bedeutet das eine kumulative Pflichtenschicht: BSIG und BSI-KritisV national, NIS2-Umsetzungsgesetz europäisch, dazu sektorspezifische Aufsichtsregime wie das Energiewirtschaftsgesetz, das Telekommunikationsgesetz oder die Regulierung der Deutschen Bundesbank für Finanzinfrastruktur. Wer eine Sondersituation in einem dieser Sektoren erwirbt, erwirbt alle drei Schichten gleichzeitig.
Abgrenzung
KRITIS ist kein pauschales Sicherheitslabel für technologieintensive Unternehmen. Ein Softwarehaus, das Verwaltungssoftware für Kommunen entwickelt, ist nicht automatisch KRITIS-Betreiber. Ein Maschinenbauer, der Steuerungskomponenten an Energieversorger liefert, ist nicht selbst KRITIS-Betreiber, auch wenn seine Produkte in kritischen Anlagen eingesetzt werden. Die Betreiber-Eigenschaft trifft den, der die Anlage oder das System selbst betreibt. Die Lieferkette ist davon grundsätzlich zu trennen, auch wenn NIS2 und der Cyber Resilience Act die Lieferkettenperspektive zunehmend schärfen.
KRITIS ist auch keine Exportkontrollkategorie. Dual-Use-Klassifizierungen nach der EU-Dual-Use-Verordnung, ITAR-Erfassungen oder Wassenaar-Kategorien entstehen unabhängig von der KRITIS-Betreiber-Eigenschaft und nach eigenen Logiken. Eine Komponente kann KRITIS-relevant und gleichzeitig dual-use-kontrolliert sein. Sie kann aber auch KRITIS-relevant sein, ohne einer Exportkontrolle zu unterliegen, oder exportkontrolliert sein, ohne KRITIS-Relevanz zu erzeugen. In zeitkritischen Sondersituationen ist diese Trennung früh zu klären, weil beide Pfade unterschiedliche Genehmigungsverfahren mit unterschiedlichen Fristen auslösen.
Praxis
In einer Transaktion mit KRITIS-Relevanz entstehen bis zu vier parallele Pflichtenpfade, die vor oder unmittelbar nach Closing zu bedienen sind. Erstens die BSI-Registrierung des neuen Betreibers, gegebenenfalls Neumeldung bei Eigentümerwechsel. Zweitens die Überprüfung bestehender Sicherheitskonzepte auf Konformität mit dem Stand der Technik, in der Praxis oft nach IEC 62443, ISO 27001 oder branchenspezifischen Standards wie B3S. Drittens das Investitionskontrollverfahren nach AWG und AWV, weil KRITIS-relevante Sektoren zur sektorspezifischen Prüfung führen und das Bundesministerium für Wirtschaft und Klimaschutz Erwerbsvorgänge durch Investoren außerhalb der EU und EFTA ab einer Beteiligungsschwelle von 10 Prozent prüfen kann. Viertens bei Defense-Tech-Komponenten oder israelischen Akquisitionen die sektorspezifischen Exportkontrollverfahren.
Die Differenz zwischen formaler und tatsächlicher Compliance ist in KRITIS-Erwerbungen der häufigste Wertverlustpfad. Ein Unternehmen kann formal alle Nachweise beim BSI eingereicht haben und intern dennoch eine Sicherheitsarchitektur betreiben, die den Anforderungen nicht trägt. Nach 18 Monaten verfallen Anwenderzertifikate. Kunden aus dem KRITIS-Umfeld kündigen oder verlängern nicht. Der Marktzugang erodiert, ohne dass der Erwerber dies im Closing antizipiert hat. Deswegen verlangt die technische Due Diligence in KRITIS-relevanten Transaktionen mehr als eine Dokumentenprüfung. Sie verlangt operative Einschätzung durch Personen, die diese Systeme selbst betrieben haben. Bei einem Asset Deal aus der Insolvenz kommt hinzu, dass Zertifizierungen nicht automatisch übergehen. Die Neubeantragung kann Monate dauern und den operativen Betrieb unterbrechen.
In der Praxis von Cross-Border-Transaktionen mit deutschen KRITIS-Komponenten sind AWG-Prüfverfahren regelmäßig der zeitkritischste Pfad. Das BMWK hat nach Eingang einer vollständigen Meldung zunächst zwei Monate für eine Vorprüfung, danach vier Monate für die Hauptprüfung. Bei sektorspezifischer Prüfung können weitere Verlängerungen folgen. Wer das AWG-Verfahren nicht in die Closing-Planung einbaut, riskiert ein Closing, das auf eine laufende Behördenprüfung trifft und nicht vollzogen werden kann. Bei einem typischen Transaktionsfenster von drei bis fünf Monaten bedeutet das: das AWG-Filing gehört zu den ersten Handlungen nach dem indikativen Angebot, nicht zu den letzten vor dem Closing.
Häufige Fragen
Wie erkenne ich in einer Sondersituation, ob KRITIS-Relevanz vorliegt? Die BSI-KritisV enthält sektorspezifische Anhänge mit konkreten Schwellenwerten. Entscheidend ist, welche Anlage oder welches System tatsächlich betrieben wird und ob der Schwellenwert überschritten ist. In der Praxis ist die erste Sichtung durch einen auf Regulatorik spezialisierten Co-Counsel innerhalb von 24 bis 48 Stunden möglich. Bei Distressed-M&A-Transaktionen gehört diese Sichtung in die Eingangsroutine der ersten 72 Stunden, weil sie die Transaktionsstruktur grundlegend beeinflusst.
Was passiert mit KRITIS-Pflichten bei einem Insolvenzverfahren? Die Betreiber-Pflichten nach BSIG laufen während eines Insolvenzverfahrens weiter. Der Insolvenzverwalter übernimmt als Partei kraft Amtes auch die regulatorischen Pflichten des Betreibers. Für den Erwerber bedeutet das: Pflichten, die während des Verfahrens aufgelaufen sind, können über Haftungsklauseln in die Transaktion hineinstrahlen. Im übertragenden Sanierungsverfahren ist deswegen eine saubere Abgrenzung zwischen Altverbindlichkeiten und Erwerberhaftung vertraglich zu fixieren.
Beeinflusst die KRITIS-Eigenschaft die Vehikelarchitektur? Ja. Eine ausländische Holding als unmittelbarer Betreiber einer KRITIS-Anlage kann Investitionskontrollverfahren mit längeren Prüfpfaden auslösen. Eine deutsche GmbH als operative Ebene mit ausländischer Plattformholding ist in vielen Konfigurationen regulatorisch robuster als eine direkte ausländische Betreiberstruktur. Die Vehikelwahl ist hier keine Steueroptimierungsfrage allein, sondern eine regulatorische Architekturfrage. Details zur Vehikelstrukturierung unter verschiedenen Erwerbskonstellationen finden sich im Beitrag zu Transaktionsstrukturierung im Unternehmenskauf.
Was unterscheidet NIS2 von KRITIS? KRITIS bezeichnet die nationaldeutsche Betreiberklassifizierung nach BSI-KritisV. NIS2 ist die europäische Richtlinie zur Netz- und Informationssicherheit, die in deutsches Recht umgesetzt wird und einen erheblich weiteren Adressatenkreis erfasst als KRITIS allein. NIS2 kennt wesentliche und wichtige Einrichtungen und knüpft an Unternehmensgröße und Sektorzugehörigkeit an, nicht nur an anlagenbezogene Schwellenwerte. Für einen Erwerber bedeutet das: Auch ein Unternehmen unterhalb der KRITIS-Schwellenwerte kann NIS2-pflichtig sein. Beide Regime sind für die Transaktionsplanung getrennt zu prüfen.
Wie lange dauern BSI-Registrierung und AWG-Verfahren nach einem Eigentümerwechsel? Die BSI-Registrierung als neuer Betreiber ist vergleichsweise schnell, typischerweise in wenigen Wochen abgeschlossen, sofern die Unterlagen vollständig sind. Das AWG-Investitionskontrollverfahren dauert je nach Tiefe der Prüfung zwei bis neun Monate. Bei der Planung eines StaRUG-Verfahrens oder eines vorinsolvenzlichen Erwerbs ist diese Fristdifferenz entscheidend: Das AWG-Filing muss als kritischer Pfad in der Closing-Sequenz behandelt werden.
Verwandte Begriffe
KRITIS ist keine Compliance-Schicht. KRITIS ist eine Betreiberverantwortung, die mit dem Closing in die Plattform einzieht.