KRITIS-Akquisition. Die Schicht, die jeden Deal länger macht.
```htmlWer ein KRITIS-relevantes Unternehmen erwirbt, erwirbt nicht nur Substanz. Er erwirbt eine Compliance-Architektur, die vor dem Closing unvollständig ist, im Closing unter Zeitdruck steht, und nach dem Closing operativ getragen werden muss. Diese Architektur ist nicht dekorativ. Sie entscheidet, ob der Plattformwert realisiert wird, oder ob er in regulatorischen Nacharbeiten versinkt.
Was KRITIS in der Akquisitionspraxis tatsächlich bedeutet
Kritische Infrastruktur ist kein einheitlicher Begriff. Er überlagert sich in Deutschland mit dem BSI-Gesetz, der KRITIS-Verordnung, dem neuen KRITIS-Dachgesetz, und europaweit mit der NIS-2-Richtlinie. Diese Überlagerung ist keine Redundanz. Sie erzeugt parallele Pflichten, die jeweils eigene Meldewege, eigene Prüfzyklen, eigene Betreiberpflichten verlangen, ohne dass die eine die andere ersetzt.
Für einen Erwerber bedeutet das: Wer ein Unternehmen in den Sektoren Energie, Wasser, Transport, Gesundheit, Digitale Infrastruktur oder Rüstungstechnologie erwirbt, erwirbt zugleich die laufenden BSI-Meldepflichten, die NIS-2-Nachweispflichten, die sektorspezifischen Aufsichtsanforderungen und, in vielen Fällen, offene Auditdefizite, die der Vorbesitzer nicht geschlossen hat. Diese Defizite gehen mit über. In einem Share Deal vollständig. In einem Asset Deal, sofern die betriebliche Substanz übertragen wird, in weiten Teilen ebenfalls.
Wer diese Schicht vor dem Closing nicht versteht, versteht die Transaktion nicht. Die Bewertungsfrage und die Compliance-Frage sind bei KRITIS-Targets keine getrennten Arbeitsstränge. Sie sind dieselbe Frage, aus zwei Perspektiven gestellt.
Die Due-Diligence-Schicht, die Käufer regelmäßig unterschätzen
Eine strukturierte Due Diligence in einer Sondersituation läuft über vier parallele Spuren: technisch, finanziell, juristisch, operativ. Bei KRITIS-relevanten Targets tritt in jede dieser Spuren eine zusätzliche Compliance-Dimension ein. Sie verändert den Aufwand. Sie verändert die Dauer. Sie verändert, was das Investitionskomitee am Ende bewerten muss.
Auf der technischen Spur reicht eine Code-Inspektion und ein Architektur-Review nicht aus. Hinzu kommen Penetration Testing der Produktoberfläche, Auditierung der Build-Pipeline auf Kompromittierungsrisiken, Überprüfung bekannter Schwachstellen in der eingesetzten Komponentenbasis und Bewertung der Lieferkette auf mögliche Fremdeinflüsse. Diese Prüfung wird nicht durch Berater mit Checklisten abgewickelt. Sie verlangt Engineering-Praktiker, die den Stack selbst lesen können, und Security-Spezialisten, die die Angriffsfläche aus Sicht eines tatsächlichen Angreifers bewerten.
Auf der juristischen Spur kommen die FDI-Regime hinzu. Das deutsche Außenwirtschaftsgesetz kennt eine sektorübergreifende und eine sektorspezifische Prüfung. Bei KRITIS-nahen Targets greift die sektorspezifische Prüfung mit niedrigeren Schwellenwerten und engeren Fristen. Eine unvorbereitete Transaktion kann das AWG-Verfahren in eine Verzögerung von drei bis neun Monaten treiben. Eine vorbereitete Transaktion antizipiert das Verfahren in der Closing-Planung und koordiniert es mit den übrigen Genehmigungssträngen.
Die Differenz zwischen formaler und tatsächlicher Compliance
Der entscheidende Befund in jeder KRITIS-Due-Diligence ist nicht die Frage, ob das Target formal ausgewiesene Zertifikate hält. Die entscheidende Frage ist, ob diese Zertifikate intern tragfähig betrieben werden. Ein Unternehmen kann NIS-2-konform zertifiziert sein und gleichzeitig eine Sicherheitsarchitektur betreiben, die in der Realität keinem der Anforderungen standhält. Diese Differenz, zwischen formaler und tatsächlicher Compliance, ist im Transaktionsalltag oft der kritische Befund. Wer sie nicht sieht, übernimmt ein Compliance-Risiko, das sich achtzehn Monate nach Closing materialisiert, wenn Anwenderzertifikate verfallen und Kundenzugänge wegbrechen.
Mehr zu den Implikationen dieser Differenz für Investoren, die institutionelles Kapital in regulierte Technologieplattformen einbringen, findet sich in der Perspektive zu NIS-2 Compliance für Investoren.
BSI-Meldewege nach dem Closing
Das BSI-Gesetz verpflichtet Betreiber kritischer Infrastrukturen zu einer Meldung erheblicher Sicherheitsvorfälle innerhalb definierter Fristen. Diese Pflicht endet nicht mit dem Eigentümerwechsel. Sie geht auf den neuen Betreiber über, ab dem ersten Tag nach Closing. Wer am Tag des Closings keine eingerichtete Meldestelle, keine definierten Eskalationspfade und kein funktionsfähiges Incident-Response-Protokoll betreibt, ist ab diesem Tag in einer regulatorischen Lücke.
Diese Lücke ist kein theoretisches Risiko. KRITIS-Betreiber stehen unter aktiver Beobachtung durch das BSI. Prüfungen nach dem Eigentümerwechsel sind keine Seltenheit. Ein Erwerber, der in den ersten neunzig Tagen nach Closing einen meldepflichtigen Vorfall hat und keine Meldestruktur betreibt, riskiert Bußgelder und, schwerwiegender, behördliche Auflagen, die den Betrieb einschränken.
Die Vorbereitung dieser Strukturen beginnt vor dem Closing. Nicht danach. In den neunzig Tagen nach Closing liegt die Priorität auf Stabilisierung, nicht auf Aufbau regulatorischer Grundinfrastruktur. Was nach dem Closing aufgebaut werden muss, gehört in den Integrationsplan, der vor dem Closing beschlossen wird.
NIS-2 und die Schnittmenge mit KRITIS
NIS-2 und KRITIS sind nicht deckungsgleich. NIS-2 erfasst einen breiteren Kreis von Einrichtungen und unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen, mit unterschiedlichen Pflichtenhorizonten. Eine Akquisition, die nach KRITIS-Kategorisierung unterhalb des Schwellenwerts bleibt, kann dennoch unter NIS-2 als wesentliche Einrichtung eingestuft werden, mit entsprechenden Anforderungen an Risikomanagement, Meldepflichten und Lieferkettensicherheit.
Diese Schnittmenge erzeugt eine Prüfpflicht, die beide Regime gleichzeitig abdecken muss. Wer nur KRITIS prüft und NIS-2 als europäische Parallelregelung behandelt, die das deutsche Recht ohnehin umsetzt, übersieht, dass die deutsche NIS-2-Umsetzung eigene Erweiterungen mit sich bringt und sektorspezifische Anforderungen schärfer fasst als die Richtlinie selbst.
Für Erwerber mit Plattformambition bedeutet das: Die Compliance-Architektur einer Plattform, die über mehrere Akquisitionen wächst, muss NIS-2 als Querschnittsthema behandeln. Jede neue Komponente, die in die Plattform eingebracht wird, wird auf ihre NIS-2-Relevanz geprüft. Nicht als Nacharbeit. Als Bestandteil der Investitionsthese. Die weiterführende Analyse dazu, wie institutionelle Investoren diese Anforderungen in ihre eigenen Prüfprozesse integrieren, bietet die Perspektive zu Private Equity in kritischer Infrastruktur.
Penetration Testing und Build-Pipeline-Auditierung als Transaktionsinstrumente
Penetration Testing hat in der KRITIS-Akquisition eine andere Funktion als in der laufenden Betriebssicherheit. Im Transaktionskontext ist es kein periodisches Audit. Es ist ein Bewertungsinstrument. Es zeigt, welcher Teil der übernommenen Angriffsfläche beherrschbar ist, welcher Teil unmittelbarer Sanierung bedarf, und welcher Teil systemische Schwächen trägt, die den Plattformwert belasten.
Ein Penetration Test, der im Rahmen der Due Diligence durchgeführt wird, muss anders ausgewertet werden als ein reguläres BSI-Audit. Die Auswertung fokussiert auf Kritikalität für den Plattformbetrieb, auf Remediation-Aufwand in Personenstunden und Infrastrukturkosten, und auf die Frage, welche Befunde vertraglich als Warranties oder Indemnities abzusichern sind.
Build-Pipeline-Kompromittierung als unterschätzte Risikodimension
Die Build-Pipeline ist eine Angriffsfläche, die in klassischen M&A-Prüfungen selten gesehen wird. Bei KRITIS-relevanter Software ist sie eine der kritischsten. Eine kompromittierte Build-Pipeline bedeutet, dass jedes Software-Update, das das Target an seine Kunden ausliefert, potenziell manipulierte Artefakte enthält. Die SolarWinds-Kompromittierung hat diese Risikodimension sichtbar gemacht. Seitdem ist die Überprüfung von Build-Pipelines auf Integrität, auf signierte Artefakte, auf isolierte Build-Umgebungen, ein eigenständiger Prüfpunkt in jeder seriösen KRITIS-Due-Diligence.
Wer diese Prüfung nicht in die technische Spur aufnimmt, übergibt eine potenziell kompromittierte Lieferkette in die eigene Plattform. Die Korrektur nach Closing ist aufwendig, zeitintensiv und teuer. Die Prüfung vor Closing kostet einen Bruchteil davon.
Die Vehikel-Frage bei KRITIS-Transaktionen
Die Wahl der Erwerbsvehikel ist bei KRITIS-Transaktionen keine rein steuerliche Frage. Sie ist eine regulatorische. Eine Plattformholding mit Sitz außerhalb Deutschlands, die mittelbar Einfluss auf eine KRITIS-relevante deutsche Gesellschaft ausübt, löst AWG-Prüfpflichten aus. Eine Beteiligungsstruktur mit Investoren aus nicht-EU-Staaten, die als potenzielle Drittstaaten-Erwerber klassifiziert werden, kann CFIUS-analoge Prüfungen im deutschen Regime auslösen.
Wer die Vehikel-Architektur ohne Kenntnis dieser regulatorischen Implikationen konstruiert, baut eine Struktur, die im Genehmigungsverfahren Fragen erzeugt, die das Closing verzögern. Eine durchdachte Struktur antizipiert die regulatorische Profilierung und baut das Vehikel so, dass die Prüfpflichten nicht ausgelöst werden, oder, wo sie unvermeidbar sind, im Zeitplan der Transaktion eingeplant und koordiniert laufen.
Diese Konstruktionsarbeit ist Teil dessen, was wir unter Plattformlogik verstehen: Die Vehikel-Architektur folgt nicht dem Steuerziel allein. Sie folgt dem Gesamtbild der Transaktion, einschließlich ihrer regulatorischen Dimension.
Sondersituationen und KRITIS, eine besondere Kombination
KRITIS-relevante Unternehmen in Sondersituationen sind eine eigene Klasse von Akquisitionsmandaten. Sie verbinden die zeitliche Enge einer Sondersituation, in der Transaktionsfenster von wenigen Wochen entscheiden, mit der regulatorischen Breite einer KRITIS-Compliance, die Monate Vorlaufzeit verlangt. Diese Kombination erzeugt einen strukturellen Widerspruch, der nur durch Vorbereitung aufgelöst werden kann.
Ein Distressed M&A-Prozess mit KRITIS-Bezug verlangt, dass die regulatorischen Voranfragen, die FDI-Filings, die BSI-Kommunikation und die NIS-2-Nachweispflichten nicht sequenziell nach dem Transaktionsentscheid vorbereitet werden, sondern parallel zur Due Diligence. Wer diese Parallelisierung nicht beherrscht, verliert Zeit. In einer Sondersituation ist Zeit oft das einzige, was nicht rückgewinnbar ist.
Der Erwerber, der in dieser Klasse von Mandaten wirkt, braucht keine generalistische M&A-Kompetenz. Er braucht eine Triangulation aus Workout-Erfahrung, operativer Digitalisierungstiefe und institutioneller Banken-Praxis, kombiniert mit einem Co-Counsel-Netzwerk, das in den relevanten Jurisdiktionen erprobt ist. Alles andere ist Improvisation. Die Analyse der breiteren strategischen Dimension, warum technologische Souveränität und KRITIS-Investitionen zusammengehören, liefert die Perspektive zu Deep-Tech-Souveränität.
Was Käufer konkret erwartet
Eine KRITIS-Akquisition dauert länger als eine vergleichbare Transaktion ohne regulatorischen Bezug. Das ist keine These. Das ist eine strukturelle Tatsache. Zwischen zwei und sechs zusätzliche Wochen Due-Diligence-Aufwand für die Sicherheits- und Compliance-Spur. Zwischen drei und neun Monate für regulatorische Genehmigungsverfahren, die parallel zum Transaktionsprozess laufen müssen. Zwischen sechzig und hundertzwanzig Tage Integrationsaufwand allein für die BSI-Meldearchitektur und die NIS-2-Nachweisstrukturen nach Closing.
Wer diese Zeitdimensionen in der Bewertung nicht einpreist, hat eine falsche Bewertung. Wer sie einpreist, aber nicht operativ antizipiert, hat eine richtige Zahl und einen falschen Plan. Wer beides richtig hat, kauft. Wer einen dieser beiden Punkte verfehlt, verliert Wert, meistens ohne es sofort zu bemerken.
Das ist die Schicht, die jeden KRITIS-Deal länger macht. Nicht komplizierter als nötig. Aber so komplex, wie er ist.
Compliance ist nicht eine Bremszone. Sie ist die Spurführung. Wer sie kennt, fährt schneller.
```