nt-voip
Gruppe_THINK-Network_weiss-1
nt-webmail

Dienstagmorgen, 7:42 Uhr in den Geschäftsräumen Netzstrom AG. Die Netzleitstelle meldet eine Störung, erste Systeme reagieren verzögert, und intern ist schnell klar: Das ist kein Routinefall. Während das Technik-Team bereits an der Ursachenanalyse arbeitet, stellt sich die Geschäftsführung der Netzstrom AG eine ganz andere Frage: Müssen wir das melden und wenn ja, wem, wann und wie?

Genau an diesem Punkt unseres fiktiven Falls der Netzstrom AG greifen die neuen Vorgaben der KRITIS-Verordnung. Denn mit den aktuellen gesetzlichen Änderungen sind die Anforderungen an Betreiber kritischer Infrastrukturen deutlich konkreter, verbindlicher und zeitkritischer geworden, insbesondere bei der Meldepflicht gegenüber Behörden.

In diesem Blog-Artikel zeigen wir, was die neue KRITIS-Verordnung mit der Umsetzung der NIS-2-Richtlinie am 6. Dezember 2025 rechtlich bedeutet, welche Meldepflichten jetzt gelten und wie Unternehmen im Ernstfall richtig reagieren. Anhand eines fiktiven Praxisbeispiels verdeutlichen wir, welche Schritte erforderlich sind und welche Fehler vermieden werden sollten.

Keyfacts: Die neue KRITIS-Verordnung & Meldepflicht auf einen Blick

  • Die KRITIS-Verordnung gilt seit 2016, wird aber durch die Umsetzung der NIS-2-Richtlinie zum 6. Dezember 2025 deutlich erweitert und verschärft.
  • Meldepflichten sind zeitkritisch: Erhebliche Störungen müssen unverzüglich an das BSI gemeldet werden, auch ohne vollständige Ursachenanalyse.
  • Inhalt und Fristen der Meldungen sind klar definiert, von der Erstmeldung bis zum detaillierten Folgebericht.
  • Vorbereitung ist entscheidend: Klare Prozesse, Zuständigkeiten und Meldewege reduzieren Risiken im Ernstfall erheblich.

Seit wann die KRITIS-Verordnung gilt – und was jetzt neu ist

Die KRITIS-Verordnung ist in Deutschland keine völlig neue Regelung. Die sogenannte BSI-Kritisverordnung (BSI-KritisV) ist bereits am 3. Mai 2016 in Kraft getreten und legt fest, welche Anlagen und Unternehmen als Kritische Infrastrukturen gelten und ab welchen Schwellenwerten Betreiber besonderen Pflichten unterliegen. Dazu zählt unter anderem auch die Pflicht, erhebliche Störungen und Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Warum wird aktuell dennoch häufig von einer „neuen“ KRITIS-Verordnung gesprochen? Der Grund liegt in den umfangreichen gesetzlichen Weiterentwicklungen der letzten Jahre. Mit der Umsetzung der europäischen NIS-2-Richtlinie am 6.Dezember 2025 in nationales Recht sowie dem geplanten KRITIS-Dachgesetz werden die bestehenden Anforderungen deutlich erweitert und verschärft.

Mit der neuen KRITIS-Regulierung gelten folgende zentrale Neuerungen im Meldeprozess:

  • Unmittelbare Meldung bei erheblichen Störungen: KRITIS-Betreiber müssen Vorfälle, die die Versorgungssicherheit erheblich beeinträchtigen könnten, sofort nach Bekanntwerden melden, z.B. IT-Ausfall, Großstörungen oder physische Angriffe.
  • Klare Fristen & Inhalte: Die Meldepflicht umfasst sowohl erste Kurzmeldungen als auch detaillierte Folgeberichte in festgelegten Fristen, z.B. 24 Stunden für Erstmeldung und später ergänzende Informationen.
  • Zentrale Meldestelle: Meldungen erfolgen über die Meldestelle des BSI, die als zentrale Anlaufstelle dient und gegebenenfalls weitere Behörden informiert: https://mip2.bsi.bund.de/de/

Wie die Meldepflicht im Idealfall aussehen sollte, zeigt das nachfolgende Praxisbeispiel der fiktiven Netzstrom AG.

Praxisbeispiel – Fiktiver Fall der Netzstrom AG

Die Ausgangslage: Die Netzstrom AG betreibt ein regionales Stromverteilnetz in Süddeutschland und versorgt täglich mehr als 600.000 Haushalte und Unternehmen mit elektrischer Energie. Als Betreiber einer kritischen Energieinfrastruktur fällt das Unternehmen eindeutig unter die Vorgaben der KRITIS-Regulierung und ist damit verpflichtet, erhebliche Störungen und Sicherheitsvorfälle gegenüber den zuständigen Behörden zu melden. Laut BSI-Gesetz und BSI-Kritisverordnung ist die Netzstrom AG zu einer unverzüglichen Meldung verpflichtet, sobald die Versorgungssicherheit beeinträchtigt sein könnte.

Der Zwischenfall: An einem Dienstagmorgen kommt es zu einem unerwarteten IT-Systemausfall innerhalb der zentralen Leitsystem-Plattform. Mehrere Steuerungs- und Überwachungskomponenten reagieren nicht mehr wie vorgesehen, automatisierte Prozesse greifen verzögert oder fallen vollständig aus. In der Folge wird der Netzbetrieb instabil: Lastflüsse können nicht mehr zuverlässig geregelt werden, und in einzelnen Regionen treten kurzfristige Stromausfälle auf. Während das IT-Team bereits mit Hochdruck an der Fehleranalyse und Wiederherstellung arbeitet, wird schnell klar: Es handelt sich nicht um eine gewöhnliche Betriebsstörung. Aufgrund der möglichen Auswirkungen auf die Energieversorgung überschreitet der Vorfall die interne Relevanzschwelle – und wird damit meldepflichtig im Sinne der KRITIS-Vorgaben.

So läuft die KRITIS-Meldung in der Praxis ab

Wie die Meldung für die Netzstrom AG nun reibungslos ablaufen sollte, zeigt der folgende die folgende Schritt-für-Schritt-Anleitung.

 Schritt 1: Vorfall erkennen und bewerten – Unmittelbar nach dem Ausfall der Leitsystem-Plattform analysiert das interne IT-Team die Lage. Schnell wird deutlich: Der Vorfall betrifft nicht nur interne Systeme, sondern hat bereits konkrete Auswirkungen auf die Stabilität des Stromnetzes. Da die sichere Energieversorgung als kritischer Dienst eingestuft ist, wird der Zwischenfall als erheblich bewertet. Damit greift die KRITIS-Regelung: Sobald eine Störung die Verfügbarkeit oder Sicherheit eines kritischen Dienstes beeinträchtigen kann, ist sie grundsätzlich meldepflichtig – und zwar auch dann, wenn die Ursachen noch nicht vollständig geklärt sind.

Schritt 2: Interne Eskalation und Entscheidung zur Meldung – Die IT-Leitung informiert umgehend die Geschäftsführung sowie den Informationssicherheitsbeauftragten. Auf Basis der vorliegenden Informationen wird entschieden, den Vorfall als meldepflichtig einzustufen. Diese Entscheidung erfolgt bewusst frühzeitig und nicht erst nach Abschluss der technischen Analyse. Genau hier zeigt sich der Unterschied zwischen gut vorbereiteten und unvorbereiteten Organisationen: Die Netzstrom AG verfügt über klare Eskalations- und Entscheidungswege, sodass keine Zeit durch Unsicherheit oder Abstimmungen verloren geht.

Schritt 3: Erstmeldung an die zuständige Behörde – Innerhalb weniger Stunden nach Bekanntwerden des Vorfalls erfolgt die Erstmeldung an die zuständige KRITIS-Meldestelle. Diese Kurzmeldung enthält ausschließlich die zum Zeitpunkt bekannten, belastbaren Informationen:

  • Zeitpunkt und Art des Vorfalls
  • betroffener kritischer Dienst (Stromversorgung)
  • erste Einschätzung der Auswirkungen
  • eingeleitete Sofortmaßnahmen zur Stabilisierung

Wichtig: Zu diesem Zeitpunkt wird keine vollständige Ursachenanalyse erwartet. Entscheidend ist, dass die Behörden frühzeitig informiert sind, um mögliche übergreifende Risiken bewerten zu können.

Schritt 4: Technische Analyse und Störungsbehebung – Parallel zur Behördenmeldung arbeitet das IT-Team weiter an der Ursachenanalyse und Wiederherstellung des Netzbetriebs. Nach mehreren Stunden kann der Regelbetrieb vollständig stabilisiert werden. Der Auslöser – ein Zusammenspiel aus Softwarefehler und fehlerhafter Systemkonfiguration – wird identifiziert und behoben. Alle relevanten Erkenntnisse werden intern dokumentiert, da sie später Bestandteil der Folgemeldung sind.

Schritt 5: Detaillierter Folgebericht – Nach Abschluss der technischen Analyse erstellt die Netzstrom AG innerhalb der vorgesehenen Frist einen detaillierten Bericht für die Behörde. Dieser enthält unter anderem:

  • die technische Ursache des Vorfalls
  • eine Chronologie der Ereignisse
  • das tatsächliche Ausmaß der Versorgungsbeeinträchtigung
  • getroffene Abwehr- und Wiederherstellungsmaßnahmen
  • geplante Maßnahmen zur Prävention zukünftiger Vorfälle

Dieser Bericht dient nicht nur der formalen Erfüllung der Meldepflicht, sondern auch als Grundlage für die behördliche Bewertung der Resilienz des Betreibers. 

Schritt 6: Nachbereitung und Compliance-Sicherung – Abschließend nutzt die Netzstrom AG den Vorfall zur internen Nachbereitung. Prozesse werden überprüft, technische Schutzmaßnahmen angepasst und das Risikomanagement aktualisiert. Die vollständige Dokumentation wird revisionssicher abgelegt, etwa für spätere Prüfungen durch das BSI oder im Rahmen von Audits.

Fazit

Der fiktive Fall der Netzstrom AG zeigt deutlich, worum es bei der neuen KRITIS-Regulierung im Kern geht: Zeit, Klarheit und Verantwortung. Die Meldepflicht bei Behörden ist längst kein reiner Verwaltungsakt mehr, sondern ein zentraler Bestandteil der betrieblichen Resilienz kritischer Infrastrukturen. Auch wenn die KRITIS-Verordnung bereits seit 2016 gilt, markieren die aktuellen Anpassungen im Zuge von NIS-2 und dem KRITIS-Dachgesetz einen regulatorischen Wendepunkt. Meldepflichten sind heute klarer definiert, strenger getaktet und betreffen deutlich mehr Betreiber als zuvor. Wer im Ernstfall zögert, abwartet oder unvorbereitet ist, riskiert nicht nur regulatorische Konsequenzen, sondern auch Vertrauensverluste gegenüber Aufsichtsbehörden, Partnern und der Öffentlichkeit. 

KRITIS-Meldepflicht sicher umsetzen – mit NETHINKS als erfahrenem Partner

Gleichzeitig zeigt das Praxisbeispiel: Unternehmen, die ihre Eskalationswege, Entscheidungsprozesse und Dokumentationspflichten frühzeitig festgelegt haben, gewinnen im Krisenfall wertvolle Zeit. Sie handeln strukturiert, rechtssicher und souverän, selbst unter hohem operativem Druck. Dabei lassen sich die Anforderungen der neuen KRITIS-Verordnung nicht „nebenbei“ erfüllen. Sie erfordern klare Prozesse, technische Expertise und Erfahrung im Umgang mit Behörden.

Als ISO 27001zertifizierter ITK-Dienstleister unterstützt NETHINKS Betreiber kritischer Infrastrukturen dabei, ihre Meldepflichten strukturiert, rechtssicher und praxisnah umzusetzen – von der Vorbereitung über den Ernstfall bis zur revisionssicheren Nachbereitung. Ob Aufbau klarer Eskalations- und Meldeprozesse, technische Absicherung oder Unterstützung im konkreten Vorfall: Unsere NETHINKS-Experten begleiten Sie entlang des gesamten KRITIS-Meldeprozesses.

FAQ: Häufige Fragen zur KRITIS-Meldepflicht

  1. Ab wann ist ein Vorfall nach der KRITIS-Verordnung meldepflichtig?
    Ein Vorfall ist meldepflichtig, sobald er die Verfügbarkeit, Integrität oder Sicherheit eines kritischen Dienstes erheblich beeinträchtigen kann. Dabei ist nicht entscheidend, ob die Ursache bereits vollständig bekannt ist. Maßgeblich ist die potenzielle Auswirkung auf die Versorgungssicherheit.
  1. An wen müssen KRITIS-Vorfälle gemeldet werden?
    Meldepflichtige Vorfälle sind an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das BSI fungiert als zentrale Meldestelle und koordiniert bei Bedarf die Weitergabe an weitere zuständige Behörden. 
  1. Was passiert, wenn eine KRITIS-Meldung zu spät oder gar nicht erfolgt?
    Verspätete oder unterlassene Meldungen können aufsichtsrechtliche Maßnahmen, Bußgelder und verschärfte Prüfungen nach sich ziehen. Zudem kann mangelnde Meldedisziplin das Vertrauen der Behörden nachhaltig beeinträchtigen.

So erreichen Sie uns auch gerne direkt:

0661 – 25 00 00
vertrieb@nethinks.com
linkedin.com/nethinks

Noch Fragen zu den Themen Network oder VoIP?

NT/DSL

Schnelles DSL für Ihr Unternehmen

mehr infos

NT/Voice

Maßgeschneiderte Telefonie-Lösungen

mehr infos

NT/
CONNECT

Die Lösung für alle Anforderungen

mehr infos

TK-Anlage/
Asterisk

Moderne Telefonie auf Open-Source-Basis

mehr infos
EU Efre Dekra

NETHINKS Newsletter