KRITIS-Checkliste für Mittelständler: Umsetzungshilfe mit PDF

by | Juni 11, 2025 | Analysen

kritis anforderungen

Die staatliche Regulierung für den Schutz kritischer Infrastrukturen (KRITIS) setzt zunehmend auch mittelständische Unternehmen unter Druck. Wer die vom Staat vorgeschriebenen Vorgaben nicht umsetzt, riskiert schwere Strafen. Unser Blogartikel zeigt Ihnen, was zu beachten ist und gibt Ihnen eine Checkliste für die Umsetzung an die Hand.

 

Warum ist KRITIS für den Mittelstand jetzt relevant?

Mit der Umsetzung der NIS2-Richtlinie und dem neuen KRITIS-Dachgesetz ab 2025 rücken auch viele mittelständische Unternehmen in den Fokus der Regulierung für kritische Infrastrukturen (KRITIS). Die Anforderungen betreffen nicht mehr nur große Konzerne, sondern explizit auch mittlere Unternehmen, die in besonders wichtigen oder wichtigen Sektoren tätig sind. Dazu zählen Branchen wie Energie, Wasser, Gesundheit, Transport, digitale Infrastruktur, Finanzwesen, Ernährung, Entsorgung und viele mehr.

 

Wer ist betroffen?

Laut NIS2 und KRITIS-Dachgesetz gelten Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro als potenziell betroffen – insbesondere, wenn sie in den genannten Sektoren tätig sind. Auch Unternehmen, die Schwellenwerte bei kritischen Dienstleistungen überschreiten, werden als KRITIS-Betreiber eingestuft (https://www.openkritis.de/it-sicherheitsgesetz/kritis-sektoren.html).

 

Die wichtigsten KRITIS-Anforderungen für Mittelständler

1. Verantwortlichkeiten festlegen

  • Benennen Sie einen Sicherheitsbeauftragten für Informationssicherheit und KRITIS-Themen.

  • Definieren Sie klare Zuständigkeiten und etablieren Sie ein Notfallmanagement.

2. Risiko- und Vorfallmanagement aufbauen

  • Führen Sie eine Risikoanalyse durch, um Schwachstellen zu identifizieren.

  • Entwickeln Sie ein Vorfallmanagement zur schnellen Reaktion auf IT-Sicherheitsvorfälle.

3. Informationssicherheitsmanagementsystem (ISMS) implementieren

  • Setzen Sie ein ISMS nach etablierten Standards (z.B. ISO 27001) auf.

  • Dokumentieren Sie Prozesse, Verantwortlichkeiten und Maßnahmen zur IT-Sicherheit.

4. Meldepflichten erfüllen

  • Melden Sie sicherheitsrelevante Ereignisse und IT-Sicherheitsvorfälle unverzüglich an die zuständigen Behörden (z.B. BSI).

  • Halten Sie sich an die vorgeschriebenen Berichtspflichten und Auditintervalle.

5. Sensibilisierung und Schulung

  • Schulen Sie Mitarbeitende regelmäßig zu KRITIS-Anforderungen und IT-Sicherheit.

  • Fördern Sie eine Sicherheitskultur im Unternehmen.

6. Technische und organisatorische Maßnahmen

  • Aktualisieren Sie Ihre IT-Infrastruktur (Firewalls, Virenschutz, Zugriffsmanagement).

  • Führen Sie regelmäßige Backups und Notfallübungen durch.

 

Umsetzungshilfe: KRITIS-Checkliste als PDF

Viele Unternehmen suchen nach einer kompakten und praxisnahen Checkliste, um die KRITIS-Anforderungen effizient umzusetzen. Solche Checklisten bieten eine strukturierte Übersicht aller To-dos und können als PDF heruntergeladen werden, um intern verteilt oder als Nachweis für Audits genutzt zu werden. Eine gute Checkliste sollte folgende Punkte enthalten (unsere für Sie erstellte Checkliste finden Sie weiter unten):

  • Prüfen der Betroffenheit (Sektor, Größe, Umsatz)

  • Verantwortlichkeiten und Sicherheitsbeauftragte benennen

  • Risikoanalyse und Schwachstellenbewertung durchführen

  • ISMS einführen und dokumentieren

  • Meldepflichten und Berichtswege festlegen

  • Technische Schutzmaßnahmen umsetzen

  • Mitarbeiterschulungen planen und durchführen

  • Notfall- und Wiederherstellungspläne erstellen

  • Regelmäßige Überprüfung und Weiterentwicklung der Maßnahmen

Tipp: Nutzen Sie bestehende Vorlagen und Checklisten, wie sie von spezialisierten Beratungsunternehmen oder Branchenverbänden als PDF angeboten werden. Diese sind oft direkt auf die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten und erleichtern die Umsetzung erheblich.

Unsere für Sie erstellte Checkliste finden Sie hier zum Download.

—–> KRITIS Checkliste herunterladen

 

Fazit: Jetzt handeln und KRITIS-Compliance sichern

Die neuen KRITIS-Anforderungen sind für viele Mittelständler ab 2025 verbindlich. Wer jetzt strukturiert mit unserer Checkliste das wichtige Thema KRITIS angeht, minimiert Risiken, erfüllt gesetzliche Vorgaben und stärkt die Resilienz des eigenen Unternehmens.

Handeln Sie jetzt und sichern Sie sich Ihre KRITIS-Checkliste als PDF – für mehr Sicherheit und Zukunftsfähigkeit im Mittelstand!
Jens

Dr. Jens Bölscher ist studierter Betriebswirt mit Schwerpunkt Wirtschaftsinformatik. Er promovierte im Jahr 2000 zum Thema Electronic Commerce in der Versicherungswirtschaft und hat zahlreiche Bücher und Fachbeiträge veröffentlicht. Er war langjährig in verschiedenen Positionen tätig, zuletzt 14 Jahre als Geschäftsführer. Seine besonderen Interessen sind Innovationen im IT Bereich.