Die offizielle KRITIS Unternehmen Liste für 2026: Ein Sektor-Überblick

Die Sicherheit kritischer Infrastrukturen (KRITIS) ist ein zentrales Fundament für die Stabilität von Wirtschaft und Gesellschaft in Deutschland. Durch die NIS-2-Richtlinie und das kommende Umsetzungsgesetz wird der Kreis der regulierten Unternehmen drastisch erweitert. Organisationen, die bisher nicht als KRITIS-Betreiber galten, stehen nun vor der Herausforderung, strenge Cybersicherheitsmaßnahmen nachzuweisen und ihre Resilienz zu stärken. Viele Geschäftsführer und IT-Leiter fragen sich daher: Gehört unser Unternehmen dazu und was müssen wir jetzt tun?

Dieser Artikel liefert die Antwort in Form einer umfassenden kritis unternehmen liste, die nach den zehn zentralen Sektoren gegliedert ist. Wir gehen über eine reine Aufzählung hinaus und bieten Ihnen einen klaren, praxisorientierten Leitfaden. Sie erfahren, welche konkreten Unternehmensarten betroffen sind, welche rechtlichen Rahmenbedingungen durch die Bundesnetzagentur (BNetzA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) gelten und wie die Überwachung der Compliance erfolgt.

Unser Ziel ist es, Ihnen einen direkten Mehrwert zu bieten. Anstatt theoretischer Abhandlungen erhalten Sie eine detaillierte Übersicht mit Sektor-spezifischen Beispielen und konkreten Handlungsempfehlungen. Diese Liste dient als Ihr Fahrplan, um schnell zu identifizieren, ob Ihr Unternehmen betroffen ist, und um die ersten Schritte zur NIS-2-Compliance erfolgreich umzusetzen. Wir zeigen Ihnen, wie Sie Ihre Infrastruktur wirksam schützen und regulatorische Anforderungen nicht nur erfüllen, sondern als Chance für eine robustere IT-Sicherheitsstrategie nutzen können.

1. Sektor 1: Energieversorgungsunternehmen (EVU)

Energieversorgungsunternehmen (EVU) bilden das Fundament unserer modernen Industriegesellschaft. Sie gewährleisten die zuverlässige Bereitstellung von Strom, Gas und Wärme und sind damit für das Funktionieren nahezu aller anderen Lebensbereiche unerlässlich. Ein Ausfall in diesem Sektor hätte unmittelbare und weitreichende Konsequenzen, die von Produktionsstillständen in der Industrie bis hin zu massiven Beeinträchtigungen des öffentlichen Lebens reichen. Genau aus diesem Grund wird der Energiesektor in jeder kritis unternehmen liste an vorderster Stelle geführt.

Ein moderner Wassersensor ist an einer nassen Metallleitung befestigt, die eine kritische Infrastruktur darstellt.

Unter der NIS-2-Richtlinie gelten EVUs als „wesentliche Einrichtungen“ und müssen besonders strenge Cybersicherheitsmaßnahmen umsetzen. Die größte Herausforderung liegt hierbei im Schutz der operativen Technologie (OT), insbesondere der SCADA-Systeme (Supervisory Control and Data Acquisition), die für die Steuerung und Überwachung der Netzinfrastruktur verantwortlich sind. Mehr Details zur Definition und Abgrenzung finden Sie in unserem umfassenden Artikel darüber, was kritische Infrastruktur ist.

Beispielhafte Unternehmen und Institutionen

Die Bandbreite der Akteure in diesem Sektor ist groß und reicht von lokalen Anbietern bis zu überregionalen Netzbetreibern. Repräsentative Beispiele aus Deutschland sind:

  • Stadtwerke Oldenburg: Ein kommunaler Versorger, der die lokale Bevölkerung mit Energie, Wasser und weiteren Dienstleistungen versorgt.
  • EWE AG: Ein überregionaler Energie- und Telekommunikationsdienstleister mit Sitz in Oldenburg, der eine Schlüsselrolle in Nordwestdeutschland spielt.
  • Tennet TSO GmbH: Einer der vier großen Übertragungsnetzbetreiber in Deutschland, verantwortlich für die Stabilität des Hochspannungsnetzes und die Integration erneuerbarer Energien.

Konkrete Handlungsempfehlungen für EVUs

Zur Erfüllung der NIS-2-Anforderungen und zur Sicherstellung der Betriebskontinuität sind folgende Maßnahmen entscheidend:

  • Strikte Netzwerksegmentierung: Trennen Sie Ihre IT- (Büro-) und OT-Netzwerke (Produktionssteuerung) konsequent voneinander. Dies verhindert, dass ein Angreifer von einem kompromittierten Office-PC auf kritische Steuerungssysteme zugreifen kann.
  • Einsatz von Advanced Threat Detection: Implementieren Sie spezialisierte Überwachungssysteme, die Anomalien und Bedrohungsmuster in ICS- und SCADA-Protokollen erkennen können, die von herkömmlichen IT-Sicherheitslösungen oft übersehen werden.
  • Aufbau eines Security Operations Center (SOC): Richten Sie ein zentrales SOC ein, entweder intern oder als Managed Service (z. B. durch Deeken.Technology), um eine 24/7-Überwachung der kritischen Systeme zu gewährleisten und auf Vorfälle schnell reagieren zu können.
  • Regelmäßige OT-Penetrationstests: Führen Sie gezielte Penetrationstests für Ihre OT-Infrastruktur durch. Diese simulieren reale Angriffe und decken Schwachstellen auf, bevor sie von Angreifern ausgenutzt werden können.

2. Sektor 2: Wasserwirtschaft

Die Wasserwirtschaft, bestehend aus der Trinkwasserversorgung und der Abwasserbeseitigung, ist ein Sektor von fundamentaler Bedeutung für die öffentliche Gesundheit und das gesellschaftliche Leben. Eine Störung oder Kontamination in diesem Bereich hätte katastrophale Folgen für die Bevölkerung und die Umwelt. Die Gewährleistung von sauberem Trinkwasser und die sichere Entsorgung von Abwasser machen diese Betreiber zu einem zentralen Bestandteil jeder kritis unternehmen liste und erfordern höchste Sicherheitsstandards.

Eisenbahnschienen in nebliger Morgenstimmung mit Sonnenaufgang und Signallicht in der Ferne.

Unter der NIS-2-Richtlinie werden Unternehmen der Wasserwirtschaft als „wesentliche Einrichtungen“ eingestuft. Dies verpflichtet sie zur Implementierung strenger Cybersicherheitsmaßnahmen, um ihre sensiblen Steuerungs- und Überwachungssysteme zu schützen. Die größte Gefahr geht von Angriffen auf die operative Technologie (OT) aus, die Pumpwerke, Kläranlagen und Verteilnetze steuert. Ein erfolgreicher Cyberangriff könnte die Wasserqualität beeinträchtigen oder die Versorgung komplett unterbrechen.

Beispielhafte Unternehmen und Institutionen

Im Sektor Wasserwirtschaft sind sowohl kommunale als auch überregionale Akteure tätig, die eine sichere Versorgung gewährleisten. Typische Beispiele aus der Region Nordwestdeutschland sind:

  • OOWV (Oldenburgisch-Ostfriesischer Wasserverband): Einer der größten Wasserversorger Deutschlands, der für die Trinkwasserversorgung und Abwasserentsorgung in einem weiten Gebiet zuständig ist.
  • Stadtwerke Delmenhorst: Als lokaler Versorger sichern sie die Trinkwasserversorgung und betreiben das Kanalnetz sowie das Klärwerk für die Stadt Delmenhorst.
  • Wasserverband Ammerland-Saterland: Ein Verband, der für die Wasserbeschaffung, -aufbereitung und -verteilung in Teilen der Landkreise Ammerland und Cloppenburg verantwortlich ist.

Konkrete Handlungsempfehlungen für Wasserwirtschaftsunternehmen

Um die NIS-2-Anforderungen zu erfüllen und die Versorgungssicherheit zu garantieren, sind folgende Schritte unerlässlich:

  • Audit und Schwachstellenanalyse durchführen: Beginnen Sie mit einer umfassenden Bestandsaufnahme Ihrer IT- und OT-Systeme. Identifizieren Sie kritische Anlagen und analysieren Sie bestehende Schwachstellen, um Prioritäten für Sicherheitsmaßnahmen festzulegen.
  • Stufenweise Monitoring-Lösungen implementieren: Führen Sie Überwachungssysteme schrittweise ein, beginnend mit den kritischsten Punkten wie Wasserwerken und zentralen Pumpstationen. So können Sie Anomalien im Netzwerkverkehr frühzeitig erkennen.
  • Betriebspersonal in Cybersecurity schulen: Sensibilisieren Sie Ihre Mitarbeiter, insbesondere in der Leitwarte und im technischen Betrieb, für die Erkennung von Phishing-Angriffen und anderen Cybergefahren. Regelmäßige Schulungen sind entscheidend.
  • Ein Incident Response Team etablieren: Bauen Sie ein spezialisiertes Team auf oder beauftragen Sie einen externen Dienstleister, der im Falle eines Sicherheitsvorfalls sofort und koordiniert handeln kann, um den Schaden zu minimieren und den Betrieb schnell wiederherzustellen.

3. Sektor Verkehr und Transport

Der Sektor Verkehr und Transport ist die Lebensader der deutschen Wirtschaft und Gesellschaft. Er sorgt für den reibungslosen Fluss von Gütern und Menschen und ist damit eine grundlegende Voraussetzung für funktionierende Lieferketten, Handel und Mobilität. Eine Störung in diesem Bereich, sei es durch den Ausfall von Verkehrsleitsystemen oder Logistikplattformen, kann zu sofortigen und schwerwiegenden Engpässen führen. Aus diesem Grund ist dieser Sektor ein zentraler Bestandteil jeder kritis unternehmen liste und wird unter der NIS-2-Richtlinie als „wesentliche Einrichtung“ eingestuft.

Ein medizinischer Monitor zeigt eine grüne Herzschlagkurve in einem leeren Krankenhauszimmer.

Die zunehmende Digitalisierung und Vernetzung von Verkehrssystemen, von der Steuerung des Schienenverkehrs bis hin zu automatisierten Logistikprozessen in Häfen, schafft neue Angriffsvektoren. Cyberangriffe können hier nicht nur wirtschaftlichen Schaden anrichten, sondern auch die physische Sicherheit von Personen direkt gefährden. Die Absicherung dieser komplexen IT- und OT-Landschaften ist daher von höchster Priorität und erfordert spezialisierte Sicherheitskonzepte, die den besonderen Anforderungen des Sektors gerecht werden.

Beispielhafte Unternehmen und Institutionen

Die Akteure in diesem Sektor umfassen Betreiber von Schienennetzen, Häfen, Flughäfen und Straßeninfrastrukturen. Typische Beispiele aus Deutschland sind:

  • DB Netz AG: Als größter Betreiber der Schieneninfrastruktur in Deutschland ist die DB Netz AG für die Funktionsfähigkeit des gesamten deutschen Bahnnetzes verantwortlich.
  • bremenports GmbH & Co. KG: Die Hafengesellschaft managt die Infrastruktur der bremischen Häfen, die eine zentrale Drehscheibe für den internationalen Handel sind.
  • Lübecker Hafengesellschaft mbH (LHG): Der größte deutsche Hafen an der Ostsee ist ein entscheidender Knotenpunkt für den Fähr- und RoRo-Verkehr im Ostseeraum.

Konkrete Handlungsempfehlungen für Verkehrsunternehmen

Um die Resilienz gegenüber Cyberbedrohungen zu stärken und die NIS-2-Vorgaben zu erfüllen, sollten Verkehrs- und Logistikunternehmen folgende Maßnahmen ergreifen:

  • Implementierung einer Zero-Trust-Architektur: Gehen Sie vom Prinzip „Never trust, always verify“ aus. Jede Zugriffsanfrage, unabhängig davon, ob sie aus dem internen oder externen Netzwerk stammt, muss streng authentifiziert und autorisiert werden, bevor der Zugriff auf kritische Systeme gewährt wird.
  • Etablierung von „Supplier Security Requirements“: Definieren Sie klare Cybersicherheitsanforderungen für alle Zulieferer und Dienstleister, die an Ihre Systeme angebunden sind. Überprüfen Sie deren Einhaltung regelmäßig, um Risiken in der Lieferkette zu minimieren.
  • Nutzung cloudbasierter Monitoring-Lösungen: Setzen Sie auf skalierbare Cloud-Plattformen zur Überwachung Ihrer verteilten Infrastruktur in Echtzeit. Dies ermöglicht eine zentrale Analyse von Sicherheitsereignissen und eine schnellere Reaktion auf Bedrohungen.
  • Durchführung regelmäßiger Security-Awareness-Trainings: Schulen Sie alle Mitarbeitenden, insbesondere jene mit Zugriff auf Leitsysteme, regelmäßig in der Erkennung von Phishing, Social Engineering und anderen Angriffsmethoden, um menschliche Fehler als Einfallstor zu reduzieren.

4. Telekommunikationsunternehmen

Telekommunikationsunternehmen sind das Nervensystem der digitalen Gesellschaft. Sie ermöglichen die Übertragung von Sprache und Daten und sind damit die Grundlage für Kommunikation, Wirtschaft und den Zugang zu Informationen. Ein Ausfall ihrer Netze würde nicht nur private Kommunikation lahmlegen, sondern auch den Betrieb von Unternehmen, Finanzmärkten und staatlichen Institutionen massiv stören. Daher nehmen sie eine zentrale Rolle in jeder kritis unternehmen liste ein und unterliegen strengsten regulatorischen Anforderungen.

Unter der NIS-2-Richtlinie werden Telekommunikationsanbieter als „wesentliche Einrichtungen“ eingestuft. Die Sicherheit ihrer Kernnetze, Switching-Systeme und der physischen Infrastruktur wie Glasfaserkabel und Mobilfunkmasten ist von nationaler Bedeutung. Cyberangriffe auf diesen Sektor zielen oft darauf ab, die Kommunikation zu unterbrechen, Daten abzufangen oder Dienste zu sabotieren, was die gesamte Gesellschaft verwundbar macht.

Beispielhafte Unternehmen und Institutionen

Der deutsche Telekommunikationsmarkt ist durch wenige große Akteure und eine Vielzahl regionaler Anbieter geprägt. Zu den wichtigsten gehören:

  • Vodafone Deutschland: Einer der größten Mobilfunk- und Festnetzanbieter in Deutschland, der eine kritische Kommunikationsinfrastruktur für Millionen von Privat- und Geschäftskunden betreibt.
  • Telefónica Deutschland (O₂): Ein führender Netzbetreiber, der eine essenzielle Rolle in der mobilen und festnetzbasierten Konnektivität des Landes spielt.
  • Regionale Anbieter in Norddeutschland: Unternehmen wie EWE TEL oder htp GmbH sind entscheidend für die Versorgung ländlicher und urbaner Regionen und stellen eine wichtige Redundanz zur Infrastruktur der großen Konzerne dar.

Konkrete Handlungsempfehlungen für TK-Unternehmen

Der Schutz dieser hochkomplexen Netze erfordert mehrschichtige und proaktive Sicherheitsstrategien:

  • Implementierung von Defense-in-Depth-Strategien: Sichern Sie Ihre Netzwerke auf mehreren Ebenen, von der physischen Sicherheit der Rechenzentren und Verteilerknoten bis hin zur Verschlüsselung des Datenverkehrs und strengen Zugriffskontrollen für Netzwerkknoten.
  • Nutzung KI-gestützter Anomalieerkennung: Setzen Sie fortschrittliche Systeme ein, die mithilfe künstlicher Intelligenz ungewöhnliche Datenflüsse oder Verhaltensmuster im Netz in Echtzeit erkennen und so Zero-Day-Angriffe und komplexe Bedrohungen identifizieren können.
  • Etablierung eines Tier-1-SOC: Betreiben Sie ein hochspezialisiertes Security Operations Center (SOC), das 24/7 die Netzwerkintegrität überwacht und auf Vorfälle mit minimaler Verzögerung reagieren kann. Dies ist entscheidend, um die Dienstverfügbarkeit zu gewährleisten.
  • Durchführung von Tabletop-Übungen: Simulieren Sie regelmäßig großflächige Ausfallszenarien und Cyberangriffe in Krisenstabübungen. Dies trainiert die Reaktionsfähigkeit und deckt Schwachstellen in Prozessen und der technischen Absicherung auf, etwa bei der Notstromversorgung, über die Sie in unserem Artikel was eine USV-Anlage ist mehr erfahren.

5. Finanzdienstleistungsunternehmen und Banken

Der Finanz- und Versicherungssektor ist das Nervensystem der modernen Wirtschaft. Institutionen wie Banken, Börsen und Versicherungen verwalten nicht nur sensible Kundendaten und gewaltige Finanzströme, sondern sichern auch die Stabilität des gesamten Wirtschaftssystems. Ein Ausfall oder eine Kompromittierung in diesem Bereich hätte katastrophale Folgen, die von individuellen finanziellen Verlusten bis hin zu einer globalen Wirtschaftskrise reichen könnten. Aus diesem Grund steht der Sektor auf jeder kritis unternehmen liste unter besonderer Beobachtung.

Unter der NIS-2-Richtlinie und spezifischen Finanzmarktregulierungen wie DORA (Digital Operational Resilience Act) gelten diese Unternehmen als „wesentliche Einrichtungen“ mit höchsten Anforderungen an die Cybersicherheit. Die Hauptaufgabe besteht darin, die Integrität, Vertraulichkeit und Verfügbarkeit von Finanztransaktionen und Kundendaten gegen immer ausgefeiltere Cyberangriffe zu schützen. Details zu den rechtlichen Rahmenbedingungen und Pflichten finden Sie in unserem umfassenden Artikel darüber, was kritische Infrastruktur ist.

Beispielhafte Unternehmen und Institutionen

Die Akteure in diesem Sektor reichen von lokalen Kreditinstituten bis hin zu global agierenden Finanzkonzernen. Repräsentative Beispiele aus der Region Nordwestdeutschland sind:

  • Oldenburgische Landesbank AG (OLB): Eine private Regionalbank, die eine zentrale Rolle im Privat- und Geschäftskundengeschäft in Nordwestdeutschland spielt.
  • Die Sparkasse Bremen AG: Als eine der größten Sparkassen Deutschlands ist sie ein Eckpfeiler für die regionale Wirtschafts- und Finanzstabilität.
  • NORD/LB (Norddeutsche Landesbank): Eine der führenden deutschen Geschäftsbanken, die als zentraler Finanzierer für Unternehmen und öffentliche Hand in Norddeutschland agiert.

Konkrete Handlungsempfehlungen für Finanzdienstleister

Um die strengen regulatorischen Anforderungen zu erfüllen und die operative Resilienz zu gewährleisten, sind folgende Maßnahmen unerlässlich:

  • Implementierung einer Zero-Trust-Architektur: Gehen Sie davon aus, dass keine Anfrage, weder intern noch extern, vertrauenswürdig ist. Jede Transaktion und jeder Zugriff muss strikt verifiziert werden, bevor er gewährt wird.
  • Einsatz von Hardware Security Modules (HSM): Schützen Sie kryptografische Schlüssel, die für die Sicherung von Transaktionen und Daten unerlässlich sind, in dedizierter, manipulationssicherer Hardware.
  • Etablierung dedizierter Compliance- und Audit-Prozesse: Führen Sie regelmäßige interne und externe Audits durch, um die Einhaltung von Standards wie DORA, BAIT und NIS-2 lückenlos zu dokumentieren und nachzuweisen.
  • Kontinuierliche Penetrationstests und Red-Teaming: Simulieren Sie gezielte Angriffe auf Ihre Systeme, um Schwachstellen proaktiv zu identifizieren und die Reaktionsfähigkeit Ihres Sicherheitsteams (Blue Team) zu testen.

6. Gesundheitswesen und Krankenhäuser

Der Sektor Gesundheitswesen ist eine der sensibelsten kritischen Infrastrukturen, da hier die unmittelbare Versorgung und das Leben von Menschen auf dem Spiel stehen. Krankenhäuser, Labore und andere medizinische Einrichtungen sind auf hochverfügbare und integre IT-Systeme angewiesen, um Diagnosen zu stellen, Behandlungen durchzuführen und Patientendaten sicher zu verwalten. Ein Ausfall oder ein Cyberangriff, beispielsweise durch Ransomware, kann lebensbedrohliche Konsequenzen haben und unterstreicht, warum dieser Bereich prominent in jeder kritis unternehmen liste vertreten ist.

Unter NIS-2 werden Gesundheitseinrichtungen, insbesondere Krankenhäuser, als „wesentliche Einrichtungen“ klassifiziert. Sie stehen vor der doppelten Herausforderung, nicht nur die Betriebskontinuität lebenserhaltender Systeme zu sichern, sondern auch extrem sensible Patientendaten (ePA) gemäß der DSGVO zu schützen. Die zunehmende Vernetzung von Medizingeräten (Internet of Medical Things, IoMT) vergrößert die Angriffsfläche zusätzlich und erfordert spezialisierte Sicherheitskonzepte.

Beispielhafte Unternehmen und Institutionen

Die Versorgung im Gesundheitswesen ist dezentral organisiert und umfasst eine Vielzahl von öffentlichen, privaten und gemeinnützigen Trägern. Typische Beispiele aus der Region sind:

  • Universitätsmedizin Oldenburg: Als Maximalversorger verbindet sie Patientenversorgung mit Forschung und Lehre und spielt eine zentrale Rolle in der nordwestdeutschen Gesundheitslandschaft.
  • St. Joseph-Stift Bremen: Ein traditionsreiches Krankenhaus, das als wichtiger lokaler Gesundheitsdienstleister für die Versorgung der Bremer Bevölkerung unerlässlich ist.
  • Marienhospital Osnabrück: Teil des Verbunds der Niels-Stensen-Kliniken, ist es ein bedeutendes Akutkrankenhaus und ein zentraler Anker der regionalen medizinischen Versorgung.

Konkrete Handlungsempfehlungen für das Gesundheitswesen

Um die Resilienz zu stärken und die Compliance-Anforderungen zu erfüllen, sind folgende Maßnahmen für Gesundheitseinrichtungen essenziell:

  • Implementierung redundanter Systeme: Stellen Sie sicher, dass kritische Systeme wie das Krankenhausinformationssystem (KIS) oder die digitale Patientenakte über Failover-Kapazitäten verfügen, um bei einem Ausfall nahtlos weiterarbeiten zu können.
  • Umfassende Datenverschlüsselung: Schützen Sie sensible Patientendaten durch konsequente Verschlüsselung, sowohl im Ruhezustand auf Speichermedien (Encryption-at-Rest) als auch während der Übertragung im Netzwerk (Encryption-in-Transit).
  • Regelmäßige Backup- und Recovery-Drills: Führen Sie regelmäßig Tests Ihrer Backup- und Wiederherstellungsprozesse durch. Nur so kann im Ernstfall sichergestellt werden, dass die Systeme schnell wiederhergestellt werden können. Mehr dazu erfahren Sie in unserem Leitfaden zur Entwicklung eines Disaster-Recovery-Plans.
  • Cybersecurity-Awareness für medizinisches Personal: Schulen Sie Ärzte und Pflegekräfte gezielt im Erkennen von Phishing-Angriffen und im sicheren Umgang mit digitalen Systemen, da der Faktor Mensch oft die größte Schwachstelle darstellt.

7. Lebensmittel- und Getränkeindustrie

Die Lebensmittel- und Getränkeindustrie sichert die tägliche Versorgung der Bevölkerung und ist damit ein fundamentaler Bestandteil der kritischen Infrastruktur. Ein Ausfall in diesem Sektor, sei es durch Produktionsstopps oder Kontaminationen infolge von Cyberangriffen, hätte gravierende Folgen für die öffentliche Gesundheit und das soziale Gefüge. Die zunehmende Digitalisierung und Automatisierung in der Produktion machen diesen Sektor zu einem attraktiven Ziel für Angreifer, weshalb er in jeder umfassenden kritis unternehmen liste Beachtung findet.

Unter der NIS-2-Richtlinie wird der Sektor Ernährung (einschließlich Lebensmittel- und Getränkehersteller) als „wichtige Einrichtung“ eingestuft. Dies verpflichtet Unternehmen, strenge Maßnahmen zum Schutz ihrer Lieferketten, Produktionssysteme (OT) und Qualitätskontrollprozesse zu implementieren. Die Herausforderung besteht darin, die traditionell isolierten OT-Umgebungen, die Maschinen in der Produktion steuern, sicher mit den IT-Systemen des Unternehmens zu vernetzen, ohne neue Angriffsvektoren zu schaffen.

Beispielhafte Unternehmen und Institutionen

Die Branche ist geprägt von einer Mischung aus global agierenden Konzernen und zahlreichen kleinen sowie mittelständischen Betrieben, die oft regional verwurzelt sind. Beispiele für die Vielfalt in Deutschland sind:

  • Brauerei Beck & Co (Bremen): Als Teil des globalen Anheuser-Busch InBev-Konzerns ein Beispiel für einen hochautomatisierten Großproduzenten.
  • Bionade GmbH: Ein mittelständischer Hersteller, der für innovative Produkte steht und ebenfalls auf moderne Produktionsanlagen angewiesen ist.
  • Lokale Molkereien und Fleischhersteller: Diese oft regional verankerten Betriebe bilden das Rückgrat der lokalen Versorgung und stehen vor ähnlichen digitalen Herausforderungen.

Konkrete Handlungsempfehlungen für die Branche

Um die Versorgungssicherheit und Produktintegrität zu gewährleisten, sind gezielte Cybersicherheitsmaßnahmen unerlässlich:

  • Start mit einer Schwachstellenanalyse der OT-Systeme: Führen Sie eine detaillierte Analyse Ihrer Produktionsanlagen durch, um veraltete Software, unsichere Konfigurationen oder fehlende Sicherheitsupdates in speicherprogrammierbaren Steuerungen (SPS) und Prozessleitsystemen zu identifizieren.
  • Implementierung von Netzwerksegmentierung: Trennen Sie das Produktionsnetzwerk (OT) strikt vom Büro- und Verwaltungsnetzwerk (IT). Dies verhindert, dass sich Malware von einem infizierten Büro-PC auf die Maschinensteuerung ausbreiten kann.
  • Einsatz von IDS/IPS für Produktionsumgebungen: Nutzen Sie Intrusion Detection und Prevention Systeme, die speziell für industrielle Protokolle (z. B. Modbus, Profinet) entwickelt wurden, um anomale Aktivitäten im OT-Netzwerk in Echtzeit zu erkennen und zu blockieren.
  • Etablierung eines Supplier Security Managements: Überprüfen Sie die Sicherheitsstandards Ihrer Lieferanten, insbesondere von Rohstofflieferanten und Logistikpartnern, da diese oft digital an Ihre Systeme angebunden sind und eine Schwachstelle in der Lieferkette darstellen können.

8. Chemie- und Petrochemische Industrie

Der Sektor der chemischen und petrochemischen Industrie ist aufgrund der Handhabung hochgefährlicher Stoffe und komplexer Produktionsprozesse von Natur aus risikobehaftet. Ein Cyberangriff kann hier nicht nur zu Produktionsausfällen, sondern zu katastrophalen Ereignissen mit weitreichenden Folgen für Mensch und Umwelt führen. Die Manipulation von Steuerungssystemen könnte unkontrollierte chemische Reaktionen auslösen oder Sicherheitssysteme außer Kraft setzen. Daher ist dieser Sektor ein zentraler Bestandteil jeder kritis unternehmen liste und wird unter NIS-2 als wesentliche Einrichtung eingestuft.

Die digitale Transformation hat die Angriffsfläche massiv vergrößert, da Produktionsanlagen zunehmend mit IT-Netzwerken verbunden sind. Der Schutz dieser hochsensiblen Operational Technology (OT) vor unbefugtem Zugriff und Manipulation ist die größte sicherheitstechnische Herausforderung. Fehlfunktionen oder Sabotageakte können hier schnell zu irreparablen Schäden führen und erfordern daher spezialisierte Sicherheitskonzepte, die weit über Standard-IT-Sicherheit hinausgehen.

Beispielhafte Unternehmen und Institutionen

In Deutschland ist die chemische Industrie stark konzentriert und von globalen Akteuren sowie spezialisierten lokalen Betrieben geprägt. Typische Beispiele sind:

  • BASF SE: Als größter Chemiekonzern der Welt betreibt BASF in Ludwigshafen einen der größten integrierten Chemiestandorte weltweit, der als kritische Infrastruktur gilt.
  • Dow Chemical: Ein weiterer globaler Akteur mit bedeutenden Produktionsstätten in Deutschland, beispielsweise in Stade oder Schkopau.
  • Lokale Anbieter in Industrieparks: Zahlreiche mittelständische und spezialisierte Unternehmen, die oft in großen Chemieparks wie dem in Marl oder Frankfurt-Höchst angesiedelt sind und ebenfalls unter die Regularien fallen.

Konkrete Handlungsempfehlungen für die chemische Industrie

Um die strengen Sicherheitsanforderungen zu erfüllen und Prozesssicherheit zu gewährleisten, sind folgende Maßnahmen unerlässlich:

  • Strenge Netzwerksegmentierung und -überwachung: Implementieren Sie eine strikte Trennung zwischen Produktionsnetzen (OT) und Bürokommunikation (IT) mithilfe von Firewalls und Demilitarized Zones (DMZ). Überwachen Sie den Datenverkehr zwischen diesen Zonen aktiv auf verdächtige Aktivitäten.
  • Einsatz dedizierter OT-Security-Tools: Nutzen Sie spezialisierte Lösungen für die industrielle Cybersicherheit, die Prozessleitsysteme (PLS) und SCADA-Systeme verstehen. Diese Tools erkennen Anomalien in industriellen Protokollen, die für herkömmliche IT-Sicherheitssysteme unsichtbar sind.
  • Etablierung eines Process Safety Managements (PSM): Integrieren Sie Cybersicherheit als festen Bestandteil in Ihr Managementsystem für Anlagensicherheit. Risikobewertungen müssen digitale Bedrohungen ebenso berücksichtigen wie physische Gefahren.
  • Durchführung regelmäßiger Sicherheitsaudits und Zertifizierungen: Lassen Sie Ihre OT-Sicherheitsmaßnahmen regelmäßig von externen Experten überprüfen und zertifizieren (z. B. nach IEC 62443). Dies schafft nicht nur Vertrauen, sondern deckt auch proaktiv Schwachstellen auf.

9. Sektor 9: Digitale Infrastruktur und Cloud-Service-Provider

Die digitale Infrastruktur bildet das unsichtbare, aber unverzichtbare Nervensystem unserer vernetzten Gesellschaft. Cloud-Provider, Rechenzentrumsbetreiber und Anbieter von Domain-Name-Systemen (DNS) sind das Fundament, auf dem unzählige digitale Dienste und Geschäftsprozesse aufbauen. Ein Ausfall oder eine Kompromittierung in diesem Sektor hätte kaskadenartige Effekte und könnte die Verfügbarkeit kritischer Online-Dienste, von E-Commerce bis hin zu staatlichen Plattformen, massiv beeinträchtigen. Daher sind diese Akteure ein zentraler Bestandteil jeder kritis unternehmen liste.

Mit der NIS-2-Richtlinie werden Betreiber digitaler Infrastrukturen explizit als „wesentliche Einrichtungen“ eingestuft. Dies spiegelt ihre systemische Bedeutung wider, da eine Störung bei einem großen Anbieter Tausende von abhängigen Unternehmen lahmlegen könnte. Die größten Herausforderungen liegen in der Gewährleistung höchster Verfügbarkeit, der Abwehr von komplexen Cyberangriffen wie DDoS-Attacken und dem Schutz der auf ihren Systemen gespeicherten sensiblen Kundendaten.

Beispielhafte Unternehmen und Institutionen

Die Anbieter in diesem Sektor reichen von globalen Hyperscalern bis zu spezialisierten lokalen Betreibern. Repräsentative Beispiele aus dem deutschen Markt sind:

  • IONOS SE: Einer der größten europäischen Hosting- und Cloud-Anbieter, der eine breite Palette von Infrastrukturdiensten für KMUs und Konzerne bereitstellt.
  • Hetzner Online GmbH: Ein bekannter deutscher Rechenzentrumsbetreiber und Hostinganbieter, der für sein Preis-Leistungs-Verhältnis geschätzt wird und eine wichtige Rolle im europäischen Markt spielt.
  • Mittelständische Hostingprovider: Zahlreiche kleinere und mittelständische Unternehmen, die spezialisierte Hosting-Lösungen anbieten und oft die digitale Basis für den regionalen Mittelstand bilden.

Konkrete Handlungsempfehlungen für digitale Infrastrukturanbieter

Um die Resilienz zu maximieren und die NIS-2-Compliance zu gewährleisten, sind folgende strategische Maßnahmen unerlässlich:

  • Implementierung von kontinuierlichem Monitoring und Alerting: Überwachen Sie die gesamte Infrastruktur (Server, Netzwerk, Speicher) in Echtzeit auf Leistungsanomalien, Sicherheitsvorfälle und potenzielle Ausfälle. Automatisierte Alarme sind entscheidend für eine schnelle Reaktion.
  • Nutzung automatisierter Backup- und Recovery-Prozesse: Etablieren Sie robuste, geografisch redundante Backup-Systeme mit automatisierten Wiederherstellungstests. Dies stellt sicher, dass Daten und Dienste nach einem Vorfall schnell und zuverlässig wiederhergestellt werden können.
  • Etablierung transparenter Sicherheitsberichte für Kunden: Kommunizieren Sie Ihre Sicherheitsmaßnahmen und Zertifizierungen (z. B. ISO 27001, C5) proaktiv an Ihre Kunden. Transparenz schafft Vertrauen und hilft Kunden, ihre eigenen Compliance-Anforderungen zu erfüllen.
  • Durchführung regelmäßiger Penetrationstests und Red Teaming: Simulieren Sie gezielte Angriffe auf Ihre Infrastruktur, um Schwachstellen in der Abwehr zu identifizieren und die Reaktionsfähigkeit Ihres Sicherheitsteams (Blue Team) zu testen.

10. Öffentliche Verwaltung und Behörden

Die öffentliche Verwaltung und Behörden bilden das Rückgrat des staatlichen Handelns und der Daseinsvorsorge. Sie verwalten nicht nur hochsensible Bürgerdaten, sondern stellen auch sicher, dass staatliche Funktionen, von der inneren Sicherheit bis zur sozialen Versorgung, reibungslos ablaufen. Ein Ausfall oder eine Kompromittierung dieser Systeme kann das Vertrauen in den Staat erschüttern und die öffentliche Ordnung gefährden, weshalb dieser Sektor ein zentraler Bestandteil jeder kritis unternehmen liste ist.

Nach der NIS-2-Richtlinie werden zentrale und regionale öffentliche Verwaltungseinrichtungen explizit als „wesentliche Einrichtungen“ eingestuft. Sie stehen vor der besonderen Herausforderung, eine Balance zwischen Bürgerfreundlichkeit durch digitale E-Government-Angebote und der Gewährleistung höchster Sicherheitsstandards für Daten und Prozesse zu finden. Der Schutz vor Cyberangriffen und Datendiebstahl ist hier von existenzieller Bedeutung für die staatliche Souveränität.

Beispielhafte Unternehmen und Institutionen

Die Verwaltungsstruktur in Deutschland ist föderal geprägt, was zu einer Vielzahl relevanter Akteure auf Bundes-, Landes- und kommunaler Ebene führt:

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Die nationale Cyber-Sicherheitsbehörde, die selbst kritische Infrastruktur ist und zugleich Standards für andere Behörden setzt.
  • Landesverwaltungen (z.B. Niedersachsen/Bremen): Zuständig für die Umsetzung von Gesetzen und die Verwaltung auf Landesebene, einschließlich kritischer Bereiche wie Polizei, Justiz und Katastrophenschutz.
  • Städte und Gemeinden (z.B. im Oldenburger Münsterland): Als kommunale Ebene sind sie direkt für die Bürger da und verwalten kritische Dienstleistungen wie Melde-, Sozial- und Bauwesen.

Konkrete Handlungsempfehlungen für Behörden

Um den hohen Sicherheitsanforderungen gerecht zu werden, sind folgende Maßnahmen für öffentliche Verwaltungen unabdingbar:

  • Implementierung nach BSI-Grundschutz und C5: Richten Sie Ihre IT-Sicherheitsmaßnahmen konsequent an den Standards des BSI aus. Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) ist insbesondere bei der Nutzung von Cloud-Diensten entscheidend.
  • Einsatz zertifizierter Cloud-Lösungen: Nutzen Sie ausschließlich Cloud-Anbieter (z.B. IONOS), die über anerkannte Zertifizierungen wie C5 oder Testate nach BSI-Gesetz verfügen, um die Sicherheit und Souveränität der Daten zu gewährleisten.
  • Absicherung von E-Government-Portalen: Schützen Sie Bürgerportale und Online-Dienste durch mehrstufige Authentifizierungsverfahren (MFA), regelmäßige Schwachstellenscans und Web Application Firewalls (WAF).
  • Regelmäßige Mitarbeiterschulungen: Sensibilisieren Sie alle Mitarbeiter kontinuierlich für Themen wie Datenschutz, Phishing-Angriffe und den sicheren Umgang mit sensiblen Bürgerdaten, um das Risiko menschlicher Fehler zu minimieren.

Kurzvergleich: 10 KRITIS‑Unternehmen

Branche / Betreiber 🔄 Implementierungsaufwand ⚡ Ressourcenbedarf 📊 Erwartete Ergebnisse 💡 Ideale Anwendungsfälle ⭐ Hauptvorteile
Energieversorgungsunternehmen (EVU) 🔄 Sehr hoch — verteilte SCADA/OT, Legacy‑Integration ⚡ Sehr hoch — spezialisiertes Personal, Redundanz, Monitoring 📊 Hohe Verfügbarkeit, NIS‑2‑Compliance, reduzierte Störfälle 💡 Schutz von Netz- und SCADA‑Systemen; SOC‑Betrieb ⭐ Skalierbare Sicherheitsprozesse; langfristige Partnerschaften
Wasserwirtschaftsunternehmen 🔄 Hoch — dezentrale Anlagen, langsame Modernisierung ⚡ Mittel bis hoch — Sensornetz, Monitoring, Schulungen 📊 Verbesserte Versorgungssicherheit; Compliance 💡 Stufenweises Monitoring; Incident‑Response‑Teams ⭐ Obligatorische Investitionen; stabile Budgets
Transportinfrastrukturunternehmen 🔄 Hoch — heterogene Systeme, Lieferantenintegration ⚡ Hoch — Echtzeitkommunikation, Redundanz 📊 Gesteigerte Betriebsstabilität; Schutz von Verkehrsdaten 💡 Zero‑Trust; Flotten‑ und Verkehrsmanagement ⭐ Kontinuierliche Digitalisierungsprojekte; großes Budget
Telekommunikationsunternehmen 🔄 Sehr hoch — komplexe Kernnetze, internationale Standards ⚡ Sehr hoch — Infrastruktur, KI‑Detection, Tier‑1‑SOC 📊 Hohe Netzstabilität; reduziertes Ausfallrisiko 💡 Defense‑in‑Depth; KI‑gestützte Anomalieerkennung ⭐ Sehr hohes Sicherheitsbudget; starke Technologiepartner
Finanzdienstleister & Banken 🔄 Sehr hoch — strikte Compliance, Legacy‑Systeme ⚡ Sehr hoch — HSMs, kontinuierliche Audits, Spezialisten 📊 Schutz sensibler Transaktionen; Compliance‑Sicherheit 💡 MFA, HSM, kontinuierliche PenTests ⭐ Eines der höchsten Sicherheitsbudgets; stabile Partnerschaften
Gesundheitswesen & Krankenhäuser 🔄 Hoch — medizinische Geräte, Datenschutzanforderungen ⚡ Mittel bis hoch — Backups, Verschlüsselung, Redundanz 📊 Erhöhte Patientensicherheit; Datenschutz‑Konformität 💡 Failover‑Systeme; Encryption‑at‑Rest/In‑Transit ⭐ Staatliche Förderung; starke Motivation für Sicherheit
Lebensmittel‑ & Getränkeindustrie 🔄 Mittel — OT‑Integration in Produktionslinien ⚡ Mittel — IDS/IPS, Netzwerksegmentierung, OT‑Tools 📊 Stabilere Produktion; bessere Lieferketten‑Sicherheit 💡 OT‑Schwachstellenanalyse; Supplier‑Security ⭐ Upsell‑Potenzial; langfristige Serviceverträge
Chemie‑ & Petrochemische Industrie 🔄 Sehr hoch — sicherheitskritische Produktionssysteme ⚡ Sehr hoch — dedizierte OT‑Security, Fachkompetenz 📊 Minimiertes Katastrophenrisiko; Compliance 💡 Segregierte Produktionsnetzwerke; OT‑Security‑Tools ⭐ Extrem hohes Sicherheitsbudget; langfristige Partnerschaften
Digitale Infrastruktur & Cloud‑Provider 🔄 Hoch — Redundanz, geografische Verteilung, Zertifizierungen ⚡ Sehr hoch — Rechenzentren, Monitoring, DR/BCP 📊 Sehr hohe Verfügbarkeit (SLA); transparente Sicherheitsberichte 💡 Automatisiertes Monitoring; Backup/Recovery ⭐ Kontinuierliche Innovation; starke Marktposition
Öffentliche Verwaltung & Behörden 🔄 Mittel bis hoch — Legacy, langsame Beschaffung, Koordination ⚡ Mittel — gesetzliche Vorgaben, Schulungen, zertifizierte Clouds 📊 Verbesserte Bürgerdienste; Datenschutz‑ und Rechtskonformität 💡 eGovernment‑Sicherheit; Government‑zertifizierte Cloudlösungen ⭐ Stabiles, planbares Budget; langfristige Kundenbeziehungen

Ihr Weg zur NIS-2-Compliance: So starten Sie jetzt durch

Die Reise durch die Sektoren und Beispiele der kritis unternehmen liste hat eines deutlich gemacht: Die digitale Transformation und die zunehmende Vernetzung unserer Gesellschaft machen Cybersicherheit zu einer fundamentalen unternehmerischen Verantwortung. Mit der Einführung der NIS-2-Richtlinie wird diese Verantwortung für eine weitaus größere Anzahl von Unternehmen zur rechtlichen Verpflichtung. Es geht nicht mehr nur darum, ob ein Unternehmen Teil der "klassischen" kritischen Infrastruktur ist, sondern darum, welche Rolle es im digitalen Ökosystem spielt.

Die Auseinandersetzung mit der eigenen Einstufung und den damit verbundenen Pflichten ist kein Projekt, das auf die lange Bank geschoben werden kann. Die Fristen sind gesetzt, und die potenziellen Sanktionen bei Nichteinhaltung sind erheblich. Doch die wahre Motivation sollte nicht die Angst vor Strafen sein, sondern das Streben nach Resilienz und Wettbewerbsfähigkeit. Ein proaktiver und strukturierter Ansatz zur Informationssicherheit schützt nicht nur vor Cyberangriffen, sondern stärkt auch das Vertrauen von Kunden und Partnern und sichert die langfristige Geschäftsfähigkeit.

Ihre konkreten nächsten Schritte

Die umfassende Liste und die rechtlichen Rahmenbedingungen können überwältigend wirken. Der Schlüssel zum Erfolg liegt darin, den Prozess in überschaubare, umsetzbare Schritte zu zerlegen. Betrachten Sie die folgende Roadmap als Ihren persönlichen Startpunkt auf dem Weg zur NIS-2-Compliance:

  1. Status-quo-Analyse und Betroffenheitsprüfung: Führen Sie eine detaillierte interne Prüfung durch. Gehören Sie zu den in NIS-2 genannten Sektoren? Erfüllen Sie die Schwellenwerte bezüglich Mitarbeiterzahl und Jahresumsatz? Dokumentieren Sie diese Analyse sorgfältig, denn sie ist die Grundlage für alle weiteren Maßnahmen.
  2. Identifikation der "Kronjuwelen": Bestimmen Sie, welche Daten, Systeme und Prozesse für Ihren Geschäftsbetrieb absolut essenziell sind. Wo liegen Ihre kritischsten Assets? Eine klare Priorisierung hilft Ihnen, Ihre Ressourcen dort zu konzentrieren, wo sie den größten Schutzfaktor bieten.
  3. Risikobewertung nach Best Practices: Führen Sie eine systematische Risikobewertung durch. Welche Bedrohungen sind für Ihr Unternehmen am relevantesten? Wie hoch ist die Eintrittswahrscheinlichkeit und welches Schadenspotenzial ergibt sich daraus? Nutzen Sie etablierte Standards wie ISO/IEC 27005 als Leitfaden.
  4. Aufbau eines ISMS (Information Security Management System): Ein ISMS nach ISO 27001 ist der Goldstandard für ein strukturiertes und nachhaltiges Sicherheitsmanagement. Es schafft klare Prozesse, Verantwortlichkeiten und einen kontinuierlichen Verbesserungszyklus, der weit über eine einmalige Maßnahme hinausgeht und die Anforderungen von NIS-2 systematisch abdeckt.
  5. Entwicklung eines Notfall- und Meldekonzepts: Definieren Sie präzise, wie Sie im Falle eines Sicherheitsvorfalls reagieren. Wer muss wann informiert werden? Wie sieht die Kommunikationskette intern und extern (z. B. gegenüber dem BSI) aus? Testen Sie diese Pläne regelmäßig, damit sie im Ernstfall funktionieren.

Wichtiger Hinweis: Die NIS-2-Richtlinie ist kein einmaliges Projekt, sondern erfordert eine kontinuierliche Auseinandersetzung mit der eigenen Sicherheitslage. Die Bedrohungslandschaft verändert sich ständig – und Ihre Sicherheitsmaßnahmen müssen sich mit ihr weiterentwickeln.

Die erfolgreiche Navigation durch die komplexen Anforderungen der NIS-2-Richtlinie erfordert mehr als nur technisches Wissen. Sie verlangt strategische Planung, prozessuales Verständnis und die Fähigkeit, Sicherheitsmaßnahmen nahtlos in die Geschäftsabläufe zu integrieren. Die hier vorgestellte kritis unternehmen liste ist der Ausgangspunkt, um die eigene Relevanz zu erkennen und proaktiv zu handeln. Warten Sie nicht, bis die gesetzlichen Fristen ablaufen. Beginnen Sie jetzt damit, die Weichen für eine sichere und konforme digitale Zukunft zu stellen.

Sind Sie bereit, die Herausforderungen der NIS-2-Richtlinie anzugehen, wissen aber nicht, wo Sie anfangen sollen? Die Experten der Deeken.Technology GmbH begleiten Sie als ISO-27001-zertifizierter Partner von der ersten Analyse bis zur vollständigen Umsetzung Ihrer Sicherheitsmaßnahmen. Besuchen Sie Deeken.Technology GmbH und vereinbaren Sie ein unverbindliches Beratungsgespräch, um Ihre IT-Infrastruktur zukunftssicher zu machen.

Share the Post:

Related Posts