KRITIS-Meldepflicht

Die KRITIS-Meldepflicht verpflichtet Betreiber Kritischer Infrastrukturen, erhebliche Störungen ihrer informationstechnischen Systeme unverzüglich an das BSI zu melden. Geregelt im BSIG (vormals § 8b BSIG, nach der Reform 2025 als § 32 BSIG fortgeführt). Erfasst werden Vorfälle, die eine Beeinträchtigung der Funktionsfähigkeit der KRITIS auslösen können, etwa Cyberangriffe, Datenabflüsse oder massive Systemausfälle. Die Erstmeldung muss zeitnah erfolgen (typischerweise binnen 24 Stunden nach Kenntnis), eine Folgemeldung mit detaillierten Angaben binnen 72 Stunden. Verstöße können mit Bußgeldern geahndet werden. Mit der NIS-2-Umsetzung gelten die Meldepflichten für deutlich mehr Unternehmen, nicht nur klassische KRITIS-Betreiber.