KRITIS und NIS2 werden oft in einem Atemzug genannt – und genauso oft durcheinandergebracht. Für IT-Teams stellt sich am Ende aber eine sehr praktische Frage: Was müssen wir eigentlich dokumentieren? Dieser Artikel ordnet ein, ohne euch durch den Paragraphen-Dschungel zu schicken.
KRITIS und NIS2 – kurz auseinandergehalten
KRITIS steht für Kritische Infrastrukturen: Betreiber in besonders wichtigen Sektoren (etwa Energie, Wasser, Gesundheit, Transport), die ab bestimmten Schwellenwerten besondere Pflichten haben. Maßgeblich sind hier das BSI-Gesetz und die zugehörige Verordnung.
NIS2 ist der breitere europäische Rahmen für Cybersicherheit. Er weitet den Kreis der betroffenen Unternehmen deutlich aus – viele Organisationen, die bisher nicht als KRITIS galten, fallen nun unter vergleichbare Anforderungen.
Die beiden überschneiden sich: KRITIS-Betreiber sind in der Regel auch von NIS2 erfasst, aber NIS2 reicht weiter. Für die Dokumentation ist die gute Nachricht: Der praktische Kern ist in beiden Fällen derselbe.
Welche Dokumentationspflichten wirklich relevant sind
Hinter den juristischen Formulierungen stehen konkrete, nachvollziehbare Anforderungen an eure Dokumentation:
- Inventar der kritischen Systeme: Welche Anlagen, Systeme und Anwendungen sind für eure Leistungserbringung wesentlich?
- Kritikalität und Schutzbedarf: Wie schwer wiegt der Ausfall jedes Systems – und welche Daten verarbeitet es?
- Verantwortlichkeiten: Wer ist für Betrieb und Sicherheit jedes Systems zuständig, namentlich und erreichbar?
- Abhängigkeiten und Lieferanten: Wovon hängen kritische Systeme ab, welche Dienstleister haben Zugriff?
- Nachweisbarkeit: Lässt sich belegen, dass diese Informationen aktuell gepflegt werden – nicht erst kurz vor der Prüfung?
Der gemeinsame Kern: ein aktuelles, strukturiertes Inventar
Egal, ob euch KRITIS, NIS2 oder beides betrifft – ihr kommt nicht um eine Sache herum: einen strukturierten, aktuellen Überblick über eure Systeme, ihre Kritikalität, Verantwortlichkeiten und Abhängigkeiten. Alle weiteren Maßnahmen bauen darauf auf. Ohne dieses Inventar ist jede Compliance-Anstrengung ein Stochern im Nebel.
Wie eine solche Liste konkret aussieht und welche Felder hineingehören, zeigt unser Artikel zur NIS2 Applikationsliste.
Der häufigste Fehler: Doku als Einmal-Projekt
Die meisten Teams schaffen eine erste Version ihrer Dokumentation. Was selten gelingt, ist die Aktualität. Eine Prüfung will aber keine Momentaufnahme sehen, sondern belastbare, gepflegte Informationen. Verankert die Pflege deshalb im laufenden Betrieb – mit Review-Zyklen und automatischen Hinweisen auf veraltete Einträge, statt mit hektischer Aufbereitung vor jedem Audit.
Fazit
KRITIS und NIS2 unterscheiden sich im Detail, verlangen aber denselben praktischen Kern: zu wissen, welche Systeme kritisch sind, wer verantwortlich ist und wovon sie abhängen – nachweisbar und aktuell. Wer dieses Inventar einmal sauber aufsetzt und pflegt, hat den größten Teil beider Welten im Griff.
Weiterlesen: NIS2 Applikationsliste – was rein muss · Applikationsverantwortlicher: Definition & Aufgaben