Skip to main navigation Skip to main content Skip to page footer
My Site Package My Site Package

KRITIS-Audit vor der Tür – und NIS 2 steht (vielleicht) kurz vor dem Beschluss: Was Unternehmen jetzt beachten müssen

Kontext (Stand: 1. November 2025): In Deutschland gilt für KRITIS-Betreiber aktuell der zweijährige Nachweiszyklus nach § 8a BSIG. Parallel arbeitet die Bundesregierung an der Umsetzung der EU-Richtlinie NIS 2. Der Regierungsentwurf liegt vor; der Bundesrat hat zuletzt Nachbesserungen eingefordert. Sollte der Bundesrat noch in diesem Jahr zustimmen, treten Übergangs- und neue Fristen in Kraft, die den Nachweis-Rhythmus und die Terminierung verändern können.
 

Was gilt bis zum Inkrafttreten des NIS 2-Umsetzungsgesetzes?

  • Nachweise alle zwei Jahre: Betreiber Kritischer Infrastrukturen müssen „alle zwei Jahre“ die Erfüllung der Anforderungen nach § 8a Abs. 1 und 1a BSIG gegenüber dem BSI nachweisen – durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
  • SzA ist fester Prüfungsbestandteil: Seit 01.05.2023 ist der Einsatz von Systemen zur Angriffserkennung (SzA) Bestandteil des Nachweises.
  • Prozess & Formate: Das BSI hat das Nachweisverfahren modernisiert (u. a. GAiN/RUN-Vorgaben; digitale Einreichung für Prüfungen mit Abschluss nach dem 01.04.2025). Abweichungen sind nur in begründeten Ausnahmefällen mit schriftlicher Zustimmung des BSI möglich.

Wenn Ihr Audit jetzt ansteht, gilt weiterhin der zweijährige Turnus des § 8a BSIG – inklusive SzA-Nachweis und BSI-Formvorgaben.

Was ändert sich mit NIS 2 (voraussichtlich)?

Der Regierungsentwurf (NIS2UmsuCG/BSIG-E) bringt u. a. folgende Punkte:

  • Neue Kategorien & Reichweite: Neben Betreibern kritischer Anlagen (Nachfolger der bisherigen KRITIS-Betreiber) werden „wesentliche“ und „wichtige Einrichtungen“ reguliert – der Kreis der betroffenen Unternehmen wird deutlich größer.
  • Nachweiszyklus auf 3 Jahre: Für Betreiber kritischer Anlagen ist künftig ein dreijähriger Nachweisrhythmus vorgesehen.
  • Übergang für bisherige KRITIS-Betreiber: Der erste Nachweis nach neuem Recht entsteht nicht automatisch mit Inkrafttreten. Das BSI setzt den Termin individuell fest – frühestens drei Jahre nach dem letzten § 8a-Nachweis.

Implikation: Kommt der Bundesrats-Beschluss noch 2025, kann das je nach letzter Einreichung spürbar Luft verschaffen – aber erst ab Inkrafttreten und nach individueller Terminsetzung durch das BSI.

Audit verschieben – geht das?

A) Bis zum Inkrafttreten (altes Recht):

  • Keine generelle Fristverlängerung aus dem Gesetz ableitbar. Der Zwei-Jahres-Turnus gilt; Einreichungen vor Fristende sind zulässig, nach Fristende riskant. Das BSI ermöglicht abweichende Einreichwege nur in begründeten Ausnahmefällen und mit Zustimmung (Form & Prozess, nicht pauschal Fristen).

B) Ab Inkrafttreten (neues Recht):

  • Übergangsmechanik (§ 39 BSIG-E): Der erste Nachweis nach neuem Recht kommt erst, wenn das BSI Ihren Termin festsetztfrühestens 3 Jahre nach Ihrem letzten § 8a-Nachweis. Das ist de facto eine Terminverschiebung durch Gesetz – allerdings nicht durch eigenständigen Antrag.
  • Was, wenn Sie genau jetzt prüfen? Ein juristisches Memo weist darauf hin, dass unter altem Recht begonnene oder geplante Nachweise bei einem Inkrafttreten zwischendrin Übergangsfragen aufwerfen (Anerkennung, Anrechnung als Startpunkt für die neue 3-Jahres-Frist). Hier ist transparente Abstimmung mit Prüfstelle und BSI ratsam.

C) Operative Feinsteuerung (praktisch, nicht „rechtlich“):

  • Scope & Timing austarieren: Innerhalb des gesetzlichen Fensters lässt sich das Prüfende-Datum (und damit die Einreichfrist) durch Projekt- und Ressourcenplanung beeinflussen – z. B. Staffelung von Interviews, zeitliche Reihenfolge von Werken/Anlagen, Fertigstellung der Mängelliste etc. Das ändert keine gesetzliche Frist, hilft aber beim realistischen Zieltermin. (Achtung: Für Prüfungen mit Ende nach 01.04.2025 greifen die neuen RUN/GAiN-Vorgaben.)

Konkrete To-dos für Unternehmen, deren KRITIS-Audit jetzt ansteht

  1. Fristenlage klären:
  2. SzA-Reife sicherstellen:
  3. RUN/GAiN anwenden:
  4. Scope sauber schneiden:
  5. NIS 2-Betroffenheit prüfen (über KRITIS hinaus):
  6. Kommunikation mit Prüfstelle & BSI:

Entscheidungsbaum: Audit jetzt durchziehen – oder auf NIS 2 hoffen?

  • Audit jetzt fertigstellen, wenn
  • Audit-Timing taktisch justieren, wenn

Ein „Aufschub“ im engeren Sinn ist vor Inkrafttreten rechtlich nicht vorgesehen; es bleibt beim Zwei-Jahres-Zyklus. Die echte Entzerrung entsteht erst mit dem neuen Recht durch die individuelle Terminsetzung.

Häufige Missverständnisse

  • „Mit NIS 2 entfällt das Audit.“ – Falsch. Der Nachweis bleibt, wird aber alle drei Jahre fällig; Inhalte und Kreis der Pflichten steigen eher.
  • „Wir können einfach um X Monate verlängern.“ – Vorsicht. Eine pauschale Fristverlängerung kennt § 8a BSIG nicht; Ausnahmen betreffen Form/Einreichweg und bedürfen BSI-Zustimmung.
  • „Alte Nachweise zählen nicht mehr.“ – So pauschal falsch. Entwürfe sehen vor, dass der neue Dreijahresrhythmus vom letzten § 8a-Nachweis aus berechnet wird; Details regelt die BSI-Terminsetzung.

7) Praktische Checkliste (zum Abhaken)

  • Frist kalendarisch fixiert (letzte Einreichung + 24 Monate) – Reminder gesetzt.
  • SzA-Nachweis (Betrieb, Detektions-/Reaktionsprozesse) vollständig.
  • GAiN/RUN angewendet, neue RUN-Pflichten ab 01.04.2025 berücksichtigt.
  • Scope & Evidenzen konsistent (ISMS/BCMS, technische/organisatorische Maßnahmen).
  • NIS 2-Betroffenheit (wesentliche/wichtige Einrichtung) geprüft.
  • Fallback dokumentiert, falls NIS 2 mitten im Projekt in Kraft tritt (Welche Fassung? Welche Formate?).

Wer jetzt ein KRITIS-Audit vor sich hat, muss weiterhin nach § 8a BSIG liefern – samt SzA und BSI-Formvorgaben. Kommt NIS 2 noch 2025, entsteht kein Automatismus zur sofortigen Nachweiserbringung nach neuem Recht; vielmehr setzt das BSI den ersten Termin (frühestens 3 Jahre nach dem letzten § 8a-Nachweis). Das kann den Zeitplan entschärfen, ersetzt aber nicht die laufende Compliance-Arbeit. Planen, dokumentieren, und eng mit Prüfstelle & BSI abstimmen – so nutzt ihr die Übergangsphase, ohne Frist- oder Anerkennungsrisiken.

Quellen (Auswahl): § 8a BSIG; BSI-Hinweise zu Nachweisen, GAiN/RUN & SzA; Regierungs-/Referentenentwürfe NIS2UmsuCG; Bundestags/Bundesrats-Kommunikation zum Verfahrensstand; juristische Auswertung der Übergangsfristen.

 

Zurück
Cookie-Hinweis

Wir verwenden Cookies und ähnliche Technologien, um diese Website zu betreiben sowie Zugriffe zu analysieren (Google Analytics). Die Analyse erfolgt nur mit deiner Einwilligung. Du kannst deine Auswahl jederzeit über „Cookie-Einstellungen“ ändern oder widerrufen.

Notwendige Cookies

Wir verwenden notwendige Cookies, damit diese Website sicher und zuverlässig funktioniert (z. B. Seitennavigation, Spracheinstellungen, Cookie-Auswahl). Diese Cookies sind für den Betrieb erforderlich und können nicht deaktiviert werden.

Anbieter: Google LLC
Zweck: Web-Statistik
Impressum | Datenschutz