Als Betreiber einer kritischen Anlage identifiziert? Wir bringen Sie sicher durch den Nachweis.
Von der Betroffenheitsanalyse über Geltungsbereich, Gap-Analyse, Roadmap und Umsetzung bis zur begleiteten §39-Nachweisprüfung – KI-gestützt, deutschsprachig und prüfungssicher. Auf Wunsch als vollständig gemanagter Service.
Acht Schritte. Ein Ergebnis.
Strukturiert von der Betroffenheit bis zur bestandenen externen Prüfung.
KRITIS in der Praxis
Einblicke aus regulierten Branchen – aktuelle Rechtslage, Prüfungserfahrung und konkretes Vorgehen.
KRITIS steht heute auf zwei Säulen – und beide treffen Sie gleichzeitig.
Die frühere KRITIS-Welt wurde 2025/2026 grundlegend neu geordnet. Cybersicherheit und physische Resilienz werden inzwischen über zwei eigenständige Gesetze reguliert. Wer eine kritische Anlage betreibt, fällt in der Regel unter beide.
Cybersicherheit & Nachweis
Das NIS2-Umsetzungsgesetz hat das BSIG reformiert und ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Es regelt Risikomanagement, Meldepflichten und das §39-Nachweisverfahren.
- Betreiber kritischer Anlagen sind automatisch „besonders wichtige Einrichtung" (§28 BSIG).
- Nachweis der Maßnahmen gegenüber dem BSI alle drei Jahre (§39 BSIG).
- Meldekorridor 24 h / 72 h / Abschlussbericht bei Sicherheitsvorfällen.
- Registrierung beim BSI über das neue Portal (§33/§34 BSIG).
Physische Resilienz
Das KRITIS-Dachgesetz setzt die EU-CER-Richtlinie um und adressiert nach dem All-Gefahren-Ansatz die physische Sicherheit – vom Bundestag am 29.01.2026 beschlossen, 2026 in Kraft.
- Registrierung der Anlagen beim BBK über die gemeinsame BBK/BSI-Plattform.
- Risikoanalysen, Resilienzmaßnahmen und Krisenmanagement (§13).
- 24/7-Kontaktstelle und Meldeketten bei Störungen.
- Mapping zu ISO 27001 und ISO 22301 schafft Synergien zur Umsetzung.
Sind Sie wirklich Betreiber einer kritischen Anlage?
Die wichtigste Frage zuerst – und sie ist 2026 komplexer geworden. Maßgeblich ist nicht mehr nur die einzelne Anlage, sondern das Zusammenspiel aus BSI-KritisV, NIS2-Umsetzung und KRITIS-Dachgesetz. Wir prüfen Ihre Betroffenheit belastbar und rechtssicher.
Schwellenwert-Prüfung
Erreicht Ihre Anlage den Regel-Schwellenwert von 500.000 versorgten Personen? Wir bewerten quantitative und qualitative Kriterien wie Marktanteil, Reichweite und Interdependenzen je Sektor.
Doppelte Einordnung
Wer eine kritische Anlage betreibt, ist automatisch besonders wichtige Einrichtung nach §28 BSIG – das bedeutet doppelte Pflichten, keine Wahlmöglichkeit. Wir machen sichtbar, was für Sie gilt.
Schnittstelle zur NIS2-Analyse
Die KRITIS-Betroffenheit wird analog zur NIS2-Betroffenheit ermittelt und sauber miteinander verzahnt – eine konsistente Datenbasis statt zweier paralleler Prüfungen.
→ Zur NIS2-BeratungWelche Branchen unter KRITIS fallen
Kritische Dienstleistungen zur Versorgung der Allgemeinheit – über alle regulierten Sektoren hinweg. Betreiber kritischer Anlagen in diesen Bereichen unterliegen den Pflichten aus BSIG und KRITIS-Dachgesetz.
Energie
Strom, Gas, Kraftstoff & Mineralöl, Fernwärme
Wasser
Trinkwasserversorgung & Abwasserentsorgung
Ernährung
Lebensmittelversorgung & -logistik
IT & Telekommunikation
Netze, Rechenzentren, digitale Dienste
Gesundheit
Krankenhäuser, Arzneimittel, Labore
Finanz & Versicherung
Zahlungsverkehr, Börsen, Versicherer
Transport & Verkehr
Luft, Schiene, Straße, See, Logistik
Siedlungsabfall
Entsorgung & Abfallbewirtschaftung
Ergänzt um Weltraum, öffentliche Verwaltung sowie weitere Sektoren nach NIS2 – die konkrete Zuordnung klären wir in der Betroffenheitsanalyse.
Von der Betroffenheit bis zum bestandenen Nachweis – in acht Schritten.
Ein durchgängiger, prüfungssicherer Pfad. Jeder Schritt ist einzeln buchbar oder als gemanagter Gesamtprozess – KI-gestützt mit VamiGRC und begleitet durch erfahrene Lead Auditoren.
Betroffenheitsanalyse nach KRITIS
Wir klären rechtssicher, ob und mit welchen Anlagen Sie als Betreiber kritischer Anlagen gelten – analog zur NIS2-Betroffenheit und sauber damit verzahnt. Ergebnis ist eine belastbare Einordnung inklusive der daraus folgenden Pflichten nach BSIG und KRITIS-Dachgesetz.
Schnittstelle: NIS2-BetroffenheitDefinition des Geltungsbereichs
Präzise Abgrenzung der kritischen Anlage im Unternehmen – mit zugehörigen Prozessen, IT und OT. Wir definieren den Geltungsbereich und den Netzstrukturplan so, dass die Angriffserkennung vollständig sichtbar ist und unüberwachte Bereiche klar markiert sind – exakt nach den Anforderungen des §39-Nachweisverfahrens (GAiN 2.2).
Gap-Analyse nach KRITIS
Strukturierter Soll-Ist-Abgleich gegen die geltende Prüfgrundlage – branchenspezifischer B3S, sektorübergreifende Anforderungen und KRITIS-Spezifika. Wir berücksichtigen ISO 27001 und ISO 22301, um vorhandene Strukturen wiederzuverwenden und Doppelarbeit zu vermeiden.
Roadmap & detaillierter Maßnahmenplan
Aus den Lücken wird ein priorisierter, terminierter Umsetzungsplan mit klaren Verantwortlichkeiten, Aufwänden und Meilensteinen – ausgerichtet auf die nächste Nachweisprüfung und die Fristen aus BSIG und Dachgesetz.
Umsetzungsbegleitungoptional vCISO / vISB
Wir begleiten die Umsetzung operativ – auf Wunsch mit einem externen vCISO bzw. virtuellen Informationssicherheitsbeauftragten (vISB), der die ISB-Funktion regulatorisch vollständig erfüllt (BSIG, NIS2, ISO 27001). Steering, Reporting an die Geschäftsleitung und Audit-Vorbereitung aus einer Hand.
ISMS-Plattformoptional VamiGRC
Auf Wunsch implementieren und betreiben wir Ihre ISMS-Plattform – entweder Ihre bestehende Lösung oder unsere eigene KI-gestützte Plattform VamiGRC. Risiken, Controls, Policies, Maßnahmen und Evidenzen auf einer einzigen, auditfähigen Datenbasis.
VamiGRC kennenlernenFormales internes Audit
Vor der externen Prüfung führen wir ein formales internes Audit nach anerkannten Standards durch – inklusive Mängelliste, Bewertung (schwerwiegend / geringfügig) und konkretem Umsetzungsplan. So gehen Sie ohne Überraschungen in die Nachweisprüfung.
Begleitung der externen Nachweisprüfung
Wir koordinieren die unternehmensfremde prüfende Stelle, bereiten alle Nachweisdokumente und Anlagen vor (Geltungsbereich, Mängelliste, Prüfgrundlage) und begleiten Sie durch das gesamte §39-Verfahren bis zum erfolgreichen Nachweis gegenüber dem BSI.
Der Nachweis ist kein Projekt zum Schluss – er ist der Maßstab von Anfang an.
Betreiber kritischer Anlagen müssen ihre Maßnahmen alle drei Jahre gegenüber dem BSI nachweisen. Die prüfende Stelle und das Prüfteam müssen unternehmensfremd sowie rechtlich und wirtschaftlich unabhängig sein; ein B3S allein genügt nicht. Ab dem 01.01.2027 gelten zusätzliche Anforderungen für die Anerkennung von Zertifikaten im Nachweis. Wir denken den Nachweis vom ersten Schritt an mit – damit aus Anforderungen kein Engpass wird.
KRITIS steht nie allein – wir verbinden es mit Ihrer Compliance-Landschaft.
KRITIS, NIS2 und Ihr Managementsystem teilen sich Risiken, Controls und Evidenzen. Statt isolierter Projekte schaffen wir eine konsistente, wiederverwendbare Basis.
NIS2-Beratung
Betreiber kritischer Anlagen sind automatisch besonders wichtige Einrichtung. Wir führen die KRITIS- und NIS2-Pflichten konsistent zusammen – eine Betroffenheit, ein integriertes Vorgehen.
Zur NIS2-Beratung →VamiGRC
Unsere KI-gestützte ISMS- und GRC-Plattform: Risiken, Controls, Policies, Maßnahmen und Evidenzen auf einer auditfähigen Datenbasis – kontinuierliches Monitoring inklusive.
VamiGRC entdecken →GRC as a Service
Sie wollen kein Team aufbauen? Wir übernehmen das gesamte KRITIS- und GRC-Tagesgeschäft als externer Stack – vCISO, Plattform und Audit-Begleitung, auditfähig ab Tag 1.
GRC as a Service →„GRC as a Service" – Ihr KRITIS-Nachweis, vollständig gemanagt.
Von der Betroffenheit über die laufende Pflege des ISMS bis zur dreijährlichen Nachweisprüfung: Wir übernehmen den kompletten Zyklus als externer GRC-Stack – mit dediziertem vCISO/vISB, VamiGRC-Plattform und Koordination der prüfenden Stelle. Kein Aufbau einer eigenen Abteilung, kein Vendor-Lock-In.
Alles, was Ihr KRITIS-Programm braucht
Häufige Fragen zur KRITIS-Beratung
Woher weiß ich, ob ich Betreiber einer kritischen Anlage bin?
Was ist der Unterschied zwischen KRITIS, NIS2 und dem KRITIS-Dachgesetz?
Wie oft muss der Nachweis nach §39 BSIG erbracht werden?
Brauchen wir trotzdem einen internen Informationssicherheitsbeauftragten?
Müssen wir die VamiGRC-Plattform nutzen?
Können wir die gesamte KRITIS-Compliance auslagern?
Vertrauen aus regulierten Branchen
Was Kunden über die Zusammenarbeit mit VamiSec sagen.
„VamiSec hat gemeinsam mit uns für einen KRITIS-Kunden eine Gap-Analyse zur NIS2-Richtlinie durchgeführt. Die Kompetenz des gesamten Teams & das tiefgründige Wissen ist mir besonders aufgefallen. Wir empfehlen VamiSec zu 100% uneingeschränkt weiter."
„Ich arbeite seit mehreren Jahren mit Herrn Milke zusammen. Er hat sowohl strategische Konzepte entwickelt als auch technische Prüfungen durchgeführt und als Trainer Workshops veranstaltet. Seine ruhige und souveräne Art macht ihn zu einem wahren trusted advisor."
Klären Sie Ihre KRITIS-Betroffenheit – im kostenlosen Erstgespräch.
Keine Verkaufspräsentation, sondern eine ehrliche Einschätzung Ihrer Situation und der nächsten sinnvollen Schritte.
