Letzte Aktualisierung: März 2026 | Lesezeit: ca. 10 Min.
Kritische Infrastrukturen — kurz KRITIS — sind das Nervensystem unserer Gesellschaft. Energieversorgung, Wasserwerke, Krankenhäuser, Verkehrssysteme und Telekommunikationsnetze: Wenn diese Infrastrukturen ausfallen, hat das unmittelbare Auswirkungen auf das öffentliche Leben. Die IT-Sicherheit dieser Einrichtungen ist deshalb nicht nur ein technisches, sondern ein gesellschaftliches Thema — und eines, das durch immer schärfere Regulierung einen wachsenden Markt für IT-Sicherheitsdienstleister schafft.
Für IT-Beratungsunternehmen, die sich auf IT-Sicherheit spezialisiert haben, ist der KRITIS-Sektor einer der attraktivsten Wachstumsmärkte überhaupt. In diesem Artikel zeigen wir Ihnen, welche Anforderungen KRITIS-Betreiber erfüllen müssen, welche Arten von IT-Ausschreibungen daraus entstehen und wie Sie sich als KRITIS-IT-Sicherheitsdienstleister positionieren.
Auf einen Blick
- 10 KRITIS-Sektoren von Energie bis Medien — viele Betreiber sind vergabepflichtig
- 25.000 bis 40.000 Organisationen werden durch NIS2 künftig IT-Sicherheitsanforderungen erfüllen müssen
- 500.000 bis 2 Mio. EUR/Jahr typisches Volumen für SOC-as-a-Service bei KRITIS-Betreibern
- Seit Mai 2023 müssen alle KRITIS-Betreiber Systeme zur Angriffserkennung (SzA) implementieren
- OT-Security ist eine hochspezialisierte Nische mit wenig Wettbewerb
Was KRITIS bedeutet und welche Sektoren betroffen sind
KRITIS steht für „Kritische Infrastrukturen" und umfasst Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen würde.
Die BSI-Kritisverordnung (BSI-KritisV) definiert aktuell zehn Sektoren:
Energie: Strom, Gas, Kraftstoff, Fernwärme. Stadtwerke, Netzbetreiber und Energieversorger — viele davon in öffentlicher Hand.
Wasser: Trinkwasserversorgung und Abwasserentsorgung. Kommunale Wasserwerke und Abwasserbetriebe sind typische KRITIS-Betreiber.
Ernährung: Lebensmittelproduktion und -versorgung. Weniger relevant für den IT-Beratungsmarkt, da die Betreiber überwiegend privatwirtschaftlich sind.
Informationstechnik und Telekommunikation: Internet-Knoten, DNS-Dienste, Rechenzentren, Telekommunikationsnetze. Ein Sektor mit naturgemäß hohem IT-Bezug.
Gesundheit: Krankenhäuser, Labore, Arzneimittelhersteller. Besonders Krankenhäuser sind als öffentliche Einrichtungen vergabepflichtig und haben enormen Nachholbedarf bei der IT-Sicherheit.
Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen. In diesem Sektor überschneiden sich die Anforderungen mit der BAIT-Compliance. Hier überlappen sich KRITIS-Anforderungen mit BAIT und DORA.
Transport und Verkehr: Flughäfen, Häfen, Bahnen, ÖPNV. Viele Betreiber sind öffentlich oder halböffentlich.
Siedlungsabfallentsorgung: Kommunale Entsorgungsbetriebe.
Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justiz.
Medien und Kultur: Rundfunk und Presse.
Für IT-Beratungsunternehmen sind besonders die Sektoren Energie, Wasser, Gesundheit, Transport und Staat/Verwaltung relevant, da hier viele Betreiber öffentlich oder öffentlich-rechtlich organisiert sind und damit vergabepflichtig.
Der regulatorische Rahmen: BSI-Gesetz, IT-SiG 2.0 und NIS2
Die KRITIS-Regulierung in Deutschland basiert auf mehreren Gesetzen und Verordnungen, die in den letzten Jahren immer schärfer geworden sind:
BSI-Gesetz (BSIG): Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik bildet die Grundlage der KRITIS-Regulierung. Es definiert die Aufgaben des BSI und die Pflichten der KRITIS-Betreiber.
IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0): 2021 in Kraft getreten, hat es die Pflichten der KRITIS-Betreiber deutlich erweitert. Die wichtigsten Neuerungen: Pflicht zur Implementierung von Systemen zur Angriffserkennung (SzA), erweiterte Meldepflichten gegenüber dem BSI, Registrierungspflicht beim BSI, erweiterte Befugnisse des BSI zur Kontrolle und Durchsetzung und Einführung des Begriffs „Unternehmen im besonderen öffentlichen Interesse" (UBI), die ähnliche Pflichten wie KRITIS-Betreiber haben.
NIS2-Umsetzung: Die europäische NIS2-Richtlinie wird durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in deutsches Recht überführt. NIS2 erweitert den Kreis der betroffenen Unternehmen und Einrichtungen massiv. Statt der bisherigen rund 2.000 KRITIS-Betreiber werden künftig schätzungsweise 25.000 bis 40.000 Organisationen von den IT-Sicherheitsanforderungen betroffen sein. Das bedeutet eine Vervielfachung des Beratungsbedarfs.
Zahlen & Fakten: NIS2 bedeutet eine Vervielfachung des Marktes: von ca. 2.000 regulierten KRITIS-Betreibern auf 25.000 bis 40.000 betroffene Organisationen. Für IT-Sicherheitsdienstleister entsteht hier ein Markt im Milliardenbereich.
BSI-Kritisverordnung: Definiert die konkreten Schwellenwerte, ab denen ein Betreiber als KRITIS gilt. Beispiel: Ein Krankenhaus gilt als KRITIS, wenn es mehr als 30.000 vollstationäre Fälle pro Jahr behandelt.
Pflichten der KRITIS-Betreiber — und der daraus resultierende Beratungsbedarf
KRITIS-Betreiber müssen eine Reihe von Pflichten erfüllen, die direkt zu IT-Ausschreibungen führen:
Umsetzung von IT-Sicherheitsmaßnahmen nach dem Stand der Technik: KRITIS-Betreiber müssen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen treffen. Der „Stand der Technik" wird durch branchenspezifische Sicherheitsstandards (B3S) konkretisiert. Die Umsetzung dieser Maßnahmen erfordert in der Regel externe Beratung und Implementierungsunterstützung.
Implementierung von Systemen zur Angriffserkennung (SzA): Seit dem 1. Mai 2023 müssen alle KRITIS-Betreiber Systeme zur Angriffserkennung implementieren. Das BSI hat eine „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" veröffentlicht, die die konkreten Anforderungen beschreibt. In der Praxis bedeutet das: SIEM-Systeme, SOC-Aufbau oder SOC-as-a-Service, Network Detection and Response, Endpoint Detection and Response und Log-Management. Jeder dieser Bereiche generiert Ausschreibungen.
Nachweis gegenüber dem BSI: KRITIS-Betreiber müssen dem BSI alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen. Dieser Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Viele Betreiber lassen sich nach ISO 27001 auf Basis von IT-Grundschutz zertifizieren oder verwenden branchenspezifische Sicherheitsstandards (B3S).
Meldepflichten: IT-Sicherheitsvorfälle müssen dem BSI gemeldet werden. Dafür brauchen Betreiber funktionierende Incident-Response-Prozesse und geschultes Personal.
IT-Notfallmanagement: KRITIS-Betreiber müssen über ein IT-Notfallmanagement verfügen, das Business Continuity Plans, Disaster Recovery Plans und regelmäßige Notfallübungen umfasst.
Typen von KRITIS-IT-Ausschreibungen
Aus den regulatorischen Pflichten ergeben sich verschiedene Typen von IT-Ausschreibungen:
1. ISMS-Aufbau und -Betrieb
Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) — typischerweise nach ISO 27001 oder auf Basis von BSI IT-Grundschutz — ist für viele KRITIS-Betreiber der erste Schritt. Ausschreibungen umfassen: Gap-Analysen gegen den gewählten Standard, Erstellung von Sicherheitsrichtlinien und -konzepten, Risikobewertungen und Schutzbedarfsfeststellungen, Implementierung des ISMS und Vorbereitung auf die Zertifizierung. Typisches Volumen: 200.000 bis 800.000 Euro.
2. Security Operations / SOC
Der Aufbau oder die Beschaffung von Security-Operations-Kapazitäten ist ein wachsender Markt. Viele KRITIS-Betreiber — insbesondere kleinere Stadtwerke oder Krankenhäuser — können kein eigenes SOC betreiben und suchen externe Partner. Wie der BSI-Grundschutz als Türöffner für IT-Sicherheitsausschreibungen dient, erklären wir in einem eigenen Artikel. Ausschreibungen umfassen: SOC-as-a-Service, SIEM-Implementierung und -Betrieb, Managed Detection and Response (MDR), Threat Intelligence und Security Monitoring. Typische Volumen: 500.000 bis 2 Millionen Euro pro Jahr.
3. IT-Notfallmanagement
Ausschreibungen in diesem Bereich umfassen: Business-Impact-Analysen (BIA), Erstellung von IT-Notfallplänen und Wiederanlaufplänen, Aufbau eines Krisenmanagements, Durchführung von Notfallübungen und -tests und Beratung zum BCM nach BSI 200-4 oder ISO 22301. Typisches Volumen: 100.000 bis 400.000 Euro.
4. Penetrationstests und Sicherheitsaudits
KRITIS-Betreiber lassen ihre IT-Systeme regelmäßig auf Schwachstellen prüfen. Worauf es dabei ankommt, zeigt unser Leitfaden zu Penetrationstests für Behörden. Die Ausschreibungen reichen von einzelnen Pentests (30.000 bis 80.000 Euro) bis zu Rahmenverträgen für regelmäßige Sicherheitsüberprüfungen (200.000 bis 500.000 Euro über die Vertragslaufzeit).
5. OT-Security (Operational Technology)
Praxis-Tipp: OT-Security ist die am stärksten wachsende Nische im KRITIS-Umfeld. Wenn Sie Expertise in der Absicherung von SCADA/ICS-Systemen aufbauen, erschließen Sie sich einen Markt mit sehr wenig Wettbewerb — besonders bei Stadtwerken und kommunalen Versorgern.
Eine Besonderheit im KRITIS-Umfeld: Viele Betreiber haben neben der klassischen IT auch OT-Systeme (Operational Technology) — also Steuerungssysteme für physische Prozesse (SCADA, ICS, SPS). Die Absicherung dieser OT-Systeme erfordert spezialisierte Expertise und generiert eigene Ausschreibungen. Typische Leistungen: OT-Security-Assessment, Netzwerksegmentierung IT/OT, OT-spezifisches Monitoring und Incident Response. Wenn Sie OT-Security-Expertise aufbauen, erschließen Sie sich eine hochspezialisierte Nische mit wenig Wettbewerb.
6. Zertifizierungsunterstützung
Viele KRITIS-Betreiber streben eine ISO-27001-Zertifizierung an — entweder auf Basis von IT-Grundschutz oder „nativ". Die Begleitung des Zertifizierungsprozesses ist ein eigenständiges Beratungsfeld mit Volumina von 100.000 bis 300.000 Euro.
Warum KRITIS-Betreiber zertifizierte Dienstleister brauchen
Tipp: Tendit kostenlos testen
Tendit findet automatisch passende IT-Ausschreibungen für Ihr Unternehmen — KI-gestützt und in Sekunden statt Stunden. Jetzt kostenlos testen →
Im KRITIS-Umfeld gibt es eine besondere Anforderung: Für den Nachweis gegenüber dem BSI (§ 8a BSIG) dürfen nur Prüfer eingesetzt werden, die die erforderliche Qualifikation und Unabhängigkeit nachweisen können. Das BSI führt eine Liste anerkannter Prüfstellen.
Aber auch jenseits der formalen Nachweispflichten bevorzugen KRITIS-Betreiber zertifizierte IT-Sicherheitsdienstleister. Die relevantesten Zertifizierungen und Qualifikationen sind:
BSI-zertifizierter IT-Sicherheitsdienstleister: Die Königsdisziplin. Zeigt, dass Ihr Unternehmen nach dem BSI-Schema für IT-Sicherheitsdienstleister geprüft wurde.
ISO 27001 (eigene Zertifizierung): Wenn Sie selbst nach ISO 27001 zertifiziert sind, zeigen Sie, dass Sie IT-Sicherheit nicht nur beraten, sondern auch leben.
Persönliche Zertifizierungen: CISSP, CISM, ISO 27001 Lead Auditor, BSI IT-Grundschutz-Praktiker/Berater, T.I.S.P. (TeleTrusT Information Security Professional). Je mehr Ihrer Mitarbeiter diese Zertifizierungen vorweisen können, desto stärker ist Ihre Position in Ausschreibungen.
Sicherheitsüberprüfung: Für Projekte bei besonders sicherheitsrelevanten KRITIS-Betreibern kann eine erweiterte Sicherheitsüberprüfung (SÜ2 oder SÜ3) erforderlich sein.
Die Rolle des BSI — und warum sie für Ihre Akquise relevant ist
Das BSI ist nicht nur Regulierer, sondern auch aktiver Gestalter des KRITIS-Marktes. Es veröffentlicht:
Orientierungshilfen: Detaillierte Dokumente zu spezifischen Themen wie Systeme zur Angriffserkennung, Cloud-Nutzung in KRITIS oder Fernwartung. Diese Orientierungshilfen definieren de facto, was in Ausschreibungen gefordert wird.
Branchenspezifische Sicherheitsstandards (B3S): Von Branchenverbänden entwickelte und vom BSI anerkannte Standards, die die allgemeinen Anforderungen für einen Sektor konkretisieren. B3S gibt es unter anderem für Wasser/Abwasser, Pharma, Krankenhäuser und Lebensmittelhandel.
Lageinformationen: Das BSI veröffentlicht regelmäßig Berichte zur IT-Sicherheitslage in Deutschland. Diese Berichte sensibilisieren KRITIS-Betreiber und erhöhen den Handlungsdruck — was sich in mehr Ausschreibungen niederschlägt.
Warnungen und Empfehlungen: Bei konkreten Bedrohungen gibt das BSI Warnungen heraus, die KRITIS-Betreiber zu sofortigen Maßnahmen veranlassen können.
Für Ihre Vertriebsstrategie bedeutet das: Verfolgen Sie die BSI-Veröffentlichungen aufmerksam. Jede neue Orientierungshilfe, jede Verschärfung einer Empfehlung kann eine Welle neuer Ausschreibungen auslösen.
Wie Sie sich als KRITIS-IT-Sicherheitsdienstleister positionieren
Der KRITIS-Markt belohnt Spezialisierung. Hier einige strategische Empfehlungen:
Sektorale Spezialisierung: Wählen Sie ein bis zwei KRITIS-Sektoren und werden Sie dort zum anerkannten Experten. Ein IT-Sicherheitsberater, der nachweislich mehrere Stadtwerke oder Krankenhäuser beraten hat, ist für den nächsten Auftraggeber aus dem gleichen Sektor deutlich attraktiver als ein Generalist.
Referenzen aufbauen: Im KRITIS-Umfeld zählen Referenzen besonders stark. Starten Sie mit kleineren Betreibern (z. B. kommunale Stadtwerke), um Referenzen aufzubauen, und arbeiten Sie sich zu größeren KRITIS-Betreibern vor.
Häufiger Fehler: Ohne sektorale Spezialisierung in den KRITIS-Markt einsteigen. Ein Generalist, der „IT-Sicherheit für alle Branchen" anbietet, verliert gegen einen Spezialisten, der nachweislich drei Stadtwerke oder fünf Krankenhäuser beraten hat.
B3S-Expertise: Machen Sie sich mit den branchenspezifischen Sicherheitsstandards Ihrer Zielsektoren vertraut. Wenn Sie den B3S für Krankenhäuser kennen, können Sie in Ausschreibungen sofort konkrete Lösungsvorschläge machen.
Partnerschaften mit Technologieanbietern: Bauen Sie Partnerschaften mit Herstellern von SIEM-Systemen, SOC-Plattformen und OT-Security-Lösungen auf. In vielen Ausschreibungen wird sowohl Beratung als auch Technologie gefordert.
Ein Markt mit Rückenwind
Der KRITIS-IT-Sicherheitsmarkt wächst aus mehreren Gründen ungebremst. Die regulatorischen Anforderungen werden mit jedem neuen Gesetz (IT-SiG 2.0, NIS2) strenger. Die Bedrohungslage verschärft sich — Ransomware-Angriffe auf Krankenhäuser, Stadtwerke und Verkehrsunternehmen sind keine Seltenheit mehr. Und die NIS2-Umsetzung wird den Kreis der betroffenen Organisationen vervielfachen.
Für IT-Beratungsunternehmen mit IT-Sicherheitsexpertise ist das eine einmalige Chance. Aber nur, wenn Sie die Ausschreibungen finden. KRITIS-Betreiber schreiben über alle föderalen Ebenen hinweg aus — von der Bundesebene über die Länder bis zu den Kommunen. Eine systematische Suche über alle relevanten Vergabeplattformen ist der Schlüssel, um diesen Markt zu erschließen.
Zusammenfassung
- KRITIS umfasst 10 Sektoren — Energie, Wasser, Gesundheit und Transport bieten die meisten vergabepflichtigen Betreiber
- NIS2 vervielfacht den Kreis der betroffenen Organisationen auf 25.000-40.000
- Die Pflicht zu Systemen zur Angriffserkennung (SzA) treibt aktuell massive Investitionen
- Sektorale Spezialisierung und BSI-Zertifizierungen sind entscheidende Differenzierungsfaktoren
- OT-Security ist eine lukrative Nische mit wenig Wettbewerb
Testen Sie Tendit 8 Wochen kostenlos — und verpassen Sie keine relevante Ausschreibung mehr. usetendit.com
