Kritische Infrastruktur (KRITIS) bezeichnet Einrichtungen mit hoher Bedeutung für das Funktionieren des Gemeinwesens. In der Energiebranche unterliegen PV-Anlagen, Speicher und Direktvermarkter ab definierten Schwellen besonderen Schutzauflagen nach BSIG, NIS2UmsuCG und der KRITIS-Verordnung.
KRITIS-Schwellwerte 2026 (Stromsektor)
| Anlagentyp | Schwelle |
|---|---|
| Erzeugungsanlage (auch PV) | ≥ 104 MW installierte Leistung |
| Speicheranlage | ≥ 35 MW |
| Aggregator / Virtuelles Kraftwerk | Bewertung durch BSI |
| Übertragungsnetz-Betreiber | alle |
| Verteilnetz-Betreiber | > 500.000 Anschlüsse |
Pflichten KRITIS-Betreiber
- Stand der Technik bei IT-Sicherheit (BSI IT-Grundschutz / ISO 27001)
- Nachweispflicht alle 2 Jahre (KRITIS-Prüfung)
- Kontaktstelle zum BSI
- Vorfalls-Meldepflicht (sofortige Information an BSI)
- Notfall- und Krisenmanagement
- Mitarbeiter-Sensibilisierung und -Schulung
- Strenge Lieferketten-Anforderungen
Sanktionen
- Bußgelder bis 20 Mio. € oder 4 % des weltweiten Konzernumsatzes
- Persönliche Geschäftsleitungs-Haftung
- Untersagungsverfügungen bei wiederholten Verstößen
Bedeutung für PV-Investoren
Praxisbeispiel: 120-MW-Solarpark
- KRITIS-Schwelle erfüllt
- BSI-konformes Sicherheitskonzept: 85 T€ einmalig
- Laufende Audit-Kosten: 25–40 T€ alle 2 Jahre
- SIEM-Monitoring + 24/7-SOC: 60–120 T€/Jahr
- Cyber-Versicherung: 80–180 T€/Jahr (10-Mio.-Euro-Deckung)
FAQ Kritische Infrastruktur Photovoltaik
Wann gilt eine PV-Anlage als KRITIS?
Ab 104 MW installierter Leistung (Stromerzeugung). Bei Speichern ab 35 MW Leistung. Die Schwellen können in zukünftigen Reformen sinken.
Wer prüft KRITIS-Konformität?
Akkreditierte Prüfstellen (TÜV-IT, BSI-zertifizierte Auditoren) führen formale KRITIS-Prüfungen alle 2 Jahre durch.
Was bedeutet das für die Lieferkette?
Wechselrichter, Steuerungs-Hardware und Software müssen IEC-62443-konform sein. Auch SCADA-Systeme und Direktvermarktungs-Schnittstellen unterliegen den Anforderungen.
Welche Versicherung greift bei KRITIS-Vorfällen?
Cyber-Versicherung kombiniert mit Sach- und Ertragsausfall-Versicherung. Spezialisierte KRITIS-Policen entstehen 2026 zunehmend bei deutschen Versicherern.
Wer trägt Verantwortung bei Verstößen?
Geschäftsleitung persönlich. NIS2 bringt erweiterte Haftungen und Pflicht zu Cyber-Schulungen für Vorstände/Geschäftsführer.
Hinweis: Allgemeine fachliche Information, keine Rechts-, Anlage- oder Versicherungsberatung. Konkrete Risiko-, Versicherungs- oder Governance-Fragen sollten mit qualifizierten Beratern (Versicherungsmakler, Wirtschaftsprüfer, Steuerberater, Anwälte) abgestimmt werden.
