Zur Startseite gehen
Inhaltsverzeichnis

KRITIS-Dachgesetz & IT-Sicherheitsgesetz 3.0

Was Unternehmen jetzt beachten müssenMit dem KRITIS-Dachgesetz und dem IT-Sicherheitsgesetz 3.0 verschärft der Gesetzgeber die Anforderungen an Sicherheit, Stabilität und Resilienz digitaler Infrastrukturen deutlich. Auch wenn nicht jedes Unternehmen formell als KRITIS-Betreiber eingestuft wird, sind viele Organisationen direkt oder indirekt betroffen – insbesondere über IT-Abhängigkeiten, Lieferketten und geschäftskritische digitale Prozesse.

Veröffentlicht: 17.02.2026 Lesezeit: ~6 min
Ein moderner, hochgesicherter Rechenzentrums-Korridor mit leuchtendem "KRITIS"-Logo symbolisiert kritische IT-Infrastruktur in Deutschland.

Für viele Unternehmen stellt sich daher weniger die Frage ob, sondern wie sie sich mit den neuen Anforderungen auseinandersetzen müssen. Dieser Beitrag ordnet das KRITIS-Dachgesetz ein, zeigt die zentralen Pflichten auf und erklärt, warum Cloud-Infrastruktur dabei eine entscheidende Rolle spielt.

Was regelt das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz setzt die europäische CER-Richtlinie um und erweitert den bisherigen Fokus auf klassische IT-Sicherheit. Im Mittelpunkt steht künftig die Resilienz kritischer und geschäftsrelevanter Systeme – also die Fähigkeit, auch bei Störungen, Angriffen oder Krisen handlungsfähig zu bleiben.

Neu ist vor allem der ganzheitliche Ansatz des Gesetzes. Betrachtet werden nicht mehr nur einzelne technische Schutzmaßnahmen, sondern das Zusammenspiel aus:

  • Cyber-Sicherheit und physischer Sicherheit
  • Technik und Organisation
  • Prävention sowie Krisen- und Notfallmanagement

Für Unternehmen bedeutet das: Sicherheitsmaßnahmen dürfen nicht länger isoliert betrachtet werden. Sie werden Teil einer übergreifenden Betriebs-, Risiko- und Infrastrukturstrategie.

Das KRITIS-Dachgesetz macht deutlich: Resilienz ist kein IT-Detail mehr, sondern eine Management-Aufgabe. Unternehmen müssen heute nachweisen können, dass ihre Systeme nicht nur sicher sind, sondern auch unter Stress stabil weiterlaufen – technisch, organisatorisch und operativ.

Sascha Vorderstemann,
CEO bei elio GmbH

Porträt von Sascha Vorderstemann, elio GmbH

Welche Unternehmen sind betroffen?

Auch Unternehmen, die nicht klassisch zur KRITIS zählen, sollten das Gesetz ernst nehmen. Besonders relevant ist es für Organisationen, die:

  • IT- oder Cloud-Dienstleistungen für KRITIS-nahe Branchen erbringen
  • geschäftskritische Plattformen oder digitale Kernprozesse betreiben
  • unter NIS2, ISO 27001 oder vergleichbare Regularien fallen
  • hohe Anforderungen an Verfügbarkeit, Datenschutz und Betriebssicherheit haben

Gerade Cloud-, Hosting- und Plattformanbieter rücken dabei stärker in die Verantwortung. Denn sie tragen maßgeblich dazu bei, wie resilient die Systeme ihrer Kunden tatsächlich sind.

Zentrale Anforderungen für Unternehmen

Risiko- und Resilienzmanagement

Ein zentraler Bestandteil des KRITIS-Dachgesetzes ist die verpflichtende, strukturierte Risikoanalyse. Unternehmen müssen Risiken nicht nur technisch, sondern auch organisatorisch bewerten.

Typische Fragestellungen sind:

  • Welche Systeme sind kritisch für den Geschäftsbetrieb?
  • Welche Auswirkungen hätte ein Ausfall oder ein gezielter Angriff?
  • Wie schnell können Systeme wiederhergestellt werden (RTO/RPO)?

Ein dokumentiertes Resilienz- und Notfallkonzept wird damit zum festen Bestandteil moderner IT-Governance.

Technische und organisatorische Schutzmaßnahmen (TOM)

Darüber hinaus fordert das Gesetz nachweisbare Maßnahmen zur Absicherung von IT-Systemen und Daten. Dazu zählen unter anderem:

  • Identitäts- und Zugriffskontrollen (IAM, MFA, Zero Trust)
  • Netzwerk- und Mandantentrennung
  • Monitoring, Logging und Angriffserkennung
  • Härtung von Cloud- und Container-Infrastrukturen
  • klar definierte Verantwortlichkeiten und dokumentierte Prozesse

Gerade in Cloud-Umgebungen zeigt sich dabei deutlich: Nicht das einzelne Tool entscheidet über Sicherheit, sondern Architektur und Betrieb.

Melde- und Nachweispflichten

Sicherheitsvorfälle müssen künftig strukturiert erkannt, bewertet und gemeldet werden. Gleichzeitig steigen die Anforderungen an:

  • nachvollziehbare Dokumentation
  • Audit- und Reporting-Fähigkeit
  • klare Eskalations- und Kommunikationsprozesse

Unternehmen ohne etablierte Betriebs- und Monitoring-Konzepte geraten hier schnell unter Handlungsdruck.

Warum Cloud-Infrastruktur jetzt ein Compliance-Thema ist

Mit der Verschärfung der regulatorischen Anforderungen wird Cloud-Infrastruktur nicht länger nur als technischer Unterbau betrachtet. Sie wird zum zentralen Treiber für Compliance, Sicherheit und Betriebsstabilität.

Moderne Infrastrukturen müssen heute nicht nur funktionieren, sondern nachweislich regelkonform, ausfallsicher und auditfähig betrieben werden. Viele Compliance-Anforderungen – etwa zu Verfügbarkeit, Verantwortlichkeit oder Protokollierung – lassen sich nicht nachträglich „aufsetzen“. Sie müssen technisch in der Plattform verankert sein.

Professionelle Cloud-Architekturen bringen dafür zentrale Voraussetzungen mit:

  • hochverfügbare Setups mit automatisierter Lastverteilung
  • revisionssicheres Logging, Monitoring und Incident-Management
  • transparente Zugriffskontrollen und klar definierte Zuständigkeiten

So wird Compliance nicht nur geplant, sondern im laufenden Betrieb belegbar.

Kubernetes: Resilienz durch orchestrierten Betrieb

Container-Orchestrierung mit Kubernetes ist heute Industriestandard für dynamische Applikationslandschaften. Doch Kubernetes ist weit mehr als ein Deployment-Werkzeug. Richtig betrieben, bildet es ein Fundament für resilienten, nachvollziehbaren und skalierbaren IT-Betrieb.

Zu den zentralen Vorteilen zählen:

  • automatische Skalierung und Selbstheilung bei Ausfällen
  • deklarative Konfigurationen, die Infrastrukturzustände transparent machen
  • klare Segmentierung von Workloads zur besseren Sicherheitssteuerung

Ein professionell gemanagter Kubernetes-Betrieb schafft damit eine belastbare Grundlage, um regulatorische Anforderungen wie Melde-, Nachweis- und Resilienzpflichten strukturiert umzusetzen.

Moderne Plattformen wie Kubernetes zeigen, dass Resilienz planbar ist – vorausgesetzt, Betrieb, Sicherheit und Governance werden von Anfang an zusammengedacht. Genau hier entscheidet sich, ob Regulierung zur Last oder zum Wettbewerbsvorteil wird.

Simon Neuberger,
 CTO bei elio GmbH

Porträt von Simon Neuberger, elio GmbH

Souveränes OpenStack-Hosting in Deutschland

Ein weiterer zentraler Aspekt regulatorischer Anforderungen ist die Datenhoheit. Cloud-Hosting in Rechenzentren von deutschen Unternehmen spielt hier eine entscheidende Rolle.

Vorteile sind unter anderem:

  • Datenhaltung im deutschen und europäischen Rechtsraum
  • physische Standorte, die regulatorische Prüfungen erleichtern
  • klare rechtliche Zuständigkeiten

OpenStack als Open-Source-Cloud-Plattform bietet zusätzlich Transparenz und Flexibilität. In einer Managed-OpenStack-Umgebung lassen sich Private-, Hybrid- oder Multi-Cloud-Strategien umsetzen – ohne Vendor-Lock-in und mit hoher technischer Nachvollziehbarkeit. Hosting wird damit nicht nur leistungsfähig, sondern auch rechtlich belastbar.

Managed Services: Betrieb als Compliance-Enabler

Entscheidend für die Einhaltung regulatorischer Vorgaben ist nicht allein die Infrastruktur, sondern ihr laufender Betrieb. Dazu gehören:

  • kontinuierliches Monitoring
  • zentrales Logging und Alerting
  • regelmäßiges Patch- und Vulnerability-Management
  • Betrieb nach ISO 27001 und regulatorischen Standards

Managed Services sorgen dafür, dass diese Aufgaben dauerhaft, dokumentiert und prüfbar umgesetzt werden. So entsteht klare Verantwortung zwischen Betreiber und Kunde – und eine Infrastruktur, die auch Audits standhält.

Icon symbolisch für Vorteil: Bestehend aus einem blauen Kreis mit einem dunkelblauen Checkhaken

Was Unternehmen jetzt konkret tun sollten

Um handlungsfähig zu bleiben, empfiehlt sich ein strukturierter Ansatz:

  1. Eine Ist-Analyse zu Security, Resilienz und Compliance durchführen
  2. Kritische Systeme priorisieren
  3. Cloud- und Betriebsmodelle realistisch bewerten
  4. KRITIS-Dachgesetz, NIS2 und ISO 27001 zusammendenken
  5. Auf professionelle, auditfähige Betriebsmodelle setzen

Fazit: Resilienz wird zum Wettbewerbsfaktor

Das KRITIS-Dachgesetz ist mehr als eine regulatorische Pflicht. Es markiert einen grundlegenden Wandel hin zu robusten, sicheren und langfristig tragfähigen IT-Infrastrukturen.

Unternehmen, die jetzt in professionell betriebene Cloud- und Sicherheitsarchitekturen investieren, schaffen nicht nur regulatorische Sicherheit, sondern auch höhere Verfügbarkeit und Vertrauen bei Kunden, Partnern und Aufsichtsbehörden.

Wer sich vertiefend mit dem Zusammenspiel aus Cloud-Infrastruktur, Managed Security und Compliance-Anforderungen beschäftigen möchte, findet nicht nur bei elio praxisnahe Ansätze.

👉 Weiterführende Informationen zu sicheren, compliant betriebenen Cloud-Umgebungen finden sich auf der Website unseres Partners main cloud solutions.

Weitere passende Inhalte
Produktgalerie überspringen
Ein moderner, hochgesicherter Rechenzentrums-Korridor mit leuchtendem "KRITIS"-Logo symbolisiert kritische IT-Infrastruktur in Deutschland.
17.02.2026
Volker Riedel
KRITIS-Dachgesetz & IT-Sicherheitsgesetz 3.0
Was Unternehmen jetzt beachten müssenMit dem KRITIS-Dachgesetz und dem IT-Sicherheitsgesetz 3.0 verschärft der Gesetzgeber die Anforderungen an Sicherheit, Stabilität und Resilienz digitaler Infrastrukturen deutlich. Auch wenn nicht jedes Unternehmen formell als KRITIS-Betreiber eingestuft wird, sind viele Organisationen direkt oder indirekt betroffen – insbesondere über IT-Abhängigkeiten, Lieferketten und geschäftskritische digitale Prozesse.
Silhouetten von Geschäftsleuten beim Networking-Meeting bei Sonnenuntergang im modernen Büro mit Agentenic Commerce ACA Alliance Logo – Business Event Networking.
26.01.2026
Alicia Weigel
Gemeinsam Standards setzen: elio tritt der Agentic Commerce Alliance bei
Agentic Commerce markiert den nächsten Evolutionsschritt im digitalen Handel. Mit dem Beitritt zur Agentic Commerce Alliance engagiert sich elio ab sofort aktiv für offene Standards, interoperable Systeme und KI-Agenten, die nicht nur denken, sondern handeln.
EC-Kartengerät über dem eine Roboterhand schwebt und eine Zahlung tätigen will: Symbolisch für Agentic Commerce
14.01.2026
Alicia Weigel
Agentic Commerce erklärt: Warum KI den Handel grundlegend verändert
Agentic Commerce verlagert Kaufentscheidungen von Menschen zu Maschinen. Wer heute nicht maschinenlesbar, strukturiert und anschlussfähig ist, wird in automatisierten Einkaufsprozessen übergangen. Dieser Artikel zeigt, was das für E-Commerce, B2B-Unternehmen und die Zukunft des Shops bedeutet.
Aufgeklappter Laptop, der eine Bestellung in einem Online-Shop zeigt mit zwei Buttons: Jetzt kaufen (grün) und Kauf widerrufen (rot)
13.01.2026
Jochen Kernwein
Widerrufsbutton wird Pflicht: Was Online-Shops bis Juni 2026 jetzt wissen und umsetzen müssen
Der Widerrufsbutton kommt: Ab dem 19. Juni 2026 müssen Online-Shops in Deutschland ihren Kunden einen digitalen Widerruf per Klick ermöglichen. Was nach einem kleinen Feature klingt, hat große rechtliche, technische und UX-Auswirkungen. Dieser Artikel zeigt, worum es wirklich geht, wo die Fallstricke liegen und warum Shopbetreiber jetzt aktiv werden sollten.
Symbolbild für E-Commerce Trends
04.12.2025
Alicia Weigel
E-Commerce Trends 2026: Was Shopper wirklich erwarten
Die E-Commerce Trends 2026 drehen sich nicht um neue Buzzwords, sondern um ein verändertes Einkaufsverhalten. Käufer treffen Entscheidungen heute überall: im Feed, in der Suche, im Chat, im Store. Und sie erwarten, dass jedes dieser Erlebnisse stimmig ist. Dieser Artikel zeigt, welche Trends 2026 wirklich zählen – aus der Perspektive der Menschen, die am Ende kaufen.
e-commerce-peak-season
18.11.2025
Simon Neuberger
Erfolgreich durch die Peak Season mit den elio Consulting Services
Der Countdown zur intensivsten E-Commerce-Phase im Jahr läuft: Black Friday, Cyber Week und das Weihnachtsgeschäft stehen bevor und damit Wochen, in denen Shops nicht nur Rekordumsätze erzielen, sondern auch an ihre technischen Grenzen geraten. Viele Händler:innen investieren in Kampagnen, Rabatte und neue Designs, vergessen dabei jedoch einen entscheidenden Faktor: die technische Belastbarkeit ihres Shops. Wenn deine Seite unter Druck nachgibt, ist das Potenzial einer ganzen Saison in Gefahr. Doch genau hier setzen professionelle Performance-Optimierungen wie die der elio Consulting Services an.
shopware-update-flatrate
14.11.2025
Felix Kolb
Shopware Update Flatrate
Mit regelmäßigen Shopware-Updates schützen Sie Ihren Onlineshop vor Ausfällen, Sicherheitslücken und teuren Fehlern. Die Shopware Update Flatrate von elio sorgt mit planbaren Kosten und kompetenter Betreuung dafür, dass Ihr Shop jederzeit stabil und aktuell bleibt. Vermeiden Sie Risiken und bleiben Sie flexibel!
Frame-65
13.11.2025
Klim Fichtner
Agentic Commerce trifft Shopware: Wie Digital Sales Rooms den Vertrieb smarter machen
Agentic Commerce erklärt: Erfahren Sie, wie KI-gesteuerte Agenten den Onlinehandel verändern, welche Rolle Digital Sales Rooms dabei spielen und wie Guided- und Self-Guided Sessions neue Maßstäbe im digitalen Vertrieb setzen.
shopware-gartner-magic-quadrant
11.11.2025
Volker Riedel
Shopware im Gartner Magic Quadrant
Shopware wurde im Gartner Magic Quadrant 2025 als Visionary ausgezeichnet. Der Markt für Digital Commerce wächst rasant – getrieben von KI, Innovation und messbarem Geschäftswert. elio zeigt, warum Shopware mit Offenheit, Skalierbarkeit und starkem Partnernetzwerk perfekt zur digitalen Zukunft des Mittelstands passt.
E-Commerce Entwicklung
Volker Riedel

Head of Marketing