Viele Resilienzkonzepte fokussieren auf IT-Systeme. Kommunikation selbst bleibt jedoch häufig ein Single Point of Failure. KRITIS-KOM ordnet ein, warum belastbare, redundante und unabhängige Kommunikationsstrukturen für Betreiber kritischer und resilienzrelevanter Infrastrukturen zunehmend an Bedeutung gewinnen.
Die Inhalte dieser Seite dienen ausschließlich allgemeinen Informationszwecken. Sie stellen keine Rechtsberatung dar und ersetzen keine individuelle rechtliche Prüfung im Einzelfall.
Gesetzeslagen, Verordnungen, Schwellenwerte, Inkrafttretensdaten, Übergangsfristen, Paragraphennummern und behördliche Vorgaben können sich ändern. Unternehmen und Organisationen sollten ihre individuelle Betroffenheit sowie konkrete Pflichten durch qualifizierte Rechtsberatung, einen internen Justiziar oder spezialisierte Compliance-Experten prüfen lassen.
Stand der Inhalte: 07.05.2026
Die europäische NIS2-Richtlinie adressiert insbesondere Cybersecurity, Informationssicherheit, Risikomanagement und Meldepflichten für wesentliche und wichtige Einrichtungen.
Die CER-Richtlinie fokussiert auf die Resilienz kritischer Einrichtungen und damit stärker auf physische, organisatorische und betriebliche Risiken für kritische Dienstleistungen.
In Deutschland werden diese europäischen Vorgaben insbesondere über das BSI-Gesetz im Rahmen der NIS2-Umsetzung sowie über das KRITIS-Dachgesetz umgesetzt. Das NIS2-Umsetzungsgesetz ist am 06.12.2025 in Kraft getreten. Das KRITIS-Dachgesetz wurde am 16.03.2026 im Bundesgesetzblatt verkündet und ist überwiegend am 17.03.2026 in Kraft getreten; § 14 Abs. 3 bis 5 tritt erst am 01.01.2030 in Kraft. Einzelheiten, Rechtsverordnungen, Schwellenwerte und behördliche Vorgaben sollten weiterhin anhand der jeweils aktuellen Gesetzesfassung und der zuständigen Behörden geprüft werden.
Die Gesetze verlangen nicht pauschal ein bestimmtes Kommunikationssystem. Sie erhöhen jedoch die Bedeutung belastbarer Melde-, Eskalations-, Krisen- und Kommunikationsstrukturen. Welche technischen und organisatorischen Maßnahmen angemessen sind, hängt vom Einzelfall ab.
Das KRITIS-Dachgesetz dient der Umsetzung der CER-Richtlinie und richtet den Blick auf die Resilienz kritischer Einrichtungen und kritischer Dienstleistungen. Im Mittelpunkt stehen Risiken, die die Aufrechterhaltung kritischer Dienstleistungen beeinträchtigen können.
Dazu zählen insbesondere physische, technische, organisatorische und externe Gefährdungen. Die konkrete gesetzliche Einordnung, Schwellenwerte und Pflichten sind anhand der finalen Gesetzesfassung zu prüfen.
Auf EU-Ebene gibt die CER-Richtlinie in Artikel 6 vor, dass die Mitgliedstaaten kritische Einrichtungen bis spätestens 17. Juli 2026 identifizieren müssen. In Deutschland ist hierfür das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zuständig. Artikel 14 der Richtlinie sieht zudem Informationspflichten gegenüber der Öffentlichkeit vor, sofern Vorfälle Auswirkungen auf die Versorgung mit kritischen Dienstleistungen haben.
Je nach Betroffenheit und finaler gesetzlicher Ausgestaltung können für Betreiber kritischer Anlagen insbesondere folgende Themen relevant werden:
Kommunikationsfähigkeit wird zu einem operativen Faktor für Resilienz. Betreiber müssen im Krisenfall Informationen erfassen, bewerten, intern weitergeben und mit Behörden oder relevanten Partnern kommunizieren können.
Daraus folgt aus praktischer Sicht: Melde- und Eskalationswege sollten nicht allein von einer einzigen Kommunikationsinfrastruktur abhängen.
Kommunikationsresilienz bedeutet nicht den Ersatz bestehender Systeme, sondern die Ergänzung um zusätzliche unabhängige Kommunikationspfade für außergewöhnliche Szenarien.
Das BSI-Gesetz adressiert im Kontext der NIS2-Umsetzung insbesondere Anforderungen an Cybersecurity, Risikomanagement und den Umgang mit Sicherheitsvorfällen.
Für betroffene Einrichtungen ist nicht nur die technische Absicherung relevant, sondern auch die Fähigkeit, Sicherheitsvorfälle zu erkennen, zu bewerten, zu melden und organisatorisch darauf zu reagieren.
Die NIS2-Richtlinie sieht in Artikel 23 für erhebliche Sicherheitsvorfälle eine gestufte Meldepflicht vor:
Diese EU-rechtliche Vorgabe wird über das BSI-Gesetz im Rahmen der NIS2-Umsetzung in nationales Recht überführt. Die konkrete Definition erheblicher Sicherheitsvorfälle, die zuständigen Meldewege und etwaige nationale Konkretisierungen sind anhand der jeweils gültigen Fassung des BSIG sowie der Vorgaben des BSI zu prüfen.
Das BSI nimmt eine zentrale Rolle bei Cybersicherheitsinformationen, Warnungen, Lagebildern und Unterstützung in Sicherheitsvorfällen ein. Dadurch entsteht ein kommunikatives Zusammenspiel zwischen betroffenen Einrichtungen, Behörden und weiteren relevanten Stellen.
Auch hier gilt: Die Wirksamkeit von Melde- und Unterstützungsprozessen setzt belastbare Kommunikationswege voraus.
Wenn klassische Kommunikationswege gestört, überlastet oder nicht verfügbar sind, können Melde-, Eskalations- und Lageprozesse beeinträchtigt werden. Zusätzliche unabhängige Kommunikationspfade können deshalb ein sinnvoller Bestandteil eines ganzheitlichen Resilienzkonzepts sein.
Die NIS2-Richtlinie sieht in Artikel 34 EU-weit Mindestobergrenzen für Bußgelder vor:
Die NIS2-Richtlinie adressiert zudem die Leitungsebene unmittelbar: Geschäftsleitungen sind verpflichtet, Cybersicherheitsmaßnahmen zu billigen, ihre Umsetzung zu überwachen und sich entsprechend schulen zu lassen. Die genaue nationale Ausgestaltung – einschließlich konkreter Bußgeldhöhen und persönlicher Haftungsregelungen – ist anhand der finalen Fassung des BSI-Gesetzes zu prüfen.
Die folgenden Punkte sind eine praktische Einordnung von KRITIS-KOM und keine abschließende gesetzliche Aufzählung.
Resiliente Kommunikationskonzepte sollten Szenarien berücksichtigen, in denen öffentliche oder betriebliche Kommunikationsinfrastrukturen nur eingeschränkt funktionieren.
Praktische Einordnung von KRITIS-KOM — keine gesetzliche Vorgabe.
Viele Organisationen verfügen über etablierte Kommunikationssysteme für den Normalbetrieb. In außergewöhnlichen Lagen können diese Systeme jedoch von denselben Basisinfrastrukturen abhängig sein: Stromversorgung, Internet, Mobilfunk, Cloud-Dienste oder zentrale Plattformen.
Ein zusätzlicher Resilienz-Layer verfolgt deshalb das Ziel, Kommunikationsfähigkeit über alternative, unabhängige Pfade zu unterstützen.
Kommunikationsresilienz ersetzt keine Cybersecurity, keine Krisenorganisation und keine Rechtsberatung. Sie ergänzt bestehende Resilienzmaßnahmen um zusätzliche Kommunikationsfähigkeit bei eingeschränkter Infrastruktur.
Produkt- und Technologie-Einordnung von KRITIS-KOM — keine gesetzliche Vorgabe.
KRITIS-KOM beschäftigt sich mit resilienten Kommunikationssystemen, die zusätzliche unabhängige Kommunikationspfade ermöglichen.
Ein technologischer Ansatz ist das DR-9400 PXdragon. Das Gerät nutzt das PACTOR-Verfahren, einen weltweit etablierten Standard für robuste digitale Kommunikation auf Kurzwelle. PACTOR ist seit Jahren in Notfunk- und Katastropheneinsätzen erprobt – unter anderem in Österreich, den USA und Kanada – und in zahlreichen Ländern fester Bestandteil organisierter Notfunknetze.
Im Vergleich zu anderen Lösungen am Markt überzeugt der Ansatz in mehreren Dimensionen:
Solche Systeme sind ein ergänzender Bestandteil resilienzorientierter Kommunikationskonzepte – insbesondere dort, wo zusätzliche Kommunikationspfade außerhalb klassischer Internet- und Mobilfunkabhängigkeiten benötigt werden.
Die Eignung einer konkreten Lösung hängt stets vom Einsatzszenario, der organisatorischen Einbindung, den technischen Rahmenbedingungen und den rechtlichen Anforderungen der jeweiligen Organisation ab.
Kommunikationsresilienz ist besonders relevant für Organisationen, die kritische Dienstleistungen erbringen, in Krisenlagen handlungsfähig bleiben müssen oder regulatorische Resilienzanforderungen berücksichtigen. Die folgende Liste nennt typische Anwendergruppen und ersetzt nicht die individuelle Prüfung der gesetzlichen Betroffenheit nach BSIG, KRITISDachG sowie den Anlagen der NIS2- und CER-Richtlinie.
In der Regel definieren regulatorische Anforderungen Schutzziele, organisatorische Pflichten, Meldeprozesse und Risikomanagementanforderungen. Sie schreiben nicht pauschal ein bestimmtes technisches Kommunikationssystem vor.
Welche Maßnahmen angemessen sind, muss anhand der konkreten Betroffenheit, Risiken und gesetzlichen Anforderungen geprüft werden.
Krisenmanagement setzt voraus, dass Informationen erhoben, bewertet und weitergegeben werden können. Wenn Kommunikationswege ausfallen, können auch Melde-, Lage- und Entscheidungsprozesse beeinträchtigt werden.
Das hängt vom Risikoprofil ab. Mobilfunk ist ein wichtiger Kommunikationskanal, hat aber dieselben Abhängigkeiten wie viele andere Systeme: Stromversorgung der Sendemasten, Backbone-Infrastruktur, Netzauslastung. Bei flächendeckenden Stromausfällen oder Cyberangriffen auf zentrale Komponenten kann ein zweiter Mobilfunkanbieter dieselbe Schwäche teilen wie der erste. Echte Redundanz entsteht erst durch technologische Vielfalt – also Kombination unterschiedlicher Übertragungsprinzipien, nicht zweier Varianten desselben.
Out-of-Band-Kommunikation bezeichnet zusätzliche Kommunikationswege außerhalb der regulären IT- und Kommunikationsinfrastruktur. Ziel ist es, auch bei Störungen der Primärsysteme eine alternative Kommunikationsmöglichkeit vorzuhalten.
Für eine rechtliche Verifikation sollten vorrangig Primärquellen und offizielle Veröffentlichungen herangezogen werden.
Maßgebliche Quelle für finale Gesetzesfassungen, Verkündung und Inkrafttreten.
Zum Bundesgesetzblatt →Bundesamt für Bevölkerungsschutz und Katastrophenhilfe – Informationen zu KRITIS, Bevölkerungsschutz und Resilienz.
Zur BBK-Website →Bundesamt für Sicherheit in der Informationstechnik – Informationen zu NIS2, Cybersicherheit und regulierten Unternehmen.
Zur BSI-Website →KRITIS-KOM informiert über resiliente Kommunikationsstrukturen und technologische Ansätze für zusätzliche Kommunikationsfähigkeit bei Ausfall klassischer Infrastruktur.