Der erste Teil der BSI-Kritis-Verordnung (KritisV) zur Festlegung von konkreten Kritischen Infrastrukturen trat im April 2016 in Kraft. Dieser bestimmt, welche Anlagen und Einrichtungen aus den Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr werden die Schwellenwerte für die Zugehörigkeit zum Bereich der Kritischen Infrastrukturen durch den im Juni 2017 in Kraft getretenen zweiten Teil der BSI-KritisV bestimmt. Dabei werden nicht nur Neuregelungen für die weiteren Sektoren getroffen, sondern auch Vorgaben in den bereits bestehenden Regelungen aus dem ersten Teil der BSI-KritisV geringfügig geändert.