Mit dem Beschluss des KRITIS-Dachgesetzes schafft der Gesetzgeber erstmals bundeseinheitliche Mindeststandards für den physischen Schutz kritischer Infrastrukturen. Während IT-Sicherheitsanforderungen bereits etabliert sind, rücken nun zusätzlich organisatorische und bauliche Maßnahmen in den Fokus. Dadurch steigt der Handlungsdruck für Betreiber deutlich. Insbesondere bei älteren Systemen entsteht unmittelbarer Modernisierungsbedarf.
Nach mehrjähriger Verzögerung hat der Bundestag am 29. Januar 2026 das KRITIS-Dachgesetz beschlossen. Damit wird der Schutz kritischer Infrastrukturen erstmals sektorübergreifend und bundeseinheitlich geregelt. Während sich die Regulierung bislang vor allem auf IT-Sicherheitsaspekte konzentrierte, erweitert das neue Gesetz die Anforderungen nun ausdrücklich um verbindliche Vorgaben für den physischen Schutz sensibler Anlagen.
Betroffen sind elf Sektoren, darunter Energie, Transport und Verkehr sowie Gesundheit und Informationstechnik. Grundsätzlich gilt das Gesetz für Unternehmen, die mehr als 500.000 Menschen versorgen; allerdings können die Bundesländer niedrigere Schwellenwerte festlegen. Dadurch kann sich der Kreis der Verpflichteten regional deutlich erweitern.
Einheitliches Rahmenwerk mit erweiterten Pflichten
Mit dem Gesetz etabliert der Gesetzgeber ein sektorübergreifendes Rahmenwerk für Risikomanagement, Schutzmaßnahmen und Meldeprozesse. Für Betreiber bedeutet das eine deutlich höhere Verantwortung – auch auf Ebene der Geschäftsleitung.
Unternehmen müssen künftig nachweisen können, dass
- Risiken systematisch identifiziert und bewertet werden,
- geeignete technische und organisatorische Schutzmaßnahmen implementiert sind und
- Sicherheitsvorfälle fristgerecht gemeldet werden.
Die Anforderungen gehen damit über rein technische Maßnahmen hinaus und betreffen Prozesse, Dokumentation und Governance-Strukturen gleichermaßen.
Veraltete Systeme werden zum Compliance-Risiko
Ein zentrales Problem liegt in der bestehenden Infrastruktur vieler Unternehmen. Insbesondere im Mittelstand sind Zutrittskontroll- und Zeiterfassungssysteme im Einsatz, die zehn Jahre oder älter sind. Häufig fehlen Sicherheitsupdates, Ersatzteile sind nicht mehr verfügbar, moderne Funktionen wie verschlüsselte Leserprotokolle werden nicht unterstützt.
Mit Inkrafttreten des KRITIS-Dachgesetzes rückt der Lifecycle-Status der eingesetzten Hardware stärker in den Fokus. Betreiber müssen nachweisen, dass ihre Systeme dem aktuellen Stand der Technik entsprechen. Veraltete Hardware kann damit unmittelbar zum Compliance-Risiko werden – insbesondere bei Audits oder Vorfällen.
Sieben Handlungsfelder für die Umsetzung
Um die gesetzlichen Anforderungen systematisch umzusetzen, sollten Betreiber kritischer Infrastrukturen ihre Sicherheitsarchitektur ganzheitlich überprüfen. Sieben Handlungsfelder stehen dabei im Mittelpunkt:
1. Grundlagen und Risikoanalyse
Zunächst ist zu prüfen, ob das eigene Unternehmen unter die KRITIS-Definition fällt. Anschließend gilt es, kritische Gebäude, Räume und Prozesse zu identifizieren. Eine umfassende Risiko- und Schwachstellenanalyse bildet die Basis. Neben aktuellen Bedrohungen sollten auch Ersatzteilverfügbarkeit und Lifecycle-Status bewertet werden.
2. Physische Zutrittssicherung
Perimeter-Schutz durch Zäune, Schranken oder Drehkreuze bildet die erste Verteidigungslinie. Elektronische Zutrittslösungen sind insbesondere für Gebäudeeingänge und Hochsicherheitsbereiche wie Rechenzentren erforderlich. Eine integrierte Plattform erleichtert zentrale Steuerung und Monitoring.
3. Zutrittsverwaltung und Berechtigungsmanagement
Zutrittsrechte sollten über workflow-gesteuerte Prozesse vergeben und entzogen werden. Digitale Antrags- und Genehmigungsverfahren sowie eine lückenlose Dokumentation erhöhen Transparenz und Revisionssicherheit. Auch mechanische Schließsysteme müssen nachvollziehbar verwaltet werden.
4. Automatisierte Türsysteme und Integration
Moderne Systeme ermöglichen die Echtzeit-Überwachung des Türzustands. Aspekte wie Verhalten bei Stromausfall, Widerstandsklassen und Integration in zentrale Management-Plattformen sind entscheidend für die Betriebssicherheit. Digitale Planungstools unterstützen eine normgerechte Auslegung.
5. Service und Lifecycle-Management
Regelmäßige Wartungen, Updates und dokumentierte Lifecycle-Checks sind Voraussetzung für nachhaltige Sicherheit. Schulungen sensibilisieren Mitarbeitende. Eine transparente Lieferkettenkommunikation erleichtert Audits.
6. Resilienz sowie Notfall- und Krisenmanagement
Notfallprotokolle definieren Zuständigkeiten und Prioritäten. Zutrittsregelungen für Einsatzkräfte sowie die Absicherung besonders sensibler Bereiche müssen vorab festgelegt werden. Regelmäßige Tests – etwa Evakuierungssimulationen – überprüfen die Wirksamkeit der Maßnahmen.
7. Compliance und Reporting
Lückenlose Protokollierung, Audit-Logs und revisionssichere Reports sind zentrale Anforderungen. Regelmäßige Security Health Checks helfen, Modernisierungsbedarf frühzeitig zu erkennen. Entscheidend ist die Integration physischer, organisatorischer und digitaler Maßnahmen in ein übergeordnetes Sicherheitskonzept.
Jochen Moll, Geschäftsführer bei Atoria, betont die Bedeutung integrierter Lösungen:
„Die Kombination aus physischen Sicherheitslösungen und intelligenter Software ist der Schlüssel zu einer effizienten KRITIS-Compliance. Unternehmen benötigen eine einheitliche Plattform, die mechanische, mechatronische und elektronische Zutritte in einem System verwaltet und sich nahtlos in bestehende HR-, IT- und Gebäudemanagementsysteme einfügt”.
Er ergänzt: „Es braucht also eine durchgängige Lösung, die von der Hardware wie Türsysteme, Zutrittskontrollkomponenten und Schließanlagen über die zentrale Management-Software bis hin zu digitalen Planungstools und Security Health Checks alles umfasst. Eine modular aufgebaute Lösung hilft zudem dabei, schrittweise zu modernisieren und dabei den laufenden Betrieb aufrechtzuerhalten.”
Mit dem Beschluss des KRITIS-Dachgesetzes verschiebt sich der Fokus von punktuellen Schutzmaßnahmen hin zu ganzheitlichen Sicherheitskonzepten. Für Betreiber kritischer Infrastrukturen bedeutet das: physische Sicherheit wird zur strategischen Managementaufgabe – und zum zentralen Bestandteil regulatorischer Compliance.
Weitere Informationen zu Proalpha finden Sie hier.
Mehr Informationen zum Thema KRITIS-Dachgesetz für physische Sicherheit finden Sie hier.