Mit dem KRITIS-Dachgesetz verschärfen sich ab 2026 die Vorgaben zur physischen Sicherheit für kritische Infrastrukturen. Betreiber müssen nicht nur ihre Zutrittssysteme modernisieren, sondern auch organisatorische Prozesse und Lifecycle-Management überarbeiten. Sieben Handlungsfelder zeigen, wie sich die neuen Anforderungen systematisch umsetzen lassen.
Ab 2026 tritt in Deutschland das KRITIS-Dachgesetz in Kraft – ein zentraler Baustein zur Erhöhung der Resilienz kritischer Infrastrukturen. Das Gesetz setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um und ergänzt das bestehende BSI-Gesetz zur IT-Sicherheit. Damit geraten neben Cybersecurity nun auch physische Schutzmaßnahmen in den Fokus der Regulierung.
Betroffen sind zehn Sektoren – darunter Energie, Transport, Gesundheit, Banken sowie Medien, Kultur, öffentliche Verwaltung und Lebensmittelversorgung. Für Betreiber dieser Infrastrukturen gelten künftig deutlich verschärfte Anforderungen, insbesondere im Bereich Zutrittssicherheit, Berechtigungsmanagement und Auditierbarkeit sicherheitsrelevanter Vorgänge.
Veraltete Systeme werden zum Compliance-Risiko
Viele mittelständische Betreiber setzen noch auf Zutrittslösungen, die älter als zehn Jahre sind. Diese Systeme erfüllen häufig nicht mehr die heutigen Sicherheitsanforderungen: Software-Updates sind eingestellt, Verschlüsselungsstandards fehlen, Ersatzteile sind schwer erhältlich. Im Kontext des KRITIS-Dachgesetzes wird dadurch der Lifecycle-Status der Sicherheitsinfrastruktur zum kritischen Faktor. Nur wer den Stand der Technik nachweisen kann, erfüllt die künftigen Anforderungen.
Sieben Handlungsfelder für KRITIS-Compliance
Eine strukturierte Umsetzung der neuen Vorgaben lässt sich entlang folgender sieben Handlungsfelder realisieren:
1. Grundlagen und Risikoanalyse
Unternehmen müssen zunächst klären, ob sie unter die KRITIS-Definition fallen. Danach gilt es, kritische Standorte, Prozesse und Räume zu identifizieren. Eine umfassende Risikoanalyse – auch unter Berücksichtigung von Systemverfügbarkeit und Lebenszyklusstatus – ist die Basis für alle weiteren Schritte.
2. Physische Zutrittssicherung
Perimeterschutz durch Zäune oder Schranken sowie elektronische Zutrittskontrollen an sensiblen Punkten sind Pflicht. Besonders Hochsicherheitsbereiche wie Rechenzentren erfordern integrierte Lösungen aus Mechanik und Elektronik auf einer gemeinsamen Plattform.
3. Zutrittsverwaltung und Berechtigungsmanagement
Zugriffsrechte müssen digital beantragt, genehmigt und dokumentiert werden. Workflow-gesteuerte Prozesse, revisionssichere Protokolle und transparente Schlüsselverwaltungen sind wesentliche Bestandteile der Compliance.
4. Automatisierte Türsysteme und Integration
Moderne Türen müssen manipulationssicher und energieausfallsicher sein. Über zentrale Plattformen lässt sich der Türstatus in Echtzeit überwachen. Planungssoftware hilft dabei, Anforderungen normgerecht umzusetzen.
5. Service und Lifecycle-Management
Wartungspläne, Schulungen, Updatezyklen und vollständige Dokumentationen sind essenziell. Auch die Kommunikation mit Lieferanten muss dokumentiert werden – etwa zur Ersatzteilverfügbarkeit.
6. Resilienz, Notfall- und Krisenmanagement
Zutrittsfreigaben für Einsatzkräfte, Evakuierungspläne und die Simulation von Notfällen stärken die Reaktionsfähigkeit im Ernstfall. Das Sicherheitskonzept muss regelmäßig überprüft und getestet werden.
7. Compliance und Reporting
Audit-Logs, lückenlose Protokolle und regelmäßige Security Health Checks (SHC) ermöglichen revisionssichere Nachweise. Physische, organisatorische und digitale Maßnahmen müssen in ein übergreifendes Schutzkonzept integriert werden.
Zentrale Plattform statt Insellösungen
Im Rahmen der Umsetzung spielt die Systemintegration eine zentrale Rolle. Eine zentrale Plattform, die mechanische, elektronische und mechatronische Zutrittslösungen gemeinsam verwaltet und in bestehende HR-, IT- und Gebäudemanagementsysteme integriert, bietet Skalierbarkeit und Übersichtlichkeit.
„Die Kombination aus physischen Sicherheitslösungen und intelligenter Software ist der Schlüssel zu einer effizienten KRITIS-Compliance. Unternehmen benötigen eine einheitliche Plattform, die mechanische, mechatronische und elektronische Zutritte in einem System verwaltet und sich nahtlos in bestehende HR-, IT- und Gebäudemanagementsysteme einfügt“, betont Jochen Moll, Geschäftsführer bei Atoria. „Wir bieten zusammen mit unseren Partnern hierzu eine durchgängige Lösung, die von der Hardware wie Türsysteme, Zutrittskontrollkomponenten und Schließanlagen über die zentrale Management-Software bis hin zu digitalen Planungstools und Security Health Checks alles umfasst. Der modulare Aufbau ermöglicht es, schrittweise zu modernisieren und dabei den laufenden Betrieb aufrechtzuerhalten.“
Ausblick: Handeln vor Inkrafttreten
Angesichts der neuen gesetzlichen Anforderungen sollten Betreiber kritischer Infrastrukturen nicht auf das Inkrafttreten des KRITIS-Dachgesetzes warten. Frühzeitige Investitionen in Infrastruktur, Prozesse und Dokumentation schaffen nicht nur Rechtssicherheit, sondern stärken auch die tatsächliche Resilienz gegenüber physischen und hybriden Bedrohungen.
Mehr Informationen zum Thema KRITIS-Dachgesetz sind auch hier zu finden.
Mehr Infos zu Atoria finden Sie hier.