KRITIS-Dachgesetz: Neue Anforderungen für den Schutz kritischer Infrastrukturen

Am 10. September 2025 hat das Bundeskabinett den Gesetzentwurf zum KRITIS-Dachgesetz verabschiedet. Diese Gesetzgebung ist ein entscheidender Schritt zur Umsetzung der EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER) und führt erstmals einheitliche, sektorübergreifende Mindestanforderungen für den physischen Schutz kritischer Infrastrukturen in Deutschland ein. Das strategische Ziel ist die nachhaltige Stärkung der Abwehrfähigkeit und Resilienz unserer zentralen Versorgungsstrukturen, was eine direkte Auswirkung auf die operative Stabilität und das Risikomanagement von Unternehmen hat.

Einheitliche Standards für mehr Sicherheit

Das Gesetz schafft durch die Umsetzung der CER-Richtlinie europaweit vergleichbare und verbindliche Mindeststandards. Es definiert elf KRITIS-Sektoren, darunter strategisch wichtige Bereiche wie Energie, Gesundheit, Wasser, Ernährung und Transport. Für Betreiber dieser Einrichtungen ergeben sich daraus drei Kernpflichten, die eine proaktive Auseinandersetzung erfordern:

Risikobewertungen durchführen: Betreiber sind verpflichtet, regelmäßig nationale und eigene, anlagenspezifische Risikobewertungen vorzunehmen, die bis Juli 2026 abgeschlossen sein müssen.

Resilienzpläne erstellen: Auf Basis der Analysen müssen robuste Resilienzpläne entwickelt werden, die technische, organisatorische und personelle Maßnahmen zur Abwehr aller relevanten Gefahrenlagen umfassen.

Störfälle zentral melden: Vorfälle, die die Dienstleistungserbringung erheblich stören könnten, müssen innerhalb von 24 Stunden über ein zentrales Portal an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Der All-Gefahren-Ansatz

Ein zentrales Element des Gesetzes ist der All-Gefahren-Ansatz. Sicherheit ist nicht länger nur ein Thema der IT, sondern muss ganzheitlich gedacht werden. Betreiber müssen alle denkbaren Szenarien berücksichtigen, die die physische Integrität ihrer Anlagen gefährden könnten. Dazu zählen explizit:

Naturkatastrophen und Extremwetterereignisse

Technische Ausfälle und menschliches Versagen

Terroranschläge, Sabotage und Insider-Bedrohungen

Entsprechend müssen verbindliche Maßnahmen wie Notfallteams, regelmäßige Schulungen, eine autarke Notstromversorgung, abgesicherte Kommunikationswege und ein wirksamer physischer Objektschutz geplant und nachweisbar umgesetzt werden.

Was heißt das für KRITIS-Betreiber?

Eine Einrichtung fällt unter das Gesetz, wenn sie eine herausragende Bedeutung für die Versorgungssicherheit der Gesellschaft hat. Als primärer Schwellenwert gilt die Versorgung von mehr als 500.000 Menschen. Zudem werden wechselseitige Abhängigkeiten (Kaskadeneffekte) berücksichtigt. Der Energiesektor nimmt eine Schlüsselfunktion ein, da praktisch alle anderen kritischen Sektoren von einer stabilen Energieversorgung abhängig sind. Dies unterstreicht die Notwendigkeit, Risiken über die eigene Unternehmensgrenze hinaus zu bewerten.

Konvergente Sicherheit als Schlüssel zur Resilienz

Die Anforderungen machen deutlich: Klassische Sicherheitssilos sind obsolet. Der physische Schutz von Gebäuden, Anlagen und Personal ist ebenso entscheidend wie die Cybersicherheit. Hier wird Konvergente Sicherheit – die strategische Zusammenführung von physischer Sicherheit, OT-Sicherheit und IT-Sicherheit – zum entscheidenden Hebel.

Moderne Zutrittskontrollsysteme schützen nicht nur sensible Bereiche, sondern liefern wertvolle Daten für ein zentrales Lagebild.

Integrierte Sicherheitsplattformen verknüpfen physische Mechanismen (Video, Sensorik) mit digitalen Systemen (Netzwerk-Monitoring) und ermöglichen eine koordinierte Reaktion.

Echtzeit-Monitoring ist die technologische Grundlage, um Störungen und Angriffe frühzeitig zu erkennen und die 24-Stunden-Meldefrist einzuhalten.

Nur durch die intelligente Verzahnung von physischer und digitaler Sicherheit lassen sich die geforderten Resilienzpläne effektiv, effizient und nachweisbar umsetzen.

Fazit

Das KRITIS-Dachgesetz setzt neue Maßstäbe und erhöht den Druck auf Betreiber kritischer Infrastrukturen. Für das Management bedeutet dies: Jetzt handeln, bestehende Sicherheitskonzepte überprüfen und Budgets für die physische Sicherheit neu bewerten. Unternehmen, die gezielt in moderne Zutrittskontrolle und eine Konvergente Sicherheit-Architektur investieren, schaffen die notwendige Grundlage, um den neuen gesetzlichen Anforderungen nicht nur gerecht zu werden, sondern vor allem die Verfügbarkeit und Sicherheit ihrer operativen Prozesse im Ernstfall zu gewährleisten.