Was Betreiber kritischer Infrastrukturen jetzt wissen müssen
Nach mehrjähriger Verzögerung hat der Bundestag am 29. Januar 2026 das KRITIS-Dachgesetz beschlossen [1]. Das Gesetz schafft erstmals bundeseinheitliche Mindeststandards für den physischen Schutz kritischer Anlagen und ergänzt damit die bereits etablierten IT-Sicherheitsanforderungen.
Betroffen sind elf Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung [2]. Grundsätzlich fallen Unternehmen unter das Gesetz, die mehr als 500.000 Menschen versorgen – die Bundesländer können jedoch eigenständig niedrigere Schwellenwerte festlegen.
Pflichten im Überblick
Mit dem Gesetz schafft der Gesetzgeber erstmals ein einheitliches, sektorübergreifendes Rahmenwerk zum Schutz kritischer Infrastrukturen. Für Unternehmen bedeutet das konkret: verbindliche Risikomanagement-, Schutz- und Meldepflichten sowie eine deutlich höhere Verantwortung der Geschäftsleitung. Betreiber müssen künftig nachweisen, dass Risiken systematisch identifiziert und bewertet werden, geeignete technische und organisatorische Schutzmaßnahmen etabliert sind und Sicherheitsvorfälle fristgerecht gemeldet werden.
Die Herausforderung: Veraltete Systeme als Compliance-Risiko
Viele mittelständische Unternehmen setzen noch auf Zutrittskontroll- und Zeiterfassungssysteme, die zehn Jahre oder älter sind. Diese Systeme weisen häufig erhebliche Schwachstellen auf: Ersatzteile sind nicht mehr verfügbar, Software-Updates werden nicht mehr bereitgestellt, und moderne Sicherheitsfeatures wie verschlüsselte Leserprotokolle werden nicht unterstützt.
Mit dem nun beschlossenen KRITIS-Dachgesetz wird der Lifecycle-Status der eingesetzten Hardware zum entscheidenden Faktor. Betreiber kritischer Infrastrukturen müssen nachweisen können, dass ihre Systeme dem aktuellen Stand der Technik entsprechen – veraltete Hardware wird damit zum Compliance-Risiko.
Sieben Handlungsfelder für KRITIS-Compliance
Um die Anforderungen des KRITIS-Dachgesetzes systematisch umzusetzen, sollten Betreiber kritischer Infrastrukturen folgende sieben Bereiche gezielt angehen:
1. Grundlagen und Risikoanalyse: Im ersten Schritt muss geklärt werden, ob das Unternehmen überhaupt unter die KRITIS-Definition fällt. Anschließend sind alle kritischen Gebäude, Räume und Prozesse zu identifizieren. Eine umfassende Risiko- und Schwachstellenanalyse bildet die Grundlage für alle weiteren Maßnahmen. Dabei sollten nicht nur aktuelle Bedrohungen, sondern auch die Verfügbarkeit von Ersatzteilen und der Lifecycle-Status der eingesetzten Systeme geprüft werden.
2. Physische Zutrittssicherung: Der Perimeter muss durch Zäune, Schranken und Drehkreuze gesichert werden. Gebäudeeingänge und Hochsicherheitsbereiche wie Rechenzentren oder Prototypenwerkstätten erfordern elektronische Zutrittslösungen. Die Integration mechanischer und elektronischer Zugangssysteme in einer einheitlichen Plattform ermöglicht eine zentrale Überwachung und Steuerung.
3. Zutrittsverwaltung und Berechtigungsmanagement: Die zentrale Vergabe und der Entzug von Zutrittsrechten müssen über workflow-gesteuerte Prozesse erfolgen. Antrags- und Genehmigungsprozesse sollten digitalisiert und lückenlos dokumentiert werden. Die Schließanlagenverwaltung mit Sicherungskarten und Schlüsselprotokollen stellt sicher, dass auch mechanische Zutritte nachvollziehbar bleiben.
4. Automatisierte Türsysteme und Integration: Moderne Türsysteme ermöglichen die Überwachung des Türzustands in Echtzeit. Für die Betriebssicherheit sind zudem das Verhalten bei Stromausfall, die jeweiligen Widerstandsklassen und die Integration in zentrale Management-Plattformen entscheidende Faktoren. Digitale Planungstools unterstützen dabei, Zutrittspunkte normgerecht auszulegen.
5. Service und Lifecycle-Management: Regelmäßige Wartungen, Updates und Lifecycle-Checks stellen sicher, dass die Systeme dauerhaft funktionsfähig bleiben. Schulungen sensibilisieren das Personal für Sicherheitsrisiken. Die Lieferkettenkommunikation sowie die vollständige Dokumentation aller Maßnahmen sind essentiell für Audits.
6. Resilienz, Notfall- und Krisenmanagement: Notfallprotokolle definieren, wie die Betriebsfähigkeit im Ernstfall aufrechterhalten wird. Zutrittsfreigaben für Einsatzkräfte und die Priorisierung kritischer Bereiche müssen vorab festgelegt werden. Regelmäßige Tests und Szenarien – etwa Evakuierungssimulationen – stellen die Wirksamkeit der Maßnahmen sicher.
7. Compliance und Reporting: Die lückenlose Protokollierung aller Zutrittsvorgänge, Audit-Logs und revisionssichere Reports sind Pflicht. Security Health Checks (SHC) bewerten regelmäßig den Status der Systeme und identifizieren Modernisierungsbedarf. Die Integration physischer, organisatorischer und digitaler Maßnahmen in ein übergeordnetes Sicherheitskonzept rundet die Compliance ab.
 |
„Die Kombination aus physischen Sicherheitslösungen und intelligenter Software ist der Schlüssel zu einer effizienten KRITIS-Compliance. Unternehmen benötigen eine einheitliche Plattform, die mechanische, mechatronische und elektronische Zutritte in einem System verwaltet und sich nahtlos in bestehende HR-, IT- und Gebäudemanagementsysteme einfügt. Es braucht also eine durchgängige Lösung, die von der Hardware wie Türsysteme, Zutrittskontrollkomponenten und Schließanlagen über die zentrale Management-Software bis hin zu digitalen Planungstools und Security Health Checks alles umfasst. Eine modular aufgebaute Lösung hilft zudem dabei, schrittweise zu modernisieren und dabei den laufenden Betrieb aufrechtzuerhalten." Jochen Moll, Geschäftsführer Atoria - the people software |
Mehr Informationen zum Thema KRITIS-Dachgesetz und eine Checkliste für physische Sicherheit finden Sie unter: atoria-software.com/de/checkliste-kritis-dachgesetz
[1] www.bundestag.de/presse/hib/kurzmeldungen-1139978
[2] www.bundesregierung.de/breg-de/aktuelles/kabinett-kritis-dachgesetz-2383682
[3] dserver.bundestag.de/btd/21/025/2102510.pdf
.jpg)