Anmelden Registrieren NEWSLETTER

Sieben Handlungsfelder für KRITIS-Compliance

KRITIS-Dachgesetz für physische Sicherheit in kritischen Infrastrukturen

Betroffen von den neuen Vorgaben sind zehn Sektoren.

Betroffen von den neuen Vorgaben sind zehn Sektoren.

Bild: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
08.12.2025

Das Bundeskabinett hat im September seinen Entwurf für das KRITIS-Dachgesetz vorgelegt.  Derzeit befindet sich das Gesetz im parlamentarischen Verfahren, muss noch vom Bundestag beschlossen werden und tritt voraussichtlich Anfang 2026 in Kraft. Es setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um. Die Pflichten treffen nicht nur Energieversorger, Krankenhäuser und Banken: Auch Rundfunkhäuser, öffentliche Verwaltungen, Lebensmittelhersteller und Entsorgungsbetriebe zählen zu den zehn betroffenen Sektoren. Besonders mittelständische Unternehmen stehen dabei vor einer Herausforderung: Veraltete Zeiterfassungs- und Zutrittskontrollsysteme lassen sich nicht von heute auf morgen austauschen – insbesondere wenn Ersatzteile nicht mehr verfügbar sind oder Systeme keine aktuellen Sicherheitsfeatures unterstützen. Wer jetzt nicht handelt, riskiert später Zeitdruck und Bußgelder.

Mit dem für Anfang 2026 erwarteten KRITIS-Dachgesetz müssen Betreiber kritischer Infrastrukturen in Deutschland ihre Resilienz deutlich erhöhen – sehen Sie dazu die Übersicht im NIS2-Navigator. Während Cybersecurity bereits seit Jahren im Fokus steht, rückt nun auch die physische Sicherheit verstärkt in den Mittelpunkt der regulatorischen Anforderungen. Das Gesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um und ergänzt die bestehenden Regelungen zur IT-Sicherheit (BSI-Gesetz).

Betroffen sind zehn Sektoren: Neben klassischen KRITIS-Bereichen wie Energie, Banken, Gesundheit und Transport zählen auch Medien und Kultur, öffentliche Verwaltung, Siedlungsabfallentsorgung, Weltraum sowie Lebensmittelproduktion und -vertrieb dazu. Die Anforderungen gehen weit über einfache Türschlösser hinaus: Gefordert sind durchgängige Konzepte für Zutrittskontrolle, Berechtigungsmanagement und lückenlose Dokumentation aller sicherheitsrelevanten Vorgänge.

Eine Übersicht und Details zu den einzelnen Sektoren nach dem Betroffen sind zehn Sektoren: und finden Sie hier!

Die Herausforderung: Veraltete Systeme als Sicherheitsrisiko

Viele mittelständische Unternehmen setzen noch auf Zutrittskontroll- und Zeiterfassungssysteme, die zehn Jahre oder älter sind. Diese Systeme weisen häufig erhebliche Schwachstellen auf: Ersatzteile sind nicht mehr verfügbar, Software-Updates werden nicht mehr bereitgestellt, und moderne Sicherheitsfeatures wie verschlüsselte Leserprotokolle werden nicht unterstützt.

Gerade im Kontext des KRITIS-Dachgesetzes wird der Lifecycle-Status der eingesetzten Hardware zum entscheidenden Faktor. Betreiber kritischer Infrastrukturen müssen künftig nachweisen können, dass ihre Systeme dem aktuellen Stand der Technik entsprechen – veraltete Hardware wird damit zum Compliance-Risiko.

Sieben Handlungsfelder für KRITIS-Compliance

Um die Anforderungen des KRITIS-Dachgesetzes systematisch umzusetzen, sollten Betreiber kritischer Infrastrukturen folgende sieben Bereiche adressieren:

  1. Grundlagen und Risikoanalyse: Im ersten Schritt muss geklärt werden, ob das Unternehmen überhaupt unter die KRITIS-Definition fällt. Anschließend sind alle kritischen Gebäude, Räume und Prozesse zu identifizieren. Eine umfassende Risiko- und Schwachstellenanalyse bildet die Grundlage für alle weiteren Maßnahmen. Dabei sollten nicht nur aktuelle Bedrohungen, sondern auch die Verfügbarkeit von Ersatzteilen und der Lifecycle-Status der eingesetzten Systeme geprüft werden.

  2. Physische Zutrittssicherung: Der Perimeter muss durch Zäune, Schranken und Drehkreuze gesichert werden. Gebäudeeingänge und Hochsicherheitsbereiche wie Rechenzentren oder Prototypenwerkstätten erfordern elektronische Zutrittslösungen. Die Integration mechanischer und elektronischer Zugangssysteme in einer einheitlichen Plattform ermöglicht eine zentrale Überwachung und Steuerung.

  3. Zutrittsverwaltung und Berechtigungsmanagement: Die zentrale Vergabe und der Entzug von Zutrittsrechten müssen über workflow-gesteuerte Prozesse erfolgen. Antrags- und Genehmigungsprozesse sollten digitalisiert und lückenlos dokumentiert werden. Die Schließanlagenverwaltung mit Sicherungskarten und Schlüsselprotokollen stellt sicher, dass auch mechanische Zutritte nachvollziehbar bleiben.

  4. Automatisierte Türsysteme und Integration: Moderne Türsysteme ermöglichen die Überwachung des Türzustands in Echtzeit. Für die Betriebssicherheit ist zudem das Verhalten bei Stromausfall, die jeweiligen Widerstandsklassen und die Integration in zentrale Management-Plattformen entscheidende Faktoren. Digitale Planungstools unterstützen dabei, Zutrittspunkte normgerecht auszulegen.

  5. Service und Lifecycle-Management: Regelmäßige Wartungen, Updates und Lifecycle-Checks stellen sicher, dass die Systeme dauerhaft funktionsfähig bleiben. Schulungen sensibilisieren das Personal für Sicherheitsrisiken. Die Lieferkettenkommunikation sowie die vollständige Dokumentation aller Maßnahmen sind essentiell für Audits.

  6. Resilienz, Notfall- und Krisenmanagement: Notfallprotokolle definieren, wie die Betriebsfähigkeit im Ernstfall aufrechterhalten wird. Zutrittsfreigaben für Einsatzkräfte und die Priorisierung kritischer Bereiche müssen vorab festgelegt werden. Regelmäßige Tests und Szenarien – etwa Evakuierungssimulationen – stellen die Wirksamkeit der Maßnahmen sicher.

  7. Compliance und Reporting: Die lückenlose Protokollierung aller Zutrittsvorgänge, Audit-Logs und revisionssichere Reports sind Pflicht. Security Health Checks (SHC) bewerten regelmäßig den Status der Systeme und identifizieren Modernisierungsbedarf. Die Integration physischer, organisatorischer und digitaler Maßnahmen in ein übergeordnetes Sicherheitskonzept rundet die Compliance ab.

Kombination aus pysischer und digitaler Sicherheit als Schlüssel

„Die Kombination aus physischen Sicherheitslösungen und intelligenter Software ist der Schlüssel zu einer effizienten KRITIS-Compliance. Unternehmen benötigen eine einheitliche Plattform, die mechanische, mechatronische und elektronische Zutritte in einem System verwaltet und sich nahtlos in bestehende HR-, IT- und Gebäudemanagementsysteme einfügt“, betont Jochen Moll, Geschäftsführer bei Atoria. „Wir bieten zusammen mit unseren Partnern hierzu eine durchgängige Lösung, die von der Hardware wie Türsysteme, Zutrittskontrollkomponenten und Schließanlagen über die zentrale Management-Software bis hin zu digitalen Planungstools und Security-Health-Checks alles umfasst. Der modulare Aufbau ermöglicht es, schrittweise zu modernisieren und dabei den laufenden Betrieb aufrechtzuerhalten.“

Firmen zu diesem Artikel
Verwandte Artikel