KRITIS-Dachgesetz: So erfüllen Sie die neue Sicherheits-Pflicht

KRITIS-Dachgesetz: Wer ist betroffen und was wird reguliert?

Das KRITIS-Dachgesetz (KRITISDachG) bildet den rechtlichen Rahmen zur Stärkung der physischen Resilienz kritischer Infrastrukturen. In enger Zusammenarbeit definieren das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das BSI verbindliche Mindestanforderungen für Betreiber, um Anlagen besser vor Sabotage, Naturereignissen und technischen Ausfällen zu schützen.

Das Gesetz verpflichtet Betreiber zu Risikoanalysen, physischen Absicherungsmaßnahmen und einer strukturierten Notfallorganisation. Betroffen sind Einrichtungen, deren Ausfall die Versorgungssicherheit oder das staatliche Gemeinwesen erheblich beeinträchtigen würde, insbesondere in den Sektoren:

• Energie & Wasser
• Transport & Verkehr
• IT & Telekommunikation
• Gesundheit, Ernährung & Finanzwesen
• Öffentliche Verwaltung

Durch die Kombination aus physischer Vorsorge (BBK) und Cybersecurity (BSI) entsteht ein ganzheitliches Schutzniveau, das über rein isolierte Sicherheitsmaßnahmen hinausgeht.

KRITIS-Anforderungen für Betreiber kritischer Infrastrukturen

Mit dem KRITIS-Dachgesetz wandelt sich der Fokus von isolierten Maßnahmen hin zu einem ganzheitlichen Resilienzmanagement. Für Betreiber kritischer Infrastrukturen bedeutet dies konkret, dass physische Sicherheit, operative Kontinuität und behördliche Nachweispflichten untrennbar miteinander verknüpft werden.

Die zentralen Pflichten umfassen:

• Registrierung und Governance: Betreiber müssen ihre Anlagen bis spätestens Juli 2026 registrieren und feste Kontaktstellen für Sicherheitsbelange benennen.
• Systematische Risikoanalysen: Regelmäßige Bewertungen bilden die Basis für alle Schutzkonzepte. Dabei orientieren sich Betreiber an den methodischen Vorgaben des BBK, um Bedrohungen wie Sabotage oder Extremwetterereignisse präzise zu erfassen.
• Umsetzung von Resilienzmaßnahmen: Auf Basis der Analysen müssen physische Schutzmaßnahmen wie Perimeterschutz, Zutrittskontrollen und Notfallsysteme nachweislich implementiert werden.
• Meldewesen und Dokumentation: Sicherheitsrelevante Vorfälle müssen unverzüglich gemeldet werden. Zudem muss die Wirksamkeit aller Maßnahmen jederzeit für Audits nachvollziehbar dokumentiert sein. 

Damit wird physische Sicherheit zu einer messbaren Managementaufgabe: Betreiber müssen belegen, dass sie Ausfälle begrenzen und zentrale Versorgungsleistungen auch unter Krisenbedingungen aufrechterhalten können.

KI-gestützte Videosicherheit & Zutrittskontrolle für KRITIS

Das KRITIS-Dachgesetz macht physische Sicherheit zu einem zentralen Bestandteil operativer Resilienz. Für Betreiber kritischer Infrastrukturen reicht es nicht mehr aus, Standorte nur passiv zu schützen. Entscheidend ist die Fähigkeit, Risiken frühzeitig zu erkennen, Vorfälle schnell zu bewerten und Betriebsunterbrechungen durch koordinierte Reaktionen zu begrenzen.

Integrierte Sicherheitsplattformen aus Videosicherheit, Zutrittskontrolle, KI-gestützter Analyse und Sensorik unterstützen diesen Ansatz. Damit lassen sich zentrale Bedrohungsszenarien wie unbefugter Zutritt, Sabotage oder Umwelt- und Betriebsrisiken direkt in konkrete Schutz- und Resilienzmaßnahmen übersetzen. Moderne Sicherheitslösungen bieten hierfür sowohl cloudnative als auch lokale Optionen, darunter KI-gestütztes Videomanagement und skalierbare Zutrittskontrolle, die sowohl Vor-Ort- als auch Cloud-Bereitstellungen unterstützen.

• Intelligente Früherkennung und Standortschutz: Kritische Knotenpunkte wie Energieanlagen oder Rechenzentren benötigen permanente Transparenz. Durch die Kombination von Videosicherheit und KI-gestützter Analytik wandelt sich der Schutz von einem reaktiven zu einem proaktiven Modell. Moderne KI-Überwachungskameras erkennen anomale Aktivitäten oder unbefugten Zutritt am Perimeter automatisch und entlasten Sicherheitsteams durch Echtzeitwarnungen und beschleunigte Suchfunktionen in einer großen Anzahl von Videoaufnahmen. 
• Ganzheitliches Lagebild bei hybriden Bedrohungen: Wenn physische und digitale Angriffspfade zusammenwirken, müssen Videosicherheit, Zutrittskontrolle und Sensorik als Einheit betrachtet werden. Eine zentrale, skalierbare Lösung führt diese Bereiche mit einem flexiblen Cloudmanagement zusammen, um ein lückenloses Lagebild zu gewährleisten. Intelligente Sensoren für Umwelt- oder Geräuschanomalien erweitern diesen Schutzraum zusätzlich. Durch die direkte Verknüpfung von Ereignissen mit entsprechenden Videonachweisen können Sicherheitsteams Situationen schneller bewerten und alle Maßnahmen für Audits lückenlos dokumentieren. 
• Resiliente Infrastruktur und sicherer Fernzugriff: Für KRITIS-Betreiber ist die Vertrauenswürdigkeit der Technik selbst entscheidend. Eine moderne Sicherheitsarchitektur basiert auf Standards wie SOC 2 oder ISO 27001 und nutzt verschlüsselte Datenübertragung zum Schutz der Systemintegrität. Cloudbasierte Lösungen ermöglichen dabei eine sichere Steuerung dezentraler Anlagen von jedem Standort aus. So können Betreiber Informationen in Echtzeit teilen und Reaktionen effizient koordinieren, ohne die Cybersicherheit zu gefährden.
• Das Ergebnis: Physische Sicherheit wird im Sinne des KRITIS-Dachgesetzes zu einem aktiven Resilienzsystem, das Risiken priorisiert, Reaktionen beschleunigt und die regulatorische Compliance automatisiert.

Compliance automatisieren: Audit-ready durch KI-gestützte Daten

Mit dem KRITIS-Dachgesetz zählt nicht nur, welche Sicherheitsmaßnahmen Betreiber umsetzen, sondern ob sie Risiken und Reaktionen jederzeit nachvollziehbar nachweisen können. Moderne Sicherheitsplattformen unterstützen diese operative Umsetzung, indem sie objektive Daten liefern, Reaktionen automatisieren und den Nachweisprozess radikal vereinfachen.

• KI-gestützte Analysen: Sicherheitslücken mit objektiven Daten erkennen: Risikoanalysen gewinnen massiv an Aussagekraft, wenn sie auf realen Daten statt auf Annahmen basieren. KI-gestützte Videoanalysen liefern objektive Erkenntnisse darüber, wo sich ungewöhnliche Aktivitäten häufen und welche Bereiche tatsächlich exponiert sind. So lassen sich Risiken gezielter bewerten und Schutzmaßnahmen nach tatsächlicher Relevanz priorisieren.
• Proaktive Reaktion: Vorfälle automatisch eindämmen: Technische Resilienz bedeutet, dass ein Vorfall nicht erst eskalieren muss, bevor reagiert wird. Durch die Integration von Videosicherheit und Zutrittskontrolle können Betreiber Ereignisse in Echtzeit verifizieren und automatisierte Reaktionen auslösen. Wird beispielsweise eine unbefugte Person am Perimeter erkannt, kann das System Sicherheitsteams sofort alarmieren und den Zugang zu sensiblen inneren Bereichen automatisch sperren.
• Automatisierte Nachweisführung: Audit-ready statt Excel-Chaos: Für KRITIS-Betreiber wird die Dokumentation zum zentralen Erfolgsfaktor. Integrierte Systeme verknüpfen Zutrittsereignisse, Alarme und die entsprechenden Videonachweise automatisch zu auditfähigen Logs. Dies erleichtert interne Kontrollen und Management-Reportings erheblich und sorgt dafür, dass relevante Daten für BSI- und BBK-Prüfungen strukturiert exportiert werden können.

KRITIS-Dachgesetz und NIS2: Konvergenz von Cybersecurity und physischem Schutz

Viele Betreiber müssen beide Regelwerke gleichzeitig berücksichtigen. Während NIS2 den digitalen Raum absichert, schließt das KRITIS-Dachgesetz die Lücke zum physischen Schutz.

Wichtig zu beachten: Betreiber kritischer Anlagen waren bereits zum 6. März 2026 verpflichtet, sich im Rahmen der NIS2-Umsetzung beim BSI zu registrieren. Das KRITIS-DachG baut auf diesen Strukturen auf, um die physische Widerstandsfähigkeit zu vervollständigen.

Effiziente Compliance: Synergien zwischen NIS2 und KRITIS nutzen

Trotz unterschiedlicher Schwerpunkte folgen beide Gesetze derselben Logik: Risiken müssen identifiziert, Vorfälle unverzüglich gemeldet und Sicherheitsstrategien direkt auf Managementebene verankert werden. Für Betreiber bedeutet das: Sicherheit darf nicht mehr in Silos gedacht werden. Ein integriertes Risikomanagement, das physische Sensordaten mit digitaler Cybersecurity verknüpft, erfüllt die Anforderungen beider Richtlinien effizienter und reduziert den administrativen Aufwand bei Audits.

KRITIS-Sicherheitsarchitektur: Der Rahmen für physische Resilienz

Regulatorische Vorgaben allein schaffen keine Resilienz. Für Betreiber kritischer Infrastrukturen kommt es darauf an, physische Schutzmaßnahmen, organisatorische Prozesse und technische Systeme nahtlos miteinander zu verzahnen. Eine moderne Sicherheitsarchitektur überführt die abstrakten Anforderungen des KRITISDachG in ein wirksames, operatives Schutzkonzept, das auf drei zentralen Säulen basiert:

Integrierter Perimeterschutz und Zutrittskontrolle

Die Basis jeder KRITIS-Sicherheit ist die lückenlose Absicherung des Geländes und sensibler Innenbereiche.

• Perimeter-Absicherung: Kombination aus physischen Barrieren und intelligenter Sensorik zur Detektion von Übersteig- oder Durchbruchversuchen.
• Besuchermanagement: Digitale Verwaltung und Steuerung von Berechtigungen für Mitarbeiter und Gäste über moderne Zutrittskontrollsysteme.
• Zonierung: Schutz besonders sensibler Betriebsbereiche innerhalb der Anlage durch mehrstufige Authentifizierung und Türlesegeräte.

Intelligente Lageerfassung und Echtzeit-Reaktion

Ein moderner Schutz kritischer Infrastrukturen setzt auf Systeme, die Bedrohungen erkennen, bevor sie den Betrieb stören.

• Videosicherheit: Flächendeckende Lageerfassung und KI-gestützte Analyse zur sofortigen Identifikation sicherheitsrelevanter Ereignisse.
• Anomalieerkennung: Automatisierte Warnmeldungen bei unbefugtem Aufenthalt oder untypischen Bewegungsmustern.
• Incident Response: Verknüpfung von Alarmen mit digitalen Maßnahmenplänen für eine schnelle, strukturierte Eskalation.

Dokumentation, Governance und Krisenmanagement

Resilienz erfordert eine klare organisatorische Verankerung und die Fähigkeit, auch unter extremen Bedingungen handlungsfähig zu bleiben.

• Automatisierte Protokollierung: Lückenlose Aufzeichnung aller Sicherheitsereignisse und Zutritte für behördliche Audits.
• Krisenmanagement: Integration von Notfall- und Wiederanlaufplänen in die zentrale Sicherheitsplattform.
• Regelmäßige Validierung: Unterstützung bei der Überprüfung und Anpassung der Systeme an neue Bedrohungslagen durch datengestützte Reports.

Fazit: Integrierter Schutz als Fundament Ihrer KRITIS-Strategie

Das KRITIS-Dachgesetz verschärft die Anforderungen an die Sicherheit deutlich und rückt die physische Resilienz in den Fokus moderner Schutzkonzepte. Für Betreiber bedeutet das: Sicherheits‑, Resilienz- und Compliance-Anforderungen können nicht länger isoliert betrachtet werden, sondern müssen als integriertes Gesamtsystem ineinandergreifen.

Zutrittskontrolle und Videosicherheit sind dabei weit mehr als nur Schutzfunktionen. Sie bilden das Rückgrat eines durchgängigen Resilienzmanagements. Sie ermöglichen nicht nur die Prävention von Vorfällen, sondern stellen die frühzeitige Erkennung, eine strukturierte Reaktion und die regulatorisch geforderte Nachvollziehbarkeit sicher.

Am Ende geht es nicht nur um den Einsatz einzelner Technologien, sondern um die Fähigkeit, den physischen Schutz kritischer Infrastrukturen ganzheitlich zu bewerten und kontinuierlich zu stärken. Der Erfolg der Umsetzung hängt entscheidend davon ab, wie nahtlos der aktuelle Sicherheitsstatus, die Resilienzmaßnahmen und die technische Architektur aufeinander abgestimmt sind.