Blog

Objektsicherheit · KRITIS · KW 26 / 2026

KRITIS-Dachgesetz: Physische Sicherheit als gesetzliche Pflicht

Was Betreiber kritischer Anlagen jetzt wissen müssen – Fristen, Anforderungen und ein strukturierter Umsetzungsweg.

Jörg Weidemann · JW Safety & Security  ·  24. Juni 2026  ·  Lesezeit: ca. 13 Minuten

Hintergrund: Das KRITIS-Dachgesetz ist seit dem 16. März 2026 in Kraft. Es legt erstmals bundesweit verbindliche Mindeststandards für den physischen Schutz kritischer Anlagen fest. Die Registrierungsfrist beim BBK endet am 17. Juli 2026 – ausreichend Zeit für eine strukturierte Vorbereitung.

17. Juli Registrierungsfrist beim BBK
10 Sektoren: Energie, Wasser, Gesundheit, Transport u. a.
500.000 Personen Versorgungsreichweite als Schwellenwert
9 Mon. Frist für die Risikoanalyse nach Registrierung

Ausgangslage

Physischer Schutz kritischer Infrastruktur war in Deutschland lange Ermessenssache. Betreiber von Energie-, Wasser- oder Gesundheitsanlagen entschieden selbst, wie sie Gebäude, Gelände und Zutrittsbereiche absichern. Das hat sich geändert.

Das KRITIS-Dachgesetz setzt die EU-Richtlinie 2022/2557 um und verpflichtet Betreiber kritischer Anlagen erstmals zu konkreten, dokumentierten Maßnahmen im Bereich physische Sicherheit. Für viele Unternehmen ist das eine neue Anforderung – aber keine unüberwindliche. Wer frühzeitig eine strukturierte Bestandsaufnahme durchführt, hat genug Spielraum für eine geordnete Umsetzung.

Dieser Beitrag gibt einen Überblick über die gesetzlichen Anforderungen, die relevanten Fristen und einen praxistauglichen Umsetzungsweg.

Rechtlicher Hintergrund

CER-Richtlinie und nationales Recht

Das KRITIS-Dachgesetz (KRITISDachG) setzt die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in deutsches Recht um. Ziel ist ein einheitliches Schutzniveau für kritische Infrastrukturen in der gesamten EU – gegen physische Bedrohungen ebenso wie gegen hybride Szenarien.

Ergänzung zu NIS2

Parallel gilt seit Dezember 2025 das NIS2-Umsetzungsgesetz für Cybersicherheit. Während NIS2 die digitale Seite regelt, adressiert das KRITIS-Dachgesetz die physische. Beide Regelwerke ergänzen einander und lassen sich effizient als gemeinsames Projekt umsetzen. Betreiber, die NIS2 bereits angegangen sind, haben beim KRITIS-Dachgesetz methodisch einen Vorsprung.

Betroffene Sektoren

Das Gesetz erfasst zehn Sektoren: Energie, Wasser, Gesundheit, Transport und Verkehr, Finanzwesen, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung sowie öffentliche Verwaltung. Der Schwellenwert: Eine Anlage gilt als kritisch, wenn ihr Ausfall die Versorgung von mindestens 500.000 Personen beeinträchtigen würde.

Aus der Praxis

Prüfen Sie als erstes, ob Ihre Anlage unter das Gesetz fällt: Sektor + Schwellenwert 500.000 Personen. Das BBK stellt dafür eine Orientierungshilfe bereit. Diese Klärung kostet wenig Zeit und gibt Klarheit über den weiteren Handlungsbedarf.

Fristen und Umsetzungsplan

Das Gesetz folgt einem gestaffelten Zeitplan, der eine geordnete Umsetzung ermöglicht:

Frist Anforderung Hinweis
17. Juli 2026 Registrierung beim BBK Möglich seit 17. Juni 2026 über das BBK-Portal
+ 9 Monate Vollständige Risikoanalyse Systematische Bewertung aller physischen und betrieblichen Risiken
+ 10 Monate Resilienzmaßnahmen & Resilienzplan Umsetzung, Dokumentation und Behördenvorlage
Laufend Regelmäßige Überprüfung Wirksamkeitskontrolle und Aktualisierung des Resilienzplans

Was das Gesetz konkret fordert

Das KRITIS-Dachgesetz ist technologieneutral formuliert. Es schreibt keine bestimmten Produkte vor, sondern definiert Schutzziele. Betreiber müssen nachweisen, dass ihre Maßnahmen dem aktuellen Stand der Technik entsprechen und einen „All-Gefahren-Ansatz“ abdecken:

  • Perimeterschutz: Einzäunung, Tore, Sicherheitsbeleuchtung, Zufahrtskontrolle
  • Zutrittskontrolle: Mechanische und elektronische Systeme, Besuchermanagement
  • Videoüberwachung: Anlassbezogene Aufzeichnung mit definierten Aufbewahrungsfristen
  • Einbruchmeldung und Alarmierung: Vernetzt, mit dokumentierten Eskalationswegen
  • Interventionskonzept: Werkschutz und/oder externe Sicherheitsdienste, klar geregelt
  • Physische Härtung: Serverräume, Schaltwarten, Pumpenräume – mechanisch und elektronisch gesichert

Entscheidend ist das Zusammenspiel der Maßnahmen. Einzelmaßnahmen ohne Gesamtkonzept erfüllen die gesetzliche Anforderung nicht. Gefordert ist ein dokumentiertes, integriertes Sicherheitskonzept – das physische und digitale Schutzebenen zusammendenkt.

Aus der Praxis

Ein Zonenkonzept mit klar definierten Schutzstufen (öffentlich, intern, hochkritisch) ist eine bewährte Methode, um den „All-Gefahren-Ansatz“ des Gesetzes strukturiert umzusetzen und dokumentierbar zu machen.

Praktische Auswirkungen für Betreiber

Bestandsaufnahme als Ausgangspunkt

Der erste Schritt ist eine ehrliche Bestandsaufnahme: Was ist vorhanden, was fehlt, was ist veraltet? Diese Gap-Analyse zeigt in den meisten Fällen konkreten Handlungsbedarf – bei veralteten Zutrittssystemen, fehlenden Prozessdokumentationen oder lückenhafter Videoabdeckung. Das Ergebnis ist eine priorisierte Maßnahmenliste.

Investitionsbedarf realistisch einschätzen

Betreiber mit bereits vorhandenen Sicherheitskonzepten benötigen häufig nur Anpassungen und Dokumentation. Betreiber ohne systematischen Ansatz sollten mittlere Investitionen im fünfstelligen Bereich einkalkulieren. Förderprogramme des Bundes und der EU unterstützen Investitionen in die Resilienz kritischer Infrastrukturen.

Fachbuch

Physischer Objektschutz unter NIS2

Perimeter, Zutritt, Räume und Resilienz auditfähig umsetzen – das Fachbuch von Jörg Weidemann liefert den methodischen Rahmen, den das KRITIS-Dachgesetz fordert: ein strukturiertes, dokumentiertes und prüffestes Sicherheitskonzept für physischen Objektschutz.

  • Zonenkonzept und Schutzbedarfsfeststellung Schritt für Schritt
  • Perimeterschutz, Gebäudehülle und Zutrittskontrolle konkret
  • 10 häufige physische Schwachstellen unter NIS2 – mit Lösungsansätzen
  • Dokumentationsnachweis: Was der Auditor tatsächlich sehen muss
  • NIS2 und physische Sicherheit: zusammengedacht, nicht getrennt

Typische Fehler – und wie man sie vermeidet

Einzelmaßnahmen statt Konzept

Neue Kameras oder Schlösser ohne System dahinter erfüllen die gesetzliche Anforderung nicht. Das Gesetz fordert ein integriertes Konzept mit Risikoanalyse und Wirksamkeitsnachweis.

Fehlende Dokumentation

Maßnahmen müssen nachweisbar sein. Behörden können Unterlagen jederzeit anfordern. Wer keine Dokumentation hat, kann Compliance nicht belegen.

Physisch und digital getrennt denken

NIS2 und KRITIS-Dachgesetz als getrennte Projekte zu behandeln, kostet doppelt so viel Zeit und Ressourcen wie ein integrierter Ansatz.

Registrierung verzögern

Die Registrierung ist der erste, einfachste Schritt. Wer ihn aufschiebt, verliert Zeit für die nachfolgenden Umsetzungsschritte, die deutlich mehr Aufwand erfordern.

Aus der Praxis

Zentrales Dokumentenmanagement von Anfang an: Begehungsprotokolle, Risikoanalysen, Schulungsnachweise und Wartungsberichte müssen revisionssicher und jederzeit abrufbar sein. Das spart im Prüffall erheblichen Aufwand.

Strukturiertes Vorgehen: Vier-Phasen-Modell

Ein bewährtes Vorgehensmodell für die Umsetzung des KRITIS-Dachgesetzes:

Phase 1 · Bestandsaufnahme und Gap-Analyse
Alle vorhandenen physischen Schutzmaßnahmen werden erfasst und gegen die gesetzlichen Anforderungen abgeglichen: Perimeter, Zutrittskontrolle, Überwachung, Alarmierung, Intervention, Notfallorganisation. Das Ergebnis ist eine klar priorisierte Lückenliste.
Phase 2 · Risikoanalyse
Alle relevanten Bedrohungsszenarien werden systematisch bewertet: Naturereignisse, technisches Versagen, menschliches Versagen, vorsätzliche Handlungen und hybride Bedrohungen. Das Ergebnis ist eine Risikoliste mit Eintrittswahrscheinlichkeit und Schadenspotenzial.
Phase 3 · Konzept und Resilienzplan
Ein integriertes Sicherheitskonzept entsteht mit Maßnahmen, Verantwortlichkeiten, Zeitplan und Kosten. Es wird mit den Behörden abgestimmt und bildet die Grundlage für den gesetzlich geforderten Resilienzplan.
Phase 4 · Umsetzung, Dokumentation und Review
Maßnahmen werden umgesetzt, lückenlos dokumentiert und regelmäßig auf Wirksamkeit überprüft. Jährliche Reviews stellen sicher, dass das Konzept aktuell bleibt.

Aus der Praxis

Eine eintägige Begehung mit strukturiertem Bestandsgespräch reicht in vielen Fällen aus, um Betroffenheit, Prioritäten und nächste Schritte zu klären – der effizienteste Einstieg in die KRITIS-Umsetzung.

Perspektive

Physische Sicherheit wird in vielen Unternehmen noch immer als nachrangig behandelt – das Budget fließt in IT-Security, der Zaun wird geflickt, wenn er kaputt ist. Das KRITIS-Dachgesetz ändert diese Logik. Es stellt physische Maßnahmen auf dieselbe gesetzliche Ebene wie digitale. Das ist konsequent, denn physischer Zugang zu kritischen Komponenten bleibt in vielen Angriffsszenarien der einfachste Weg zu großem Schaden.

Was mich an diesem Gesetz überzeugt: Es denkt physisch und digital zusammen. Genau das ist der Ansatz, für den ich in meiner Beratungsarbeit und in meinem Fachbuch stehe. Kein Silo, kein Flickenteppich – ein Gesamtkonzept, das prüffest und auditierbar ist.

— Jörg Weidemann, Sachverständiger · JW Safety & Security

Fazit und Handlungsempfehlungen

Das KRITIS-Dachgesetz schafft Klarheit, wo bisher Ermessen war: Physische Sicherheit kritischer Anlagen ist Pflicht, nicht Option. Für Betreiber, die strukturiert vorgehen, ist die Umsetzung machbar.

1

Betroffenheit klären: Gilt das Gesetz für meine Anlage? Sektor und Schwellenwert (500.000 Personen) prüfen.

2

Registrierung angehen: BBK-Registrierung vorbereiten und bis 17. Juli 2026 abschließen.

3

Bestandsaufnahme durchführen: Vorhandene physische Schutzmaßnahmen erfassen und Lücken identifizieren.

4

Risikoanalyse beauftragen: Bedrohungsszenarien strukturiert bewerten und Prioritäten setzen.

Dieser Artikel wurde durch den Einsatz von KI-gestützten Tools optimiert, um Ihnen die bestmögliche Qualität zu bieten. Alle Inhalte werden sorgfältig geprüft und finalisiert. Mehr über meinen verantwortungsvollen Umgang mit KI und Datenschutz erfahren Sie auf meiner Seite zur Arbeitsweise.