KRITIS & NIS-2-Regularien

Zum Schutz der Infrastruktur von Einrichtungen in Deutschland existieren unterschiedliche Regelwerke, die parallel gelten und sich gegenseitig ergänzen. Von den KRITIS-Regularien sind rund 4.500 Unternehmen und Einrichtungen betroffen, vom NIS-2-Umsetzungsgesetz rund 29.500. Ein zentraler Aspekt der Anforderungen liegt in der effektiven Steuerung und Kontrolle physischer Zutritte zu sicherheitskritischen Bereichen. Bei Nichtumsetzung drohen hohe Bußgelder, die Unternehmensleitung haftet persönlich.

Im Kontext KRITIS & NIS-2

Relevanz von Zutrittslösungen

Ein zentraler Aspekt der Anforderungen aus dem NIS-2-Umsetzungsgesetz und der KRITIS-Anforderungen liegt in der effektiven Steuerung und Kontrolle physischer Zutritte zu sicherheitskritischen Bereichen. Dazu zählt in erster Linie das systematische Zutrittsmanagement für Betriebsgebäude, technische Anlagen und insbesondere IT-Infrastrukturen wie Serverräume oder Leitstände. Eine klare Trennung von Zugriffsrechten, revisionssichere Protokollierung und Schutz vor Manipulation sind genauso essenziell, wie die Identifikation und Authentifikation der jeweiligen Person vor Zutritt.

Stärkung der physischen Resilienz

KRITIS-Dachgesetz

Das KRITIS-Dachgesetz (Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITISDachG) wurde am 29. Januar 2026 durch den Bundestag offiziell beschlossen. Der Fokus des Gesetzes liegt auf dem physischen Schutz kritischer Infrastrukturen und der Ergänzung bestehender IT- und Cyber-Sicherheitsregelungen.

Als kritische Infrastrukturen gelten Einrichtungen, die für die Grundversorgung essenziell sind und in der Regel mehr als 500.000 Menschen versorgen sowie in einem der folgenden Bereiche (KRITIS-Sektoren) tätig sind:

Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung.

Für die Betreiber kritischer Anlagen nehmen die Verpflichtungen an zu ergreifende Maßnahmen hinsichtlich Sicherheit und Resilienz mit der Verabschiedung des Gesetzes spürbar zu. So sind sie verpflichtet:

• zur Registrierung beim BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) bzw. BSI (Bundesamt für Sicherheit in der Informationstechnik)
• zur Durchführung von Risikoanalysen und Risikobewertungen (mind. alle 4 Jahre)
• Maßnahmen durchzuführen, die
• das Auftreten von Vorfällen verhindern,
• einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen gewährleisten,
• sicherstellen, auf Vorfälle zu reagieren, sie abzuwehren und deren negativen Auswirkungen zu begrenzen,
• nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung gewährleisten.

Grundlage ist ein All-Gefahren-Ansatz, der sowohl Cyber-Angriffe als auch physische, natürliche und technische Risiken umfasst.

Risikomaßnahmen aufgrund des All-Gefahren-Ansatzes

NIS-2-Regularien

Die Umsetzung der EU-weiten NIS-2-Richtline wird in Deutschland durch das NIS-2-Umsetzungsgesetz geregelt. Im bereits geltenden Gesetz wird unterscheiden zwischen Sektoren besonders wichtiger Einrichtungen, Sektoren wichtiger Einrichtungen und Einrichtungen der Bundesverwaltung.

Das NIS-2-Umsetzungsgesetz definiert u. a. zehn Risikomanagement-Maßnahmen im Bereich der Cyber-Sicherheit, die betroffene Unternehmen mindestens ergreifen müssen, um die Auswirkung von Sicherheitsvorfällen möglichst gering zu halten. Darunter fällt auch ein Konzept in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik. Dieses Konzept wiederum muss auf dem All-Gefahren-Ansatz fußen, der den physischen Schutz von Gebäuden, Anlagen etc. einschließt.