/Images/AI_Pictures/ricarda-schmidt-author.webp?width=30&name=ricarda-schmidt-author.webp){kind=small}
Ricarda Schmidt
Der Bundestag hat am 28. Januar 2026 das KRITIS-Dachgesetz verabschiedet. Die meisten Berichte dazu handeln von IT-Sicherheit und NIS-2. Weniger Aufmerksamkeit bekommt der Teil, der für Sicherheitsdienstleister operativ am wichtigsten ist: Das Gesetz reguliert erstmals den physischen Schutz kritischer Infrastrukturen. Rundgänge, Zugangskontrollen, Vorfallsmeldungen – all das muss jetzt dokumentiert werden. Zeitgestempelt, vollständig, auditierbar.
Rund 30.000 Unternehmen fallen unter die erweiterte Regulierung. Geschäftsleitungen haften persönlich – mit ihrem Privatvermögen. Und Sicherheitsdienstleister, die KRITIS-Objekte bewachen, stehen unter indirektem Druck: Ihre Auftraggeber reichen die Dokumentationsanforderungen vertraglich weiter.
Kurz zusammengefasst: Das KRITIS-Dachgesetz verlangt erstmals auditierbaren Nachweis des physischen Schutzes. Sicherheitsdienstleister ohne lückenlose Dokumentation riskieren KRITIS-Aufträge – Registrierungsfrist beim BBK ist der 17. Juli 2026.
Was das KRITIS-Dachgesetz für den physischen Schutz regelt
Das KRITIS-Dachgesetz setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie) in deutsches Recht um. Kern: Betreiber kritischer Infrastrukturen müssen nicht nur ihre IT absichern (das regelt NIS-2), sondern auch den physischen Schutz ihrer Anlagen nach definierten Mindeststandards organisieren und nachweisen.
Die Regulierung betrifft Betreiber in den Sektoren Energie, Transport, Gesundheit, Wasser und Abwasser, Bankenwesen, digitale Infrastruktur und Raumfahrt. Die Kritikalitätsschwelle liegt bei einer Versorgung von rund 500.000 Einwohnern – eine Schwelle, die der Deutsche Städtetag bereits als zu hoch kritisiert hat, weil kleinere Versorger herausfallen.
Die konkreten Pflichten:
- Registrierung beim BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) bis 17. Juli 2026
- Risikoanalyse alle 4 Jahre – umfassend, dokumentiert, mit Resilienzplan
- BSI-Audit alle 3 Jahre für den physischen Schutz
- Vorfallsmeldepflichten: 24 Stunden Erstmeldung, 72 Stunden Detailbericht, 1 Monat Abschlussbericht
- Persönliche Haftung der Geschäftsleitung mit Privatvermögen – ein Verzicht auf Regressansprüche ist unwirksam
Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes für besonders wichtige Einrichtungen (ab 250 Mitarbeitern oder 50 Mio. € Umsatz). Für wichtige Einrichtungen (ab 50 Mitarbeitern oder 10 Mio. €) sind es bis zu 7 Millionen Euro oder 1,4 Prozent.
Warum Sicherheitsdienstleister betroffen sind, obwohl sie keine KRITIS-Betreiber sind
Sicherheitsdienstleister bewachen KRITIS-Objekte – Energieversorger, Wasserwerke, Kliniken, Rechenzentren –, aber sie sind in der Regel nicht selbst KRITIS-Betreiber. Direkt geprüft werden die Betreiber. Trotzdem trifft die Regulierung Sicherheitsdienste unmittelbar.
Der Mechanismus: KRITIS-Betreiber müssen nachweisen, dass ihr physischer Schutz funktioniert. Diesen Nachweis können sie nur erbringen, wenn ihre Sicherheitsdienstleister die Dokumentation liefern. Wer das nicht kann, wird im nächsten Ausschreibungszyklus durch einen Dienstleister ersetzt, der es kann.
Die Kleeberg-Analyse zur NIS-2-Umsetzung macht den Supply-Chain-Effekt explizit: Selbst nicht-regulierte Zulieferer und Dienstleister stehen unter vertraglichem Druck ihrer regulierten Auftraggeber. Wer keine auditierbaren Nachweise vorlegen kann, riskiert den Verlust der Geschäftsbeziehung.
Für einen Sicherheitsdienst, der einen Energieversorger bewacht, heißt das konkret: Der Auftraggeber wird bei der nächsten Vertragsverlängerung fragen, wie der Dienstleister Rundgänge, Vorfälle und Schlüsselübergaben dokumentiert. Nicht ob, sondern wie.
Was ein KRITIS-Audit beim physischen Schutz tatsächlich prüft
Der BSI-Auditprozess für den physischen Schutz nutzt die Verfahren GAiN (Grundsätzliche Anforderungen im Nachweisverfahren) und RUN (Reife- und Umsetzungsgradbewertung). Das sind keine Checklisten zum Abhaken. Es sind Reifegrad-Bewertungen auf einer Skala von 1 bis 5. KRITIS-Betreiber brauchen mindestens Reifegrad 3: Definierte, dokumentierte Prozesse mit nachweisbarer Umsetzung.
Für den physischen Schutz bedeutet das fünf konkrete Prüfbereiche:
1. Rundgangsnachweise: Wann genau war welcher Sicherheitsmitarbeiter an welchem Kontrollpunkt? Der Prüfer erwartet Zeitstempel und Ortsnachweis – nicht „ungefähr zwischen 2 und 3 Uhr nachts", sondern: 02:17 Uhr, Kontrollpunkt Tor West, GPS-verifiziert.
2. Vollständigkeit: Wurden alle definierten Kontrollpunkte eines Rundgangs abgelaufen? Gibt es Lücken? Wie werden ausgelassene Punkte dokumentiert und begründet?
3. Vorfallsdokumentation: Das KRITIS-Dachgesetz schreibt eine 24-Stunden-Erstmeldefrist vor. Der Prüfer fragt: Wie schnell wurde ein Vorfall erfasst? Wer wurde informiert? Gibt es Fotobeweise? Ist die Meldekette nachvollziehbar?
4. Datenintegrität: Sind die Aufzeichnungen manipulationssicher? Können sie nachträglich verändert werden? Prüfer kennen die Schwachstellen händisch geführter Systeme.
5. Verfügbarkeit: Kann der Dienstleister die Dokumentation der letzten 12 Monate auf Anfrage vorlegen? Sofort – nicht „wir suchen das zusammen und schicken es nächste Woche."
Wo die Dokumentation bei den meisten Dienstleistern scheitert
Die fünf Prüfbereiche klingen machbar. In der Praxis scheitern die meisten Sicherheitsdienste an der Dokumentation – nicht weil sie schlechte Arbeit leisten, sondern weil ihre Systeme den Nachweis nicht hergeben.
Ein Beispiel: Der Auditor fragt nach dem Rundgang vom 14. Januar, Nachtschicht, Objekt Wasserwerk Süd. Mit einem Papier-Wachbuch heißt das: den richtigen Ordner finden, Handschrift entziffern, keinen unabhängigen Ortsnachweis vorlegen können. Der Zeitstempel wurde vom Mitarbeiter selbst eingetragen – das ist kein Nachweis, das ist eine Behauptung.
Mit Excel-Listen ist die Lage kaum besser. Daten werden oft nachträglich eingetragen. Es fehlt die Verbindung zwischen Rundgang, Vorfall und Schichtplan. Der Prüfer sieht separate Dateien ohne Zusammenhang – kein einheitlicher Audit-Trail.
Am kritischsten sind getrennte Systeme: Wachbuch in einem Tool, Dienstplan in einem anderen, GPS-Daten irgendwo separat, Schlüsselübergaben auf Papier. Der Prüfer will eine Quelle, die alles in einem Zusammenhang zeigt. Fünf verschiedene Ordner ergeben keinen Audit-Trail.
Die BSI-Reifegradsystematik ist hier unbarmherzig: „Wir machen das schon, es hat bisher funktioniert" entspricht Reifegrad 1. KRITIS-Betreiber brauchen Reifegrad 3 – definierte Prozesse mit nachweisbarer, dokumentierter Umsetzung.
Wie eine KRITIS-konforme Dokumentation im physischen Schutz funktioniert
Ein Online-Wächterkontrollsystem (OWKS) bildet genau die Dokumentationsschicht, die das KRITIS-Dachgesetz für den physischen Schutz verlangt. Es verbindet Rundgänge, Vorfälle, Schichtdaten und Schlüsselübergaben in einem einzigen, auditierbaren System.
Konkret heißt das:
- Kontrollpunktscans per NFC oder GPS – jeder Scan ist zeitgestempelt, ortsverifiziert und sofort im Portal sichtbar. Die Rundgangüberwachung zeigt automatisch, ob alle Kontrollpunkte abgelaufen wurden – der Auditor sieht: 02:17 Uhr, Kontrollpunkt Tor West, Mitarbeiter XY.
- Ein automatisches digitales Wachbuch, das sich aus Scans, Ereignissen und Schichtdaten selbst schreibt – keine manuelle Nacherfassung, keine Lücken.
- Ereigniserfassung in Echtzeit: Vorfall dokumentieren, Foto anhängen, per Diktierfunktion beschreiben – sofort im Portal. Die 24-Stunden-Meldefrist des KRITIS-Dachgesetzes wird damit operativ einhaltbar.
- Ein Kundenportal für KRITIS-Betreiber – Energieversorger, Kliniken, Wasserwerke sehen ihre Dokumentation direkt, ohne E-Mail-Verkehr. Das vereinfacht den Nachweis gegenüber dem BBK.
- Unveränderbare Daten nach Upload – das ist der Audit-Trail, den Prüfer erwarten.
COREDINATE ist ein Beispiel für diese Art von Sicherheitsdienst Software. Der Punkt ist aber nicht das spezifische Produkt: Entscheidend ist, dass ein integriertes System existiert, das alle Dokumentationsanforderungen des physischen Schutzes in einem Audit-Trail zusammenführt. Wer KRITIS-Objekte bewacht, braucht ein System, das im Auditfall auf Knopfdruck liefert.
„Ich habe eine sichere Dokumentation und durch den Einsatz von GPS weiß ich, wo sich der Kollege befindet. Mit der Totmannschaltung fühlt sich auch der Kollege sicher, da ich nicht nur seinen Standort, sondern im Unfallfall seinen Zustand kenne."
Volker Frisse, Protection One GmbHHäufige Fragen zum KRITIS-Dachgesetz und physischem Schutz
Was regelt das KRITIS-Dachgesetz für den physischen Schutz?
Das KRITIS-Dachgesetz definiert erstmals bundeseinheitliche Mindestanforderungen an den physischen Schutz kritischer Infrastrukturen. Betreiber in Sektoren wie Energie, Wasser, Transport und Gesundheit müssen Risikoanalysen durchführen, Resilienzpläne erstellen und den physischen Schutz auditierbar dokumentieren. Die Registrierung beim BBK ist bis 17. Juli 2026 Pflicht, BSI-Audits finden alle drei Jahre statt.
Müssen Sicherheitsdienstleister selbst ein KRITIS-Audit bestehen?
Direkt geprüft werden die KRITIS-Betreiber, nicht die Dienstleister. Aber: Betreiber reichen die Dokumentationsanforderungen vertraglich an ihre Sicherheitsdienstleister weiter. Wer keine auditfähige Dokumentation liefern kann – zeitgestempelte Rundgangsnachweise, Vorfallsmeldungen mit Fotobeweis, manipulationssichere Daten – riskiert den Auftrag beim nächsten Ausschreibungszyklus.
Welche Strafen drohen bei KRITIS-Verstößen?
Besonders wichtige Einrichtungen (ab 250 Mitarbeitern oder 50 Mio. € Umsatz) haften mit bis zu 10 Mio. € oder 2 Prozent des weltweiten Vorjahresumsatzes. Wichtige Einrichtungen (ab 50 Mitarbeitern oder 10 Mio. €) mit bis zu 7 Mio. € oder 1,4 Prozent. Geschäftsleitungen haften persönlich mit ihrem Privatvermögen – ein vertraglicher Verzicht auf Regressansprüche ist unwirksam.
Ist Ihre Dokumentation KRITIS-auditfähig?
Testen Sie, ob Ihre Rundgangs- und Vorfallsdokumentation den neuen Anforderungen standhält.
14 Tage kostenlos testen →Alle Funktionen | Vertrieb kontaktieren
Oder rufen Sie uns an: +49 (0) 9842 80491-20
/Images/Product_images/Testset_incl_Icons_400Pixel.webp){kind=tracking}
Sie haben das Wächterkontrollsystem COREDINATE® noch nicht im Einsatz? Dann wird es Zeit unser Testset 14 Tage kostenlos und unverbindlich auf Herz und Nieren zu prüfen.
/Images/Icons/Social%20Media/facebook_gray.svg){kind=icon}
/Images/Icons/Social%20Media/linkedin_gray.svg){kind=icon}
/Images/Icons/Social%20Media/x_gray.svg){kind=icon}
/Images/Icons/Social%20Media/xing_gray.svg){kind=icon}