Mit dem geplanten KRITIS-Dachgesetz, das am 18. Oktober 2024 in Kraft tritt, setzt die Bundesregierung einen Meilenstein zur Stärkung der Sicherheit kritischer Infrastrukturen in Deutschland.
Erstmals werden bundesweit Mindeststandards für den physischen Schutz festgelegt und kritische Infrastrukturen klar definiert. Während bisherige Regelungen primär die IT-Sicherheit betrafen, zielt das neue Gesetz darauf ab, die Resilienz kritischer Infrastrukturen zu stärken, indem es auch physische Schutzmaßnahmen wie Zugangskontrollen vorschreibt.
Dieser Security-Pflock wird Auswirkungen haben – und zwar für weit mehr Unternehmen und Organisationen, als viele vielleicht vermuten. Betroffen sind neben Energie, Transport und Verkehr auch das Finanz-, Versicherungs- und Gesundheitswesen sowie die Bereiche Trink- und Abwasser, Ernährung, Informationstechnik, Telekommunikation, öffentliche Verwaltung sowie Kultur, Medien und Bildung.
So zeigt eine aktuelle proALPHA-Umfrage, dass mehr als die Hälfte der befragten Unternehmen aus dem deutschen Mittelstand starke Auswirkungen des KRITIS-Dachgesetzes erwarten. Vertreter der Fertigungsindustrie (28 Prozent) und der IT- und Technologiebranche (30 Prozent) rechnen sogar mit negativen Einflüssen, beispielsweise auf die Innovationskraft.
Verbindung von Cybersecurity und physischer Sicherheit
Eine frühzeitige Auseinandersetzung mit den Anforderungen des KRITIS-Dachgesetzes ist deshalb für alle betroffenen Unternehmen unerlässlich. Auch wenn die Umsetzungsfristen erst im Juli 2026 enden, sollte bereits jetzt mit der Planung begonnen werden.
Das Gesetz betont die untrennbare Verbindung von Cybersecurity und physischer Sicherheit, wobei Zutrittskontrollsysteme, Personaleinsatzplanung und Echtzeitüberwachung zentrale Elemente einer effektiven Sicherheitsstrategie darstellen. Diese Maßnahmen ermöglichen es Unternehmen und Organisationen, im Ernstfall schnell zu reagieren und kritische Dienstleistungen im Notfall rasch wiederherzustellen. So wird der Zugang zu Räumlichkeiten mit sensiblen Informationen oder Netzwerkinfrastruktur durch physische Zutrittskontrollen gesichert. Tages- und uhrzeitabhängige Berechtigungen stellen sicher, dass nur qualifiziertes Personal kritische Bereiche betreten kann. Zusätzlich lassen sich Kontrollsysteme mit Zeiterfassungssystemen verbinden, um Anwesenheit und Arbeitszeiten genau zu erfassen. Das erleichtert die Identifizierung von Anomalien, die auf Sicherheitsrisiken oder Missbrauch hindeuten könnten.
Ein Beispiel: Bei einem Sicherheitsvorfall, wie dem unerlaubten Eindringen in eine Fabrik, sperren Zutrittskontrollsysteme sofort den Zugang zu kritischen Bereichen wie Fertigungshallen oder Lagerbereiche. Gleichzeitig ermöglicht die Echtzeitüberwachung durch Sicherheitskameras die schnelle Identifizierung des Eindringlings und das gezielte Eingreifen der Sicherheitskräfte. Die Integration von Zeiterfassungs- und Personaleinsatzplanungssystemen gewährleistet einen geordneten Zugang zu den Anlagen und die rasche Mobilisierung des erforderlichen Personals. Diese Systeme helfen Einsatzteams auch, effizienter zu agieren, da sie nachvollziehen können, wer sich wo befindet. Nach einem Vorfall sollten die Sicherheitsprotokolle umfassend überprüft und optimiert werden, um zukünftige Bedrohungen zu minimieren.