Die Bundesregierung hat mit dem KRITIS-Dachgesetz eine neue Stufe im Schutz kritischer Infrastrukturen erreicht (BMI, 2025). Baustellenverantwortliche, Sicherheitsdienstleister sowie Unternehmen, die in der Baubranche tätig sind, müssen sich darauf einstellen, dass nun nicht mehr ausschließlich IT-Sicherheit, sondern auch physische Sicherheit, Resilienz und Dokumentation im Fokus stehen.
Für Bau und Sicherheit bedeutet das: Baustellen rund um Energie-, Wasser-, Verkehrs- oder Gesundheitsinfrastruktur gewinnen an regulatorischer Bedeutung. Wer hier tätig ist, sollte frühzeitig prüfen, wo Handlungsbedarf besteht.
KRITIS-Dachgesetz 2025 im Überblick
Das KRITIS-Dachgesetz (KRITIS-DG) stärkt ab 2025 den Schutz kritischer Infrastrukturen in Deutschland.
Es setzt die EU-CER-Richtlinie (EU 2022/2557) um und verpflichtet Betreiber zu Risikoanalysen, Meldeketten und physischen Schutzmaßnahmen wie Zutrittskontrolle und Videoüberwachung.
Betroffen sind zentrale Bereiche wie Energie, Wasser, Gesundheit, IT, Transport und Verwaltung.
Neu ist: Physische Sicherheit wird gesetzliche Pflicht – nicht nur Cyberabwehr. Verstöße können zu Bußgeldern in Millionenhöhe führen.
Was ist das KRITIS-Dachgesetz überhaupt?
Das KRITIS-Dachgesetz (kurz: KRITIS-DachG) ist die nationale Umsetzung der europäischen CER-Richtlinie (EU 2022/2557) und ergänzt die bisherigen IT-Sicherheitsregelungen durch sektorübergreifende Mindeststandards für Resilienz und physischen Schutz.
Künftig müssen Betreiber kritischer Anlagen nicht nur Cyberrisiken, sondern auch physische Gefahren wie Sabotage, Vandalismus, Stromausfälle oder Naturereignisse berücksichtigen.
Ziel ist es laut dem Bundesministerium des Innern, die Versorgungssicherheit zu stärken, Abhängigkeiten zu minimieren und einheitliche Standards zu schaffen, und somit einen Schritt zum sogenannten „Sicherheitsgesetz 3.0“ hin.
Wer ist vom neuen Gesetz betroffen?
Das Gesetz richtet sich an Betreiber sogenannter „kritischer Anlagen“, also Einrichtungen oder Systeme, bei deren Ausfall die öffentliche Sicherheit, Gesundheit oder Versorgung gefährdet wäre.
Zu den betroffenen Sektoren zählen:
- Energie
- Transport & Verkehr
- Trink- und Abwasserversorgung
- Ernährung
- Gesundheit
- Informationstechnik und Telekommunikation
- Öffentliche Verwaltung
Eine Anlage gilt dabei häufig als kritisch, wenn sie über die Versorgung von mindestens 500.000 Personen wirkt.
Für die Bau- und Sicherheitsbranche bedeutet das: Unternehmen, die an solchen Projekten beteiligt sind – etwa bei der Errichtung von Umspannwerken, Wasserwerken oder Rechenzentren – müssen künftig erhöhte Sicherheitsanforderungen erfüllen und dokumentieren.
Was ändert sich konkret mit dem neuen Gesetz?
Das KRITIS-Dachgesetz bringt eine Vielzahl neuer Verpflichtungen für Betreiber, Dienstleister und Zulieferer:
- Registrierungspflicht: Alle kritischen Anlagen müssen bei den zuständigen Behörden gemeldet werden.
- Risikomanagement & Resilienzmaßnahmen: Unternehmen müssen regelmäßig Risikoanalysen und Resilienzpläne erstellen, die auch physischen Schutz berücksichtigen.
- Physische Sicherheitsanforderungen: Pflicht zu Zutrittskontrollen, Überwachung, Zugangssicherung und Schutz gegen Sabotage oder Naturgefahren.
- Meldepflichten bei Störungen: Betreiber müssen Sicherheitsvorfälle und Ausfälle an Behörden wie das BBK oder BSI melden.
- Behördliche Aufsicht: Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten neue Kontrollrechte.
- Sanktionen: Bei Verstößen drohen Bußgelder in Millionenhöhe oder der Verlust von Aufträgen.
Physische Sicherheit als Teil der KRITIS-Resilienz
Während bisher meist Cyberabwehr im Vordergrund stand, rückt nun der physische Schutz in den Mittelpunkt.
Gerade auf Baustellen und in temporären Projekten wird das zur Herausforderung: Zutrittsbeschränkungen, Überwachungssysteme und Notfallkonzepte müssen dokumentiert und regelmäßig überprüft werden.
Für Bau- und Sicherheitsunternehmen relevant:
- Zugangskontrolle: Wer darf wann auf das Gelände?
- Überwachung: Permanente Kontrolle sensibler Bereiche per Video und Sensorik.
- Alarmierung & Intervention: Klare Prozesse zur schnellen Reaktion bei Vorfällen.
- Nachweis & Dokumentation: Behörden verlangen lückenlose Nachweise der Schutzmaßnahmen.
Lösungen wie unsere mobile Videoüberwachung bieten hier einen Vorteil: Die Systeme sind KRITIS- und ISO 27001-konform, DSGVO-sicher, nutzen deutsche Server und gewährleisten Echtzeitüberwachung über eine eigene 24/7-Leitstelle in Deutschland – eine Anforderung, die viele Wettbewerber nicht erfüllen.
Praxisbeispiel: Baustellenschutz bei KRITIS-Projekten
Ein Bauunternehmen ist an der Errichtung eines neuen Rechenzentrums beteiligt – ein Projekt, das als kritische Infrastruktur gilt. Die Baustelle ist weitläufig, über Monate aktiv und beinhaltet wertvolle IT-Komponenten, Verkabelungen und Energieanlagen. Gleichzeitig ist sie in den Abend- und Nachtstunden unbewacht – ein hohes Risiko für Diebstahl, Sabotage oder unbefugten Zutritt.
Mit Inkrafttreten des KRITIS-Dachgesetzes gelten hier klare Vorgaben: Bereits in der Planungsphase muss ein Sicherheits- und Resilienzkonzept erstellt werden, das den physischen Schutz, die Alarmierungsketten und die Meldeprozesse definiert.
In der Praxis bedeutet das:
- Baustellenzugänge sind eindeutig definiert, beschildert und werden digital erfasst.
- Mobile Videoüberwachungssysteme sichern den gesamten Perimeter. Moderne KI-Analysen erkennen Bewegungen automatisch, unterscheiden zwischen Personen, Fahrzeugen und Tieren – Fehlalarme werden minimiert.
- Live-Überwachung & Alarmierung: Bei einem Vorfall erfolgt eine sofortige Meldung an eine Leitstelle, die direkt Polizei oder Wachdienst alarmiert.
- Dokumentation & Auditfähigkeit: Alle Maßnahmen, Alarme und Reaktionen werden automatisch protokolliert – ein klarer Nachweis gegenüber Behörden oder Versicherern.
- Schulung: Alle Mitarbeitenden werden in die Sicherheitsprozesse eingewiesen und wissen, wie sie im Ernstfall handeln müssen.
Ein solches Konzept erfüllt nicht nur die gesetzlichen Anforderungen, sondern erhöht auch die Projektsicherheit und minimiert Haftungsrisiken.
Video Guard setzt dabei auf intelligente, NDAA konforme Systeme mit ISO 27001- zertifiziertem Betrieb (27001 ist für das Unternehmen, NDAA für die Technik), DSGVO-Konformität und eigener deutscher Leitstelle – eine Lösung, die optimal auf KRITIS-Projekte vorbereitet ist.
Gerade in sensiblen Bauphasen ermöglichen diese Systeme eine Kombination aus präventivem Schutz, Echtzeit-Überwachung und rechtlicher Nachweisbarkeit – zentrale Aspekte, die das KRITIS-Dachgesetz künftig fordert.
Was Unternehmen jetzt tun sollten
Damit Sie nicht erst reagieren müssen, wenn das Gesetz vollständig greift
- Prüfen Sie: Gehört Ihr Unternehmen oder Ihre Baustelle zu einem KRITIS-relevanten Bereich?
- Bestandsaufnahme: Welche Schutzmaßnahmen bestehen bereits – technisch, organisatorisch und dokumentarisch?
- Risikoanalyse: Welche Szenarien wurden berücksichtigt (Sabotage, Stromausfall, Naturgefahr, unbefugter Zutritt)?
- Sicherheitskonzept: Entwickeln Sie ein dokumentiertes Konzept inklusive physischer Schutzmaßnahmen, Meldeketten und Verantwortlichkeiten.
- Partnerwahl: Arbeiten Sie mit zertifizierten Sicherheitsanbietern zusammen, die KRITIS- und ISO 27001-Erfahrung haben.
- Training & Kommunikation: Schulen Sie Mitarbeitende, definieren Sie klare Zuständigkeiten und regelmäßige Audits.
- Kontinuierliches Monitoring: Etablieren Sie eine regelmäßige Überwachung und Dokumentation Ihrer Sicherheitsmaßnahmen.
Fazit: Mehr Sicherheit, mehr Verantwortung
Mit dem KRITIS-Dachgesetz wird der Schutz kritischer Infrastrukturen in Deutschland neu definiert. Für die Bau- und Sicherheitsbranche heißt das: Physische und digitale Sicherheit wachsen zusammen – und wer heute handelt, sichert sich morgen einen entscheidenden Wettbewerbsvorteil.
Unternehmen, die frühzeitig auf KRITIS-Standards setzen, erfüllen nicht nur gesetzliche Anforderungen, sondern stärken Vertrauen, Professionalität und langfristige Partnerschaften in sicherheitsrelevanten Projekten.
