🗂
Praxisleitfäden
Schritt-für-Schritt-Wissen für Sicherheitsverantwortliche
KRITIS · 2026
KRITIS-Dachgesetz: Checkliste für die erste Registrierung
Welche Dokumente brauchen Sie? Wer ist zuständig? Was muss bis zum 17. Juli 2026 vorbereitet sein? Schritt für Schritt erklärt.
Weiterlesen →
NIS2 · §30 BSIG
NIS2-Compliance: Physische Sicherheit in 5 Schritten
Viele Unternehmen erfüllen die IT-Anforderungen von NIS2, vergessen aber §30 Abs. 2 BSIG – die physischen Schutzpflichten.
Weiterlesen →
Risikoanalyse · ISO 31000
Risikoanalyse für KMU: Einfache Methodik ohne Berater
Wie führen kleine und mittlere Unternehmen eine erste Risikoanalyse durch? Ein praxistauglicher Einstieg mit ISO-31000-Methodik.
Weiterlesen →
Perimeterschutz
Perimeterschutz planen: Vom Konzept zur Umsetzung
Welche Zonen braucht welche Schutztiefe? Mechanisch, elektronisch, baulich – eine strukturierte Planungshilfe für Liegenschaften.
Weiterlesen →
Synagogenschutz
Schutz jüdischer und religiöser Einrichtungen: Fördermittel & Maßnahmen
Bundes- und Landesförderung, technische Mindeststandards und Kontaktstellen für Gemeinden in Rheinland-Pfalz und bundesweit.
Weiterlesen →
Notfallplanung
Business Continuity Management (BCM): Grundlagen und Pflichten
BCM ist Kernpflicht nach KRITIS-Dachgesetz. Was es bedeutet, wie man es aufbaut und was Aufsichtsbehörden erwarten.
Weiterlesen →
💡 Hinweis: Unsere Leitfäden geben einen fundierten Überblick. Für die konkrete Umsetzung in Ihrem Unternehmen empfehlen wir ein individuelles Beratungsgespräch – kostenlos und unverbindlich.
🏛️
KRITIS-Dachgesetz 2026
Physische Resilienzpflichten für Betreiber kritischer Anlagen
Das KRITIS-Dachgesetz (KRITISDachG) ist das erste nationale Gesetz, das physische Sicherheitsanforderungen für kritische Infrastrukturen verbindlich regelt. Es setzt die EU-Richtlinie 2022/2557 (CER-Richtlinie) in deutsches Recht um und ergänzt das bisherige KRITIS-Regime des BSI-Gesetzes um einen eigenständigen Resilienzrahmen.
§ 7 KRITISDachG
Identifizierung als KRITIS-Betreiber
Das BBK identifiziert Betreiber auf Basis von Schwellenwerten. Betroffene werden direkt benachrichtigt und sind zur Registrierung verpflichtet.
§ 11 KRITISDachG
Risikoanalyse
Pflicht zur umfassenden Risikoanalyse, die physische Bedrohungen (Einbruch, Sabotage, Naturereignisse) einschließt. Frist: 9 Monate nach Registrierung.
§ 13 KRITISDachG
Physische Schutzmaßnahmen
Konkrete Pflicht zu Perimeterschutz, Zutrittskontrolle, Videoüberwachung, Alarmierung, BCM und Personalsicherheit (Zuverlässigkeitsprüfungen).
Betroffene Sektoren
- Energie: Strom, Gas, Fernwärme, Öl – Schwellenwert meist ab 100.000 Versorgte
- Verkehr: Bahn, Flughäfen, Häfen, Straßen – nach Durchsatz und strategischer Bedeutung
- Gesundheit: Krankenhäuser ab 30.000 stationäre Fälle/Jahr, Labore, Pharmaproduzenten
- Trinkwasser / Abwasser: Versorgungsunternehmen ab 300.000 Einwohner-Äquivalente
- Digitale Infrastruktur, Weltraum, Lebensmittel, Banken, Finanzmarkt, Verwaltung
⚖️
NIS2 und physische Sicherheit (§30 BSIG)
Was das NIS2-Umsetzungsgesetz von Unternehmen verlangt
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt seit dem 6. Dezember 2025 ohne Übergangsfrist für über 30.000 Unternehmen in Deutschland. §30 BSIG fordert explizit physische Sicherheitsmaßnahmen als Teil des Risikomanagements.
Physische Pflichten nach §30 Abs. 2 BSIG
- Zugangssicherung: Physische Zugangskontrolle zu sensiblen Bereichen und IT-Systemen
- Schutz der physischen Umgebung: Serverräume, Technikräume, Netzknoten
- Schutz vor Diebstahl und Vandalismus: Einbruchmeldeanlage, Videoüberwachung
- Notfall- und Krisenmanagement: BCM mit physischen Wiederherstellungsprozessen
- Personalsicherheit: Zuverlässigkeitsprüfungen für Mitarbeiter mit Zugang zu kritischen Systemen
Geschäftsführerhaftung (§38 BSIG)
§38 BSIG führt die persönliche, nicht übertragbare Haftung der Geschäftsleitung ein. Das bedeutet: Tritt ein Sicherheitsvorfall auf, der durch angemessenes Sicherheitsmanagement hätte verhindert werden können, haftet die Geschäftsführung persönlich – auch wenn kein Vorsatz vorliegt.
Wichtige Einrichtungen
Bis 7 Mio. € Bußgeld
oder 1,4 % des weltweiten Jahresumsatzes
Besonders wichtige Einrichtungen
Bis 10 Mio. € Bußgeld
oder 2 % des weltweiten Jahresumsatzes
Letzte Konsequenz
Betriebsuntersagung
BSI kann den Betrieb bis zur Mängelbeseitigung untersagen
📊
Risikoanalyse für physische Sicherheit
Methodik, Risikomatrix und Praxisansatz nach ISO 31000
Eine professionelle Risikoanalyse ist die Grundlage jedes Sicherheitskonzepts – und gesetzliche Pflicht nach KRITIS-Dachgesetz und NIS2. Sie bewertet Bedrohungen systematisch anhand von Eintrittswahrscheinlichkeit × Schadensausmaß.
Die 5 Schritte einer physischen Risikoanalyse
Schritt 01
Kontext und Schutzziele definieren
Welche Assets müssen geschützt werden? Menschen, Gebäude, Anlagen, Daten, Reputation – jedes Schutzziel erhält eine Kritikalitätsbewertung (1–10).
Schritt 02
Bedrohungen identifizieren
Systematische Erfassung aller relevanten Bedrohungen: Einbruch, Sabotage, Spionage, Insider-Bedrohungen, Naturereignisse, hybride Angriffe.
Schritt 03
Schwachstellen analysieren
Begehung der Liegenschaft, Interviews, Dokumentenprüfung: Wo sind die konkreten Schwachstellen (fehlender Perimeterschutz, schwache Zutrittskontrolle, blinde Zonen)?
Schritt 04
Risiken bewerten (Risikomatrix)
Jede identifizierte Bedrohung wird nach Wahrscheinlichkeit (1–10) und Schadensausmaß (1–10) bewertet. Der Risikowert (Produkt beider Werte) bestimmt die Priorität.
Schritt 05
Maßnahmen ableiten und dokumentieren
Für jedes Risiko werden verhältnismäßige Maßnahmen definiert: technisch, organisatorisch, baulich. Mit Kostenschätzung, Zuständigkeiten und Umsetzungsfristen.
💡 SecureStay Analytics unterstützt diese Methodik digital: Die interaktive 10×10 Risikomatrix visualisiert Risiken in Echtzeit und dokumentiert alle Maßnahmen revisionssicher.
📖
Glossar: Physische Sicherheit
Die wichtigsten Fachbegriffe für Sicherheitsverantwortliche
KRITIS
Betreiber kritischer Anlagen
Unternehmen oder Behörden, die Einrichtungen betreiben, deren Ausfall erhebliche gesellschaftliche Folgen hätte. Identifiziert durch das BBK auf Basis von Schwellenwerten in elf Sektoren.
Technik
Perimeterschutz
Gesamtheit aller Maßnahmen zum Schutz der äußeren Grenzen einer Liegenschaft: Zäune, Poller, Fahrzeugsperren (PAS 68/IWA 14), Bewegungsmelder, Perimetervideoüberwachung.
Norm
Widerstandsklasse (RC 1–6)
Klassifizierung nach DIN EN 1627: Beschreibt die Einbruchhemmung von Türen, Fenstern und Tresoren. RC4 gilt als Mindeststandard für besonders schutzbedürftige Einrichtungen.
Organisation
Business Continuity Management (BCM)
Strategisches Managementsystem zur Sicherstellung der Betriebsfähigkeit nach Schadensereignissen. KRITIS-Pflicht nach §13 KRITISDachG. Umfasst Notfallpläne, Ausweichkonzepte und Wiederanlaufpläne.
Recht
CER-Richtlinie (EU 2022/2557)
EU-Richtlinie zur Resilienz kritischer Einrichtungen. Schwesterdirektive zur NIS2-Richtlinie. Regelt physische Schutzpflichten. Umgesetzt durch das KRITIS-Dachgesetz (März 2026).
Technik
Einbruchmeldeanlage (EMA)
Elektronisches System zur Erkennung unbefugter Zutrittsversuche (Bewegungsmelder, Öffnungsmelder, Körperschalldetektoren). Klassifiziert nach VdS-Klassen A, B, C (C = höchste Sicherheit).
Methodik
ISO 31000
Internationale Norm für Risikomanagement. Gibt Grundsätze, Rahmen und Prozesse für die Risikoanalyse vor. Referenziert in KRITIS-Dachgesetz und NIS2 als methodischer Standard.
Recht
§34a GewO (Bewachungsgewerbe)
Regelt die Erlaubnispflicht für Bewachungsunternehmen. Reine Sicherheitsberatung ohne eigenes Wachpersonal fällt nicht darunter. SecureStay Solutions ist ausschließlich beratend tätig.
Bedrohung
Hybride Bedrohung
Kombination staatlich gesteuerter Aktivitäten unterhalb der Kriegsschwelle: Sabotage, Spionage, Cyberangriffe, Desinformation, Drohnenaufklärung. Aktuell besonders relevant für KRITIS-Betreiber in Deutschland.
Organisation
Zuverlässigkeitsüberprüfung
Behördliche Prüfung der persönlichen Zuverlässigkeit von Mitarbeitern mit Zugang zu kritischen Bereichen. Pflicht nach KRITIS-Dachgesetz und Luftsicherheitsgesetz. Koordiniert durch LKA / BKA.
Technik
Fahrzeugrammbremse / Rammsperren
Bauliche oder technische Sperren gegen Fahrzeugrammangriffe. Klassifiziert nach PAS 68 (britisch) und IWA 14-1 (international). Zertifiziert nach Aufprallenergie und Penetrationslänge.
Planung
Sicherheitszonenkonzept
Strukturierung einer Liegenschaft in konzentrische Schutzzonen (Perimeter → Außenzone → Innenzone → Kernzone). Jede Zone erfordert definierte Schutzmaßnahmen und Zugriffsrechte.
📐
Relevante Normen & Standards
Überblick über die wichtigsten normativen Grundlagen
| Norm / Gesetz | Thema | Relevant für |
|---|---|---|
| KRITISDachG | Physische Resilienzpflichten kritischer Infrastrukturen | ~1.300 KRITIS-Betreiber in 11 Sektoren |
| §30 BSIG (NIS2) | Physische Sicherheit als Risikomanagementpflicht | 30.000+ NIS2-pflichtige Unternehmen |
| ISO 31000:2018 | Risikomanagement – Grundsätze und Leitlinien | Alle Unternehmen, KRITIS, NIS2 |
| DIN EN 1627 | Einbruchhemmung – Widerstandsklassen RC 1–6 | Türen, Fenster, Abschlüsse, Tresore |
| DIN VDE 0833 | Gefahrenmeldeanlagen (Einbruch, Überfall, Brand) | EMA-Planung, Zertifizierung |
| VdS 2311 / VdS 3138 | Richtlinien für Einbruchmeldeanlagen (Klassen A, B, C) | Versicherungen, KRITIS, Behörden |
| IWA 14-1 / PAS 68 | Fahrzeugrammsperren und Perimeterschutzsysteme | KRITIS-Betreiber, öffentliche Einrichtungen |
| DIN 77200 | Sicherungsdienstleistungen – Anforderungen an Unternehmen | Dienstleister, Qualitätsnachweise |
| ISO 22301:2019 | Business Continuity Management (BCM) | KRITIS-Pflicht, NIS2, Großunternehmen |
| TR KRITIS (BSI) | Technische Richtlinien des BSI für KRITIS-Betreiber | KRITIS-Betreiber nach BSI-Gesetz |
| CER-Richtlinie (EU 2022/2557) | Resilienz kritischer Einrichtungen (EU-Grundlage) | Alle EU-Mitgliedstaaten, KRITIS |
| NIS2-Richtlinie (EU 2022/2555) | Netz- und Informationssicherheit (incl. physisch) | NIS2-pflichtige Unternehmen EU-weit |
📅
Fristen & Compliance-Timeline
Alle wichtigen Deadlines auf einen Blick
6. Dezember 2025 – bereits abgelaufen
NIS2-Umsetzungsgesetz in Kraft
Das NIS2UmsuCG gilt seit diesem Datum ohne Übergangsfrist. Über 30.000 Unternehmen müssen §30 BSIG (physische Sicherheit) und §38 BSIG (Geschäftsführerhaftung) einhalten.
6. März 2026 – in Kraft
KRITIS-Dachgesetz in Kraft
Bundesrat hat zugestimmt. Das Gesetz gilt ab sofort. Betroffene Betreiber müssen Compliance-Maßnahmen einleiten.
17. Juli 2026
Registrierungspflicht beim BBK startet
Identifizierte KRITIS-Betreiber müssen sich ab diesem Datum beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.
9 Monate nach Registrierung
Risikoanalyse muss vorliegen
Vollständige Risikoanalyse nach §11 KRITISDachG – inklusive physischer Bedrohungsszenarien und bewerteter Maßnahmen.
10 Monate nach Registrierung
Resilienzplan umgesetzt
Alle Maßnahmen nach §13 KRITISDachG müssen implementiert und dokumentiert sein: Perimeterschutz, Zutrittskontrolle, BCM, Notfallpläne.
Alle 4 Jahre
Pflicht zur Überprüfung und Aktualisierung
Risikoanalyse und Resilienzplan müssen regelmäßig überprüft und an die aktuelle Bedrohungslage angepasst werden.
⚠️ Handlungsbedarf jetzt: Wer noch kein professionelles Sicherheitskonzept hat, sollte sofort starten – die BBK-Registrierung startet im Juli 2026, die Risikoanalyse braucht Vorlaufzeit. Jetzt Erstgespräch vereinbaren →
❓
Häufig gestellte Fragen (FAQ)
Antworten auf die meistgestellten Fragen zu physischer Sicherheit
Was ist das KRITIS-Dachgesetz und wen betrifft es?
Das KRITIS-Dachgesetz (KRITISDachG) ist das deutsche Umsetzungsgesetz zur EU-CER-Richtlinie (Critical Entities Resilience Directive). Es trat am 6. März 2026 in Kraft und verpflichtet rund 1.300 Betreiber kritischer Anlagen in elf Sektoren zur Umsetzung physischer Resilienzmaßnahmen. Betroffen sind: Energie, Verkehr, Gesundheit, Trinkwasser, Abwasser, Banken, Finanzmarkt, digitale Infrastruktur, Weltraum, Lebensmittel, öffentliche Verwaltung.
Welche physischen Sicherheitsmaßnahmen fordert NIS2 (§30 BSIG)?
§30 Abs. 2 BSIG fordert von betroffenen Unternehmen explizit:
- Zugangskontrolle zu kritischen Bereichen und Systemen
- Schutz vor unbefugtem physischen Zugang
- Sicherung von Serverräumen und Technikräumen
- Maßnahmen gegen Diebstahl und Vandalismus
- Notfall- und Krisenmanagement mit physischen Komponenten
Was kostet ein professionelles Sicherheitskonzept?
Die Kosten variieren je nach Unternehmensgröße:
- Kleines KMU (bis 50 MA): 5.000 – 8.000 €
- Mittelständler (50–250 MA): 8.000 – 15.000 €
- Großunternehmen / komplexe Liegenschaft: ab 15.000 €
- KRITIS-Betreiber: Individualpreis nach Umfang
Was ist der Unterschied zwischen Sicherheitsberatung und Wachschutz?
Sicherheitsberatung ist strategisch und konzeptionell: Risikoanalyse, Sicherheitskonzept, Compliance-Beratung (NIS2, KRITIS), herstellerneutrale Empfehlungen, Schulungen. Wachschutz ist operativ: er stellt Personal für Bewachungsaufgaben und unterliegt der Erlaubnispflicht nach §34a GewO. SecureStay Solutions ist ausschließlich beratend tätig – kein Wachpersonal, keine IT-Produkte.
Was ist eine Risikoanalyse nach ISO 31000?
Eine Risikoanalyse nach ISO 31000 ist ein strukturierter Prozess zur Identifikation, Analyse und Bewertung von Risiken. Im Kontext physischer Sicherheit umfasst sie: Bestandsaufnahme der Schutzobjekte, Identifikation relevanter Bedrohungen (Einbruch, Sabotage, Naturereignisse, Insider-Bedrohungen), Bewertung von Eintrittswahrscheinlichkeit und Schadensausmaß, Ableitung einer priorisierten Risikomatrix und konkreter Maßnahmenempfehlungen.
Was versteht man unter Perimeterschutz?
Perimeterschutz umfasst alle Maßnahmen zum Schutz des äußeren Geländebereichs:
- Mechanisch: Zäune, Mauern, Poller, Fahrzeugsperren (PAS 68/IWA 14)
- Elektronisch: Bewegungsmelder, Perimeter-Videosysteme, Alarmierung
- Baulich: Sicherheitszonen, Schleusen, Einlassbereiche
- Organisatorisch: Zutrittskontrollpolitik, Ausweispflichten
Wer haftet bei einem physischen Sicherheitsvorfall nach NIS2?
Gemäß §38 BSIG haftet die Geschäftsleitung persönlich, wenn ein Sicherheitsvorfall eintritt, der durch angemessenes Sicherheitsmanagement hätte verhindert werden können. Diese persönliche Haftung kann nicht auf die GmbH übertragen werden. Bei schwerwiegenden Verstößen drohen zusätzlich Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Ab wann müssen sich KRITIS-Betreiber beim BBK registrieren?
Die Registrierungspflicht beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) tritt ab dem 17. Juli 2026 in Kraft. Danach gilt:
- Innerhalb von 9 Monaten nach Registrierung: Risikoanalyse muss vorliegen
- Innerhalb von 10 Monaten: Resilienzplan muss umgesetzt sein
- Alle 4 Jahre: Aktualisierungspflicht