Mit der Kritisverordnung (KritisV) konkretisiert die Bundesregierung erstmals, welche Anlagen unter das neue KRITIS-Dachgesetz fallen und damit den umfassenden Resilienzanforderungen des Bundes unterliegen. Für Betreiber kritischer Anlagen bedeutet dies zusätzliche Pflichten. Für die Sicherheitsindustrie markiert die Verordnung jedoch weit mehr als eine regulatorische Anpassung: Sie verändert die Rolle von Sicherheitstechnik grundlegend. Gefragt sind künftig nicht nur Schutzmaßnahmen gegen Einbruch, Sabotage oder Vandalismus, sondern integrierte Resilienzkonzepte, die den dauerhaften Betrieb kritischer Dienstleistungen gewährleisten.

Vom Objektschutz zur Resilienz

Mit dem am 17. März 2026 in Kraft getretenen KRITIS-Dachgesetz hat Deutschland die europäische CER-Richtlinie (Critical Entities Resilience Directive) umgesetzt. Die nun vorgelegte Kritisverordnung definiert, welche Anlagen als kritisch gelten und damit den neuen gesetzlichen Anforderungen unterliegen. Grundlage sind Sektoren, kritische Dienstleistungen, Anlagenkategorien und Schwellenwerte, die sich überwiegend an der bereits etablierten Methodik der BSI-Kritisverordnung orientieren.

Der entscheidende Unterschied liegt jedoch im Fokus: Während die bisherige Regulierung vor allem die IT-Sicherheit kritischer Infrastrukturen adressierte, rückt nun die physische Resilienz in den Mittelpunkt. Betreiber müssen Risiken analysieren, Schutzmaßnahmen implementieren und erhebliche Vorfälle melden. Damit wird Sicherheit erstmals sektorübergreifend als Bestandteil der betrieblichen Widerstandsfähigkeit verstanden.

Für die Sicherheitsindustrie bedeutet dies einen Paradigmenwechsel. Die klassische Betrachtung einzelner Gewerke – Videoüberwachung, Zutrittskontrolle, Einbruchmeldetechnik oder Perimeterschutz – reicht künftig nicht mehr aus. Entscheidend wird die Frage, wie sich kritische Dienstleistungen auch unter außergewöhnlichen Belastungen aufrechterhalten lassen.

Wer künftig als KRITIS gilt

Die Verordnung umfasst zehn zentrale Sektoren:

• Energie
• Transport und Verkehr
• Finanzwesen
• Sozialversicherung und Grundsicherung
• Gesundheit
• Wasser
• Ernährung
• Informationstechnik und Telekommunikation
• Weltraum
• Siedlungsabfallentsorgung

Neu ist insbesondere die Aufnahme des Weltraumsektors. Kritische Dienstleistungen umfassen dort unter anderem Positionierung, Navigation, Zeitmessung, Erdbeobachtung und Transportkapazitäten. Damit erkennt der Gesetzgeber erstmals die zentrale Bedeutung satellitengestützter Dienste für moderne Gesellschaften und Volkswirtschaften an.

Für die Sicherheitsbranche eröffnet dies neue Betätigungsfelder. Bodenstationen, Kontrollzentren, Kommunikationsknoten und Datenverarbeitungseinrichtungen werden künftig stärker in KRITIS-Strategien eingebunden werden müssen.

Sicherheitstechnik wird Teil der Betriebsfähigkeit

Die Verordnung macht deutlich, dass kritische Anlagen nicht nur aus Produktionsanlagen oder Gebäuden bestehen. Auch Steuerungszentralen, Leitstellen, Netzwerke, Dispositionssysteme und digitale Plattformen können als kritische Anlagen eingestuft werden. Besonders auffällig ist die Vielzahl an zentralen Steuerungs- und Überwachungssystemen, die in nahezu allen Sektoren ausdrücklich genannt werden.

Damit verändert sich die Funktion der Sicherheitstechnik grundlegend.

Eine moderne Leitstelle dient nicht mehr ausschließlich der Alarmbearbeitung. Sie wird zunehmend zum operativen Resilienzzentrum, das physische Sicherheitsinformationen, Cyberereignisse, Betriebsdaten und externe Lageinformationen zusammenführt.

Für Anbieter von Sicherheitsmanagementsystemen bedeutet dies erhebliches Wachstumspotenzial. Gefragt sind Plattformen, die unterschiedliche Gewerke integrieren und Lagebilder in Echtzeit erzeugen können. Sicherheitsleitstellen entwickeln sich zu zentralen Instrumenten der Unternehmensresilienz.

Videoüberwachung wird zum Frühwarnsystem

Besonders deutlich wird der Wandel bei der Videoüberwachung. In vielen KRITIS-Umgebungen wurde Videotechnik bislang primär zur Beweissicherung oder Perimeterüberwachung eingesetzt.

Die neuen Anforderungen fördern dagegen einen präventiven Ansatz.

Betreiber müssen Risiken identifizieren und geeignete Maßnahmen zur Risikominderung ergreifen. Daraus ergibt sich ein wachsender Bedarf an intelligenten Videosystemen, die ungewöhnliche Aktivitäten, Sabotageversuche oder betriebliche Anomalien frühzeitig erkennen können.

KI-gestützte Analysen gewinnen dadurch erheblich an Bedeutung. Anwendungen reichen von der Erkennung unbefugter Personen auf Betriebsgeländen über die Analyse von Menschenansammlungen bis hin zur automatisierten Überwachung kritischer Prozesse.

Gerade in Energieanlagen, Wasserwerken, Verkehrsinfrastrukturen oder Logistikzentren kann die frühzeitige Erkennung von Störungen entscheidende Zeitvorteile schaffen.

Zutrittskontrolle wird strategisch wichtiger

Die Verordnung erwähnt zahlreiche Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die Versorgungssicherheit hätte. Daraus ergibt sich zwangsläufig ein höherer Stellenwert für Zutrittsmanagement.

Dabei geht es längst nicht mehr nur um das Öffnen und Schließen von Türen.

Betreiber müssen künftig deutlich genauer dokumentieren können,

• wer Zugang zu kritischen Bereichen besitzt,
• wann Zugänge erfolgt sind,
• welche Berechtigungen vergeben wurden,
• wie temporäre Dienstleister kontrolliert werden und
• welche Prozesse im Krisenfall greifen.

Moderne Identitäts- und Zutrittsmanagementsysteme entwickeln sich damit zu einem zentralen Baustein regulatorischer Compliance.

Besonders gefragt werden Lösungen sein, die physische und digitale Identitäten miteinander verknüpfen. Die Trennung zwischen IT-Sicherheit und physischer Sicherheit verliert zunehmend an Bedeutung.

Neue Chancen für Perimeterschutz und Drohnenerkennung

Die zunehmenden geopolitischen Spannungen in Europa haben die Verwundbarkeit kritischer Infrastrukturen deutlich sichtbar gemacht.

Sabotageakte an Unterseekabeln, Angriffe auf Energieinfrastrukturen sowie die steigende Zahl unautorisierter Drohnenflüge haben die Bedrohungslage verändert.

Die Kritisverordnung selbst nennt keine konkreten Technologien. Die Verpflichtung zur Risikoanalyse führt jedoch zwangsläufig dazu, dass Betreiber neue Bedrohungsszenarien bewerten müssen.

Dazu gehören insbesondere:

• Drohnenüberflüge,
• Ausspähungsaktivitäten,
• Sabotageversuche,
• Insider-Bedrohungen,
• hybride Angriffe sowie
• koordinierte physische und digitale Angriffe.

Für Hersteller von Radarsystemen, Drohnendetektion, Sensorfusion und intelligenter Perimeterüberwachung entstehen dadurch erhebliche Marktchancen.

Insbesondere Betreiber von Energieanlagen, Wasserwerken, Verkehrsinfrastrukturen und Logistikzentren werden entsprechende Schutzkonzepte zunehmend nachfragen.

IT und physische Sicherheit wachsen zusammen

Eine der wichtigsten Aussagen des Verordnungsentwurfs ist die angestrebte Kohärenz zwischen KRITIS-Dachgesetz und BSI-Gesetz.

Die Bundesregierung verfolgt ausdrücklich das Ziel, physische Resilienz und Cybersicherheit stärker miteinander zu verzahnen. Künftig sollen Betreiber kritischer Anlagen über denselben Anwendungsbereich definiert werden.

Für die Sicherheitsindustrie ist dies von erheblicher Bedeutung.

Viele traditionelle Sicherheitsanbieter müssen ihre Kompetenzen erweitern. Kunden werden zunehmend Lösungen verlangen, die beide Welten integrieren:

• Security Information and Event Management (SIEM),
• Physical Security Information Management (PSIM),
• Security Operations Center (SOC),
• Leitstellenintegration,
• Cyber-Physical Security Monitoring,
• Risiko- und Krisenmanagement.

Die Grenze zwischen IT-Abteilung und Sicherheitsabteilung wird weiter verschwimmen.

Dokumentation wird zum zentralen Compliance- und Resilienzfaktor

Eine der am meisten unterschätzten Folgen des KRITIS-Dachgesetzes und der geplanten Kritisverordnung betrifft nicht die Installation zusätzlicher Sicherheitstechnik, sondern die Dokumentation der getroffenen Maßnahmen. Während sich viele Diskussionen derzeit auf Zutrittskontrollen, Perimeterschutz, Leitstellen oder Videoüberwachung konzentrieren, entsteht im Hintergrund eine zweite, mindestens ebenso bedeutsame Herausforderung: die Nachweisführung.

Denn die Verordnung verpflichtet Betreiber kritischer Anlagen nicht lediglich dazu, Risiken zu analysieren und Resilienzmaßnahmen umzusetzen. Sie müssen diese Prozesse künftig auch nachvollziehbar dokumentieren können. Risikoanalysen, Gefährdungsbewertungen, Schutzmaßnahmen, Verantwortlichkeiten, Schulungen, Wartungen, Vorfälle und Verbesserungsmaßnahmen werden Teil eines kontinuierlichen Nachweisprozesses. Dies entspricht der Logik der CER-Richtlinie, die auf eine überprüfbare Resilienz kritischer Einrichtungen abzielt. Die reine Behauptung, angemessene Maßnahmen getroffen zu haben, wird künftig nicht mehr genügen.

Für Betreiber bedeutet dies einen erheblichen organisatorischen Wandel. In vielen Unternehmen sind Informationen über Sicherheitsmaßnahmen bislang auf unterschiedliche Abteilungen verteilt. Technische Dokumentationen liegen bei Facility Management oder Technik, Cybersecurity-Nachweise bei der IT, Notfallpläne im Krisenmanagement und Compliance-Dokumente in der Rechtsabteilung. Die KRITIS-Regulierung zwingt diese Bereiche nun zu einer deutlich engeren Verzahnung.

Besonders anspruchsvoll wird dies bei komplexen Infrastrukturen. Betreiber von Energieversorgungsnetzen, Wasserwerken, Verkehrsunternehmen oder Rechenzentren müssen künftig nicht nur dokumentieren, welche Schutzmaßnahmen existieren, sondern auch, wie diese zur Reduzierung konkreter Risiken beitragen. Dadurch verschiebt sich der Fokus von der reinen Maßnahmenliste hin zur Wirksamkeitsdokumentation.

Für die Sicherheitsindustrie eröffnet sich daraus ein neues Geschäftsfeld. Die Nachfrage wird sich zunehmend von einzelnen Hardware-Komponenten auf dokumentationsfähige Gesamtsysteme verlagern. Sicherheitslösungen müssen künftig revisionssicher protokollieren können, welche Ereignisse erkannt, welche Alarme ausgelöst, welche Entscheidungen getroffen und welche Maßnahmen umgesetzt wurden. Moderne Sicherheitsplattformen werden dadurch zu Compliance-Werkzeugen.

Besonders profitieren könnten Anbieter von Physical Security Information Management (PSIM), Security Operations Platforms und integrierten Leitstellensystemen. Sie ermöglichen die Zusammenführung unterschiedlicher Datenquellen und schaffen ein zentrales Lagebild, das gleichzeitig als Dokumentationsgrundlage dient. Gerade bei Audits oder behördlichen Prüfungen können solche Systeme entscheidend sein.

Hinzu kommt ein weiterer Aspekt: Dokumentation wird zunehmend auch haftungsrelevant. Kommt es zu einem Vorfall, wird nicht nur gefragt werden, welche Schutzmaßnahmen vorhanden waren. Ebenso relevant wird die Frage sein, ob Risiken erkannt, bewertet und angemessen behandelt wurden. Unternehmen müssen deshalb künftig deutlich stärker nachweisen können, dass sie ihren Sorgfaltspflichten nachgekommen sind.

Für Errichter, Integratoren und Berater bedeutet dies eine erhebliche Erweiterung ihres bisherigen Leistungsspektrums. Kunden werden nicht mehr allein nach Kameras, Sensoren oder Zutrittslesern fragen. Gefordert werden Lösungen, die technische Sicherheit, Betriebsprozesse und regulatorische Dokumentation miteinander verbinden. Wer künftig in KRITIS-Projekten erfolgreich sein will, muss deshalb nicht nur Sicherheit liefern, sondern auch Nachweisbarkeit.

Damit entsteht eine neue Form der Sicherheitsarchitektur. Sicherheitstechnik schützt nicht mehr ausschließlich Anlagen und Personen, sondern dokumentiert zugleich die Resilienzfähigkeit eines Unternehmens. Die Fähigkeit, Maßnahmen nachweisbar zu machen, wird damit zu einem ebenso wichtigen Wettbewerbsfaktor wie die eigentliche Schutzwirkung der Systeme.

Mehr Resilienz – aber auch mehr Bürokratie?

So nachvollziehbar die Ziele des KRITIS-Dachgesetzes und der Kritisverordnung sind, stellt sich zugleich eine unbequeme Frage: Führt die neue Regulierung zu einer tatsächlichen Erhöhung der Resilienz oder droht sie, bestehende Bürokratielasten weiter auszubauen?

Viele Unternehmen erleben derzeit eine beispiellose Verdichtung regulatorischer Anforderungen. Neben den klassischen Anforderungen aus Arbeitsschutz, Datenschutz, Umweltrecht und branchenspezifischen Vorschriften kommen inzwischen NIS2, DORA, der Cyber Resilience Act (CRA), die EU-KI-Verordnung, Lieferkettenanforderungen sowie zahlreiche nationale Umsetzungsakte hinzu. Mit dem KRITIS-Dachgesetz entsteht nun eine weitere Ebene von Dokumentations-, Analyse- und Berichtspflichten.

Dabei ist bemerkenswert, dass der Referentenentwurf selbst mehrfach darauf hinweist, dass die konkreten Kosten und Aufwände derzeit noch nicht belastbar beziffert werden können. Sowohl für die Wirtschaft als auch für die Verwaltung wird ausdrücklich festgestellt, dass die tatsächlichen Belastungen erst nach Festlegung weiterer Resilienzstandards und Mindestanforderungen abgeschätzt werden können. Bereits heute ist jedoch absehbar, dass erhebliche Ressourcen in Analyse-, Dokumentations- und Nachweisprozesse fließen werden.

Insbesondere mittelständische Betreiber kritischer Anlagen dürften hiervon betroffen sein. Während große Konzerne über eigene Compliance-Abteilungen, Sicherheitsorganisationen und Rechtsabteilungen verfügen, müssen kleinere Betreiber dieselben Anforderungen oftmals mit deutlich begrenzteren personellen Ressourcen erfüllen. Gerade kommunale Versorger, Stadtwerke, regionale Wasserbetriebe oder mittelständische Logistikunternehmen stehen vor der Herausforderung, zusätzliche regulatorische Anforderungen zu bewältigen, ohne dass gleichzeitig neue Fachkräfte verfügbar wären.

Die Sicherheitsbranche selbst kennt dieses Problem bereits aus anderen Bereichen. Viele Errichter und Integratoren berichten seit Jahren über einen zunehmenden Anteil administrativer Tätigkeiten. Projektarbeit besteht längst nicht mehr nur aus Planung, Installation und Inbetriebnahme. Hinzu kommen Risikoanalysen, Datenschutz-Folgenabschätzungen, Cybersecurity-Nachweise, Zertifizierungen, Dokumentationen und Auditvorbereitungen. Mit der KRITIS-Regulierung dürfte dieser Trend weiter zunehmen.

Kritiker sehen deshalb die Gefahr einer „Compliance-Industrie“, in der Unternehmen immer mehr Zeit darauf verwenden, regulatorische Anforderungen nachzuweisen, anstatt tatsächliche Risiken zu reduzieren. Die entscheidende Frage lautet: Wird ein Betreiber wirklich resilienter, weil er einen weiteren Bericht erstellt, oder weil er zusätzliche Sicherheitsmaßnahmen umsetzt? Zwischen regulatorischer Nachweisführung und tatsächlicher Risikominderung kann durchaus eine Lücke entstehen.

Hinzu kommt, dass Resilienz sich nicht vollständig standardisieren lässt. Ein Wasserwerk in Bayern, ein Containerhafen in Hamburg, ein Rechenzentrum in Frankfurt und ein Krankenhaus in Nordrhein-Westfalen sind völlig unterschiedlichen Risiken ausgesetzt. Je detaillierter Regulierung wird, desto größer wird die Gefahr, dass individuelle Risikosituationen hinter standardisierten Checklisten verschwinden.

Gleichzeitig wäre es zu einfach, die neuen Anforderungen pauschal als Bürokratie abzutun. Die vergangenen Jahre haben gezeigt, dass kritische Infrastrukturen erheblichen Bedrohungen ausgesetzt sind. Sabotageakte gegen Energieinfrastrukturen, Angriffe auf Kommunikationsnetze, hybride Bedrohungen, Extremwetterereignisse und geopolitische Spannungen verdeutlichen, dass Resilienz keine theoretische Übung mehr ist. Viele Betreiber haben in der Vergangenheit Sicherheitsmaßnahmen vor allem aus wirtschaftlicher Perspektive bewertet. Die neue Regulierung soll sicherstellen, dass gesamtgesellschaftliche Risiken stärker berücksichtigt werden.

Entscheidend wird daher die praktische Umsetzung sein. Wenn die kommenden branchenspezifischen Resilienzstandards vor allem zusätzliche Formulare, Nachweise und Berichtspflichten erzeugen, könnte die Akzeptanz schnell sinken. Gelingt es hingegen, regulatorische Anforderungen mit konkreten Verbesserungen der Betriebsfähigkeit zu verbinden, kann die Verordnung einen wichtigen Beitrag zur Stärkung kritischer Infrastrukturen leisten.

Für die Sicherheitsindustrie ergibt sich daraus eine besondere Verantwortung. Hersteller, Integratoren und Berater sollten nicht dazu beitragen, neue Bürokratieschichten aufzubauen, sondern ihre Kunden dabei unterstützen, regulatorische Anforderungen möglichst effizient zu erfüllen. Automatisierte Dokumentation, intelligente Auditfunktionen, digitale Zwillinge, integrierte Risiko- und Sicherheitsplattformen sowie KI-gestützte Auswertungen können dabei helfen, den administrativen Aufwand zu begrenzen.

Denn letztlich wird die Akzeptanz der KRITIS-Regulierung nicht daran gemessen werden, wie viele Berichte erstellt wurden. Entscheidend wird sein, ob kritische Dienstleistungen im Ernstfall tatsächlich verfügbar bleiben. Resilienz darf deshalb nicht zum Synonym für Bürokratie werden – sondern muss sich in einer höheren Widerstandsfähigkeit von Gesellschaft, Wirtschaft und Infrastruktur widerspiegeln.

Fazit: Die Sicherheitsindustrie wird zum Resilienzpartner

Die Kritisverordnung ist weit mehr als eine technische Ergänzung zum KRITIS-Dachgesetz. Sie definiert erstmals verbindlich, welche Anlagen als kritisch gelten und welche Betreiber künftig den Resilienzanforderungen des Bundes unterliegen.

Für die Sicherheitsindustrie entsteht daraus eine neue strategische Rolle. Sicherheit wird nicht länger ausschließlich als Schutz vor Kriminalität verstanden, sondern als Voraussetzung für die Aufrechterhaltung gesellschaftlich relevanter Dienstleistungen.

Videoüberwachung, Zutrittskontrolle, Leitstellen, Drohnendetektion, Sicherheitsmanagementplattformen und Cyber-Physical-Security-Lösungen werden künftig nicht nur Sicherheitsaufgaben erfüllen, sondern zur betrieblichen Widerstandsfähigkeit kritischer Einrichtungen beitragen.

Wer diese Entwicklung frühzeitig erkennt und seine Produkte, Dienstleistungen und Beratungsangebote konsequent auf Resilienz ausrichtet, dürfte zu den Gewinnern der nächsten KRITIS-Generation gehören. Dabei entsteht ein Markt, in dem technische Kompetenz allein nicht mehr ausreicht. Gefragt sind Partner, die Sicherheit, Betriebskontinuität und regulatorische Anforderungen gleichermaßen verstehen und miteinander verbinden können. Damit wandelt sich die Sicherheitsbranche zunehmend vom Anbieter einzelner Schutzmaßnahmen zum strategischen Resilienzpartner von Staat, Wirtschaft und Betreibern kritischer Infrastrukturen.