17 www.net-im-web.de 03/2026 und staatliche Berichtspflichten viel enger verzahnen. Zugleich steigt der Abstimmungsbedarf mit Behörden, Dienstleistern und Zulieferern. Pflichten im Überblick Mit dem Gesetz schafft der Gesetzgeber erstmals ein einheitliches, sektorübergreifendes Rahmenwerk zum Schutz kritischer Infrastrukturen. Für Unternehmen bedeutet das konkret: verbindliche Risikomanagement-, Schutz- und Meldepflichten sowie eine deutlich höhere Verantwortung der Geschäftsleitung. Betreiber müssen künftig nachweisen, dass Risiken systematisch identifiziert und bewertet werden, geeignete technische und organisatorische Schutzmaßnahmen etabliert sind und Sicherheitsvorfälle fristgerecht gemeldet werden. Compliance-Risiko alte Systeme Viele mittelständische Unternehmen setzen noch auf Zutrittskontroll- und Zeiterfassungssysteme, die zehn Jahre oder älter sind. Diese Systeme weisen häufig erhebliche Schwachstellen auf: Ersatzteile sind nicht mehr verfügbar, Software-Updates werden nicht mehr bereitgestellt, und moderne Sicherheitsfeatures wie verschlüsselte Leserprotokolle werden nicht unterstützt. Mit dem nun beschlossenen KRITIS-Dachgesetz wird der Lifecycle-Status der eingesetzten Hardware zum entscheidenden Faktor. Betreiber kritischer Infrastrukturen müssen nachweisen können, dass ihre Systeme dem aktuellen Stand der Technik entsprechen – veraltete Hardware wird damit zum Compliance-Risiko. Sieben Handlungsfelder Um die Anforderungen des KRITIS-Dachgesetzes systematisch umzusetzen, sollten Betreiber kritischer Infrastrukturen folgende sieben Bereiche gezielt angehen: • Grundlagen- und Risikoanalyse: Im ersten Schritt muss geklärt werden, ob das Unternehmen überhaupt unter die KRITIS-Definition fällt. Anschließend sind alle kritischen Gebäude, Räume und Prozesse zu identifizieren. Eine umfassende Risiko- und Schwachstellenanalyse bildet die Grundlage für alle weiteren Maßnahmen. Dabei sollten nicht nur aktuelle Bedrohungen, sondern auch die Verfügbarkeit von Ersatzteilen und der Lifecycle-Status der eingesetzten Systeme geprüft werden. • Physische Zutrittssicherung: Der Perimeter muss durch Zäune, Schranken und Drehkreuze gesichert werden. Gebäudeeingänge und Hochsicherheitsbereiche wie Rechenzentren oder Prototypenwerkstätten erfordern elek- tronische Zutrittslösungen. Die Integration mechanischer und elektronischer Zugangssysteme in einer einheitlichen Plattform ermöglicht eine zentrale Überwachung und Steuerung. • Zutrittsverwaltung und Berechtigungsmanagement: Die zentrale Vergabe und der Entzug von Zutrittsrechten müssen über workflow-gesteuerte Prozesse erfolgen. Antrags- und Genehmigungsprozesse sollten digitalisiert und lückenlos dokumentiert werden. Die Schließanlagenverwaltung mit Sicherungskarten und Schlüsselprotokollen stellt sicher, dass auch mechanische Zutritte nachvollziehbar bleiben. • Automatisierte Türsysteme und Integration: Moderne Türsysteme ermöglichen die Überwachung des Türzustands in Echtzeit. Für die Betriebssicherheit sind zudem das Verhalten bei Stromausfall, die jeweiligen Widerstandsklassen und die Integration in zentrale Management-Plattformen entscheidende Faktoren. Digitale Planungstools unterstützen dabei, Zutrittspunkte normgerecht auszulegen. • Service und Lifecycle-Management: Regelmäßige Wartungen, Updates und Lifecycle-Checks stellen sicher, dass die Systeme dauerhaft funktionsfähig bleiben. Schulungen sensibilisieren das Personal für Sicherheitsrisiken. Die Lieferkettenkommunikation sowie die vollständige Dokumentation aller Maßnahmen sind essentiell für Audits. • Resilienz, Notfall- und Krisenmanagement: Notfallprotokolle definieren, wie die Betriebsfähigkeit im Ernstfall aufrechterhalten wird. Zutrittsfreigaben für Einsatzkräfte und die Priorisierung kritischer Bereiche müssen vorab festgelegt werden. Regelmäßige Tests und Szenarien – etwa Evakuierungssimulationen – stellen die Wirksamkeit der Maßnahmen sicher. • Compliance und Reporting: Die lückenlose Protokollierung aller Zutrittsvorgänge, Audit-Logs und revisionssichere Reports sind Pflicht. Security Health Checks (SHC) bewerten regelmäßig den Status der Systeme und identifizieren Modernisierungsbedarf. Die Integration physischer, organisatorischer und digitaler Maßnahmen in ein übergeordnetes Sicherheitskonzept rundet die Compliance ab. „Die Kombination aus physischen Sicherheitslösungen und intelligenter Software ist der Schlüssel zu einer effizienten KRITIS-Compliance. Unternehmen benötigen eine einheitliche Plattform, die mechanische, mechatronische und elektronische Zutritte in einem System verwaltet und sich nahtlos in bestehende HR-, IT- und Gebäudemanagementsysteme einfügt“, betont Jochen Moll, Geschäftsführer bei Atoria. „Es braucht also eine durchgängige Lösung, die von der Hardware wie Türsysteme, Zutrittskontrollkomponenten und Schließanlagen über die zentrale Management-Software bis hin zu digitalen Planungstools und Security Health Checks alles umfasst. Eine modular aufgebaute Lösung hilft zudem dabei, schrittweise zu modernisieren und dabei den laufenden Betrieb aufrechtzuerhalten.“ www.proalpha.com KRITIS-Dachgesetz beschlossen
RkJQdWJsaXNoZXIy MjE2Mzk=