⚠ Frist: KRITIS-Dachgesetz-Umsetzung bis 17. Juli 2026
KRITIS-Dachgesetz


KRITIS-Dachgesetz &
CER-Richtlinie verstehen und umsetzen

Das KRITIS-Dachgesetz gilt seit dem 17. März 2026. Es verpflichtet Betreiber kritischer Anlagen erstmals zu nachweisbarem physischem Schutz: Zutrittskontrollen, Sicherheitszonen, Fremdfirmenmanagement, Resilienzpläne. Registrierungsfrist beim BBK: 17. Juli 2026.
 
Wir helfen Ihnen, Sicherheitslücken in Zutritt, Besuchermanagement
und Prozessen sichtbar zu machen und strukturiert zu schließen.

Erste Einschätzung erhalten und Ihren Bedarf prüfen.

Situation einschätzen lassen


Unverbindlich · ca. 15 Minuten · ohne Vorbereitung

KRITIS-Dachgesetz (KRITISDachG)-deutscher-adler-wappentier
fraunhofer-heinrich-hertz-institut-logo
logo-stadt-Sankt Augustin
zdf-logo
lgb-logo
hessen-logo
  • fraunhofer-heinrich-hertz-institut-logo
  • logo-stadt-Sankt Augustin
  • zdf-logo
  • lgb-logo
  • hessen-logo
✓ ISO 9001 zertifiziert | ✓ 35+ Jahre Erfahrung | ✓ 100% Klarheit
gesetzliche einordnung

Warum der Druck jetzt steigt

Seit Ende 2025 gelten in Deutschland zwei Gesetze parallel, die Betreiber kritischer Infrastrukturen betreffen.
Sie regeln unterschiedliche Bereiche – und erfordern deshalb unterschiedliche Maßnahmen.

Cybersicherheit – Pflichten aus NIS-2 / BSIG


Die NIS-2-Richtlinie ist europäisches Recht.
Das BSI-Gesetz (BSIG) ist deutsches Bundesrecht. Es setzt die europäischen Vorgaben zur Cybersicherheit in nationales Recht um.

  • Selbstidentifikation als betroffene Einrichtung
  • Benennung einer ständig erreichbaren Kontaktstelle
  • Meldung erheblicher Cybervorfälle ans BSI
  • Nachweis technischer IT-Schutzmaßnahmen
  • Registrierung auf der gemeinsamen Plattform BBK + BSI

Physische Sicherheit – Pflichten aus dem
CER / KRITIS-Dachgesetz

KRITIS-Dachgesetz ist deutsches Bundesrecht. Es setzt die europäische CER-Richtlinie (Directive on the Resilience of Critical Entities, EU 2022/2557) in nationales Recht um.

  • Maßnahmen zum physischen Zugangsschutz
  • Risikoanalysen und Resilienzpläne
  • Krisen- und Notfallpläne
  • Meldung erheblicher Störungen ans BBK — innerhalb 24h
  • Umsetzung bis 17 Juli.2026

Beide Gesetze gelten parallel. Simago® adressiert die physische Seite — strukturiert, dokumentierbar, prüfbereit.

Anforderungen klären
WEN BETRIFFT DAS GESETZ?

Wer ist vom KRITIS-Dachgesetz betroffen?

Das KRITIS-Dachgesetz betrifft Unternehmen aus sogenannten „wesentlichen“ und „wichtigen“ Einrichtungen, darunter:

Versorger
Abfallwirtschaft
Öffentliche Einrichtungen
Transport & Logostik
Industrie & Produktion
Digitale Dienste
Gesundheit

Der Schwellenwert:

Eine Anlage gilt als kritisch, wenn ihr Ausfall mindestens 500.000 Menschen betreffen würde. Daneben fließen qualitative Kriterien ein: Interdependenzen, Marktanteil, geografische Reichweite.

Unsicher, ob Ihr Unternehmen betroffen ist?
Wir klären das gemeinsam in einem ersten Gespräch – ohne Vorbereitung, ohne Verpflichtung.

Anforderungen klären

Auch kleinere Betreiber können betroffen sein.

Bundesländer können niedrigere Schwellenwerte festlegen. Das bedeutet: Auch regional wichtige Stadtwerke,
Wasserversorger oder kommunale Entsorger können über Landesrecht unter das Gesetz fallen –
unabhängig vom bundesweiten Schwellenwert.

FRISTEN UND PFLICHTEN

Was bis wann zu tun ist.

Das KRITIS-Dachgesetz folgt einem gestaffelten Zeitplan. Die erste und wichtigste Frist läuft bereits.

ZeitpunktPflicht
17. März 2026 – sofortPrüfen, ob das eigene Unternehmen unter das Gesetz fällt. GAP-Analyse starten.
17. Juli 2026 – PflichtregistrierungRegistrierung auf der gemeinsamen Plattform von BBK und BSI. Angaben zu Anlagen, Dienstleistungen und Schutzmaßnahmen.
9 Monate nach RegistrierungRisikoanalyse abgeschlossen und dokumentiert.
10 Monate nach RegistrierungResilienzplan erstellt, alle Schutzmaßnahmen umgesetzt.
Ab 2027Erste BBK-Überprüfungen. Bußgelder bei Verstößen bis zu 1 Mio. Euro.

Hinweis Redaktion: Fristen aus dem KRITIS-Dachgesetz (Stand März 2026). Sektorspezifische Rechtsverordnungen können abweichende Fristen festlegen.

TYPISCHE SCHWACHSTELLEN IM BESTAND

Was wir in Gesprächen und Standortanalysen
immer wieder sehen

In den meisten Bestandsstrukturen fehlen keine Regeln – sondern saubere, dokumentierbare Prozesse. Das ist der Unterschied zwischen „wir machen das
schon irgendwie“ und „wir können das nachweisen“.

  • Schranken, die für jedes Fahrzeug öffnen
  • Gebäudetüren, die „eigentlich” zu sein sollten
  • Fremdfirmen mit Schlüsseln, die niemand mehr im System findet
  • Excel-Listen statt strukturiertem Berechtigungsmanagement
  • Notfallpläne, die im Audit niemand zeigen kann

Das sind keine Einzelfälle. Das ist der Normalzustand vieler KRITIS-Betreiber –
auch derer, die bereits in Sicherheit investiert haben.

Das ist der Unterschied zwischen „wir machen das schon irgendwie“ und „wir können das nachweisen“.

DAS ZIELSYSTEM

Wie ein belastbares System aussieht.

Das KRITIS-Dachgesetz schreibt keine Einheitslösung vor – es fordert ein verhältnismäßiges, dokumentiertes Schutzkonzept.
Was das in der Praxis bedeutet:

FrageWas das System leisten muss
Wer darf rein?Berechtigungsgesteuerte Zufahrten und Zugänge – für Mitarbeitende, Fremdfirmen und Besucher getrennt, zeitlich und räumlich begrenzt.
Wer ist gerade vor Ort?Live-Anwesenheitsübersicht – für alle Personengruppen, jederzeit abrufbar.
Wer ist im Ernstfall noch auf dem Gelände?Evakuierungsmodul mit Sammelpunkterfassung – mobil, per RFID oder QR-Code.
Welche Unterweisung ist gültig?Dokumentierte Sicherheitsunterweisung vor oder beim Zutritt – digital, mit Nachweis.
Was ist auditfähig dokumentiert?Revisionssichere Protokollierung aller Zugangsvorgänge – exportierbar für BBK-Prüfungen.

Simago® vereint alle fünf Dimensionen in einer Plattform.

SCHRITTWEISE UMSETZUNG

Kein Großprojekt. Ein strukturierter Einstieg.

Die häufigste Sorge: Umsetzung kostet zu viel Zeit und stört den laufenden Betrieb.
Unsere Erfahrung: Ein strukturierter Rollout in drei Stufen ist realistisch, planbar und ohne Betriebsunterbrechung möglich.

touchpoint 6
1

Zufahrten und Zugänge absichern

Berechtigungsgesteuerte Schranken und Türen statt manuelle Kontrolle. Revisionssichere Protokollierung jedes Zutritts- und Ausfahrtsvorgangs. Einrichtung von Zutrittsrechten je Personengruppe (Mitarbeitende, Fremdfirmen, Besucher).

Ergebnis: Die Grundlage für alle weiteren Maßnahmen – und die erste nachweisbare Compliance gegenüber dem BBK

2

Besucher und Fremdfirmen digital verwalten

Digitale Voranmeldung und Pfortenanmeldung. Automatische Sicherheitsunterweisung mit Nachweis. Zonenbezogene Besucherausweise mit zeitlicher Begrenzung. DSGVO-konforme Datenhaltung mit automatischen Löschfristen.

Ergebnis: Jeder Externe ist erfasst, unterwiesen und nachvollziehbar – jederzeit auditbereit.

3

Anwesenheit, Evakuierung und Wächterlogbuch

Live-Anwesenheitsübersicht für alle Personengruppen. Evakuierungsmodul mit mobiler Sammelpunkterfassung. Wächterlogbuch für Kontrollgänge und Sicherheitsereignisse. Alarmierungslogik für abgelehnte Zutritte und unbekannte Ausweise.

Ergebnis: Handlungsfähigkeit auch im Havarie- oder Angriffsfall – belastbar dokumentiert.

Von der Analyse bis zum Nachweis – Schritt für Schritt.

KRITIS-Projekte scheitern nicht an der Technik – sondern an fehlender Struktur. Unser bewährtes Vorgehen:

Grafik Projektumsetzung
konzequenzen bei Nicht-handeln

Was passiert, wenn Betreiber nicht reagieren

  • Bußgelder bis 1 Mio. Euro bei Verstößen gegen das KRITIS-Dachgesetz — verhängt durch das BBK
  • Persönliche Haftung der Geschäftsführung nach § 20 KRITIS-DachG
  • Behördliche Betriebsuntersagung bei schwerwiegenden Sicherheitslücken
  • Imageschäden und Vertrauensverlust bei Versorgungsausfällen
  • Nachträgliche Systemimplementierung unter Zeitdruck kostet deutlich mehr

Wer jetzt handelt, schützt seinen Betrieb – und spart Zeit und Geld gegenüber einer Notlösung unter Druck.

Situation einschätzen lassen
versorger-bußgeld
steffen-mankiewicz-profilbild
WIE LÜTH & DÜMCHEN UNTERSTÜTZT

Der erste Schritt ist die richtige Einordnung

KRITIS-Anforderungen sind komplex – aber lösbar. Gemeinsam finden wir einen pragmatischen Weg, der zu Ihrem Betrieb passt. Wir schöpfen aus fundierter Expertise mit öffentlicher Verwaltung, Versorgern und Betreibern kritischer Infrastruktur. In einem kurzen Gespräch klären wir, wo Sie heute stehen – und was die nächsten Schritte sind.

  • Einordnung Ihrer Betroffenheit
    KRITIS, NIS-2 oder beides?
  • Einschätzng Ihrer Handlungsfelder
    Wo bestehen aktuell Risiken oder Lücken?
  • Erste Priorisierung
    Was ist jetzt wirklich relevant – und was nicht?
  • Konkrete nächste Schritte
    Wie Sie strukturiert und gesetzeskonform vorgehen
Erste Einschätzung erhalten


Unverbindlich · ca. 15 Minuten · ohne Vorbereitung

siegel-iso-9001
Ihr Beratungspartner

Unsere Beratungsleistungen im Überblick

KRITIS-Standortanalyse für Betreiber

Das KRITIS-Dachgesetz fordert physischen Zugangsschutz – aber nicht jede Anlage braucht dieselbe Lösung. Gemeinsam mit Ihnen schauen wir, was an Ihren Standorten bereits vorhanden ist, wo Lücken bestehen und was prioritär umzusetzen ist.

Was Sie nach einer KRITIS-Standortanalyse in der Hand haben:

  • Dokumentierter IST-Status aller Zugangspunkte (Tor, Perimeter, Gebäude, sicherheitskritische Zonen)
  • Bewertung pro NIS-2- und KRITIS-Anforderung: erfüllt / teilweise / nicht erfüllt
  • Priorisierter Maßnahmenplan – Hoch / Mittel / Niedrig
  • Konkrete Ausbaustufen mit grober Kostenschätzung
  • Strukturierter Bericht als Grundlage für Investitionsentscheidung, Audit-Vorbereitung und interne Abstimmung

Ergebnis: Ein konkreter Maßnahmenplan mit klarer Priorisierung und transparenter Investitionsgrundlage – keine PowerPoint-Folien, sondern ein belastbares Arbeitsdokument.

Standortanalyse-Termin anfragen

Sicherheitszonen-Konzept

Nicht jeder Bereich braucht denselben Schutz. Leitstand, Schaltanlage, Serverraum und Außengelände haben unterschiedliche Risikoprofile. Wir helfen Ihnen, das sauber zu trennen und in Simago® abzubilden.

Wir definieren gemeinsam:

  • Öffentlich zugängliche Bereiche
  • Kontrollierte Betriebszonen
  • Rollen- und zeitbasierte Zutrittssteuerung
  • hochsensible Technik- und Gefahrenbereiche

Kein unbefugter Zutritt. Klare Verantwortlichkeiten. Vollständige Nachvollziehbarkeit.

Sichheitskonzept anfragen

Rollen- & Berechtigungsarchitektur

Das Need-to-know-Prinzip gilt nicht nur digital. Auch physische Zugänge brauchen klare Regeln: Wer darf welchen Bereich betreten – und wann. Wir konfigurieren das gemeinsam mit Ihnen direkt in Simago®.

Wir entwickeln gemeinsam:

  • Rollenbasierte Zutrittsprofile für Mitarbeitende und Dienstleister
  • Zeitliche Zutrittsbeschränkungen
  • Revisionssichere Dokumentation

Weniger unberechtigte Zutritte. Mehr Kontrolle. Vollständige Nachvollziehbarkeit im Auditfall.

Anforderungen klären

Besucher- und Fremdfirmenprozesse

Wartungstechniker, Entsorger, Subunternehmer: Sie kommen, arbeiten und gehen. Oft an sensiblen Anlagen. Das KRITIS-Dachgesetz fordert nachweisbaren, kontrollierten Zugang –
auch für Externe.

Wir implementieren:

  • Digitale Voranmeldung von Besuchern und Dienstleistern
  • Strukturierte Identitätsprüfung vor Zutritt
  • Zonenbasierte Besucher- und Fremdfirmenausweise
  • Automatisierte und revisionssichere Dokumentation

Jeder Externe ist erfasst, berechtigt und nachvollziehbar – jederzeit auditbereit.

Anforderungen klären

Dokumentations- & Auditfähigkeit

Das KRITIS-Dachgesetz fordert belegbare Schutzmaßnahmen — gegenüber dem BBK und im Schadensfall. Simago® protokolliert automatisch, lückenlos und revisionssicher.

Wir stellen sicher:

  • Lückenlose Zutrittsprotokolle mit Zeitstempel und Personenidentifikation
  • Auswertbarkeit auf Knopfdruck — für interne und externe Prüfungen
  • Revisionssichere Speicherung nach DSGVO

Ergebnis: Wenn die Prüfung kommt, sind Sie vorbereitet.

Anforderungen klären

Notfall- & Krisenprozesse

Das KRITIS-Dachgesetz fordert Krisen- und Notfallpläne — nicht als Dokument in der Schublade, sondern als gelebten Prozess. Simago® integriert Notfallszenarien direkt in den laufenden Betrieb.

Wir integrieren:

  • Evakuierungsszenarien
  • Sammelpunkterfassung
  • Notfallrollen und Krisenvertretungen
  • Temporäre Zugangssperren auf Knopfdruck

Ziel: Handlungsfähigkeit auch bei Störung oder Angriff.

Anforderungen klären

Resilienz im Personalmanagement

Betriebssicherheit unter Belastung bedeutet: Schlüsselpositionen müssen auch bei Ausfall, Krankheit oder Krise besetzt sein. Simago® verknüpft Personalplanung direkt mit Zutrittsberechtigung.

Wir verknüpfen:

  • Personalplanung und Zutrittsberechtigung
  • Krisenvertretung und Notfallrollen
  • Zugriff bei Ausfall einzelner Schlüsselpersonen

Resilienz entsteht durch Struktur – nicht durch Reaktion.

Anforderungen klären
fraunhofer-heinrich-hertz-institut-logo
logo-stadt-Sankt Augustin
zdf-logo
lgb-logo
hessen-logo

Direkte Antworten auf die wichtigsten Fragen.

gesetz-nis-2

Was ist der Unterschied zwischen dem KRITIS-Dachgesetz und NIS-2?

Das KRITIS-Dachgesetz schützt kritische Anlagen vor physischen Bedrohungen: Sabotage, Einbruch, unkontrollierter Zutritt, Naturkatastrophen. Zuständige Behörde ist das BBK. NIS-2 schützt vor digitalen Bedrohungen: Cyberangriffe, IT-Ausfälle, Datenverlust. Zuständige Behörde ist das BSI. Kurz: KRITIS-Dachgesetz = physische Sicherheit. NIS-2 = Cybersicherheit. Beide Gesetze gelten parallel für die meisten Versorgungsunternehmen.

Was ist der Unterschied zwischen dem KRITIS-Dachgesetz und der CER-Richtlinie?

Das KRITIS-Dachgesetz ist deutsches Bundesrecht. Es setzt die europäische CER-Richtlinie (EU 2022/2557) in nationales Recht um. Die CER-Richtlinie legt den europäischen Rahmen fest – das KRITIS-Dachgesetz konkretisiert ihn für Deutschland: welche Anlagen betroffen sind, welche Maßnahmen umzusetzen sind, welche Behörde (BBK) zuständig ist. In Kraft seit 17. März 2026.

Bin ich vom KRITIS-Dachgesetz betroffen?

Das hängt von Ihrem Sektor und dem Versorgungsumfang ab. Der Regelschwellenwert liegt bei 500.000 versorgten Personen – Bundesländer können jedoch niedrigere Schwellenwerte festlegen. Damit können auch kleinere Stadtwerke, Wasserversorger oder kommunale Entsorger betroffen sein. Wir klären das gemeinsam in einem kostenlosen Erstgespräch.

Was muss ich konkret umsetzen?

Das Gesetz schreibt keine Einheitslösung vor, sondern verhältnismäßige Maßnahmen. Im Kern: Risikoanalyse, physische Zugangskontrollen, Dokumentation aller Zugangsvorgänge, Fremdfirmenmanagement, Notfall- und Krisenprozesse sowie Nachweis gegenüber dem BBK. Wir helfen bei der Priorisierung.

Bis wann muss ich handeln?

Die Registrierungsfrist beim BBK läuft bis zum 17. Juli 2026. Danach folgen 9 Monate für die Risikoanalyse und 10 Monate für die Umsetzung aller Maßnahmen. Erste BBK-Überprüfungen sind ab 2027 geplant. Wer jetzt anfängt, hat ausreichend Zeit für eine strukturierte Umsetzung.

Reicht es, wenn wir NIS-2 bereits erfüllen?

Nein. NIS-2 und das KRITIS-Dachgesetz regeln unterschiedliche Bereiche. NIS-2-Konformität bedeutet IT-Sicherheit – physische Zutrittskontrolle, Sicherheitszonen und Resilienzpläne nach KRITIS-Dachgesetz kommen zusätzlich dazu. Beide Gesetze müssen parallel erfüllt werden.

Wie läuft die Zusammenarbeit mit Lüth & Dümchen ab?

Wir starten mit einem kurzen Gespräch – ohne Vorbereitung, ohne Verpflichtung. Danach folgt eine Standortanalyse, in der wir gemeinsam Lücken identifizieren und priorisieren. Die Umsetzung erfolgt schrittweise: Stufe 1 (Zufahrten), Stufe 2 (Besuchermanagement), Stufe 3 (Evakuierung und Monitoring). Hardware und Software aus einer Hand – Datafox, PCS, dormakaba.

Wie schnell ist Simago® eingeführt?

Abhängig von Ihren Standorten und Zugangspunkten ist Simago® access in der Regel innerhalb von 4–8 Wochen betriebsbereit – inklusive Schulung Ihrer Sicherheitsbeauftragten, ohne Betriebsunterbrechung.

ansprechpartner-geschaeftsleitung-Steffen Mankiewiec
Ihr Ansprechpartner

Steffen Mankiewicz

CEO & Ansprechpartner für
die kritische Infrastruktur bei
LÜTH & DÜMCHEN

Lassen Sie uns Ihre Situation gemeinsam einordnen

In einem kurzen Gespräch erhalten Sie eine klare Einschätzung –
ohne Vorbereitung und ohne Verpflichtung.

  • Einordnung Ihrer Betroffenheit
  • Erste Bewertung Ihrer Situation
  • Konkrete nächste Schritte
Erstgespräch sichern

Unverbindlich · ca. 15 Minuten ·
ohne Vorbereitung

siegel-iso-9001