⚠ Frist: KRITIS-Dachgesetz-Umsetzung bis 17. Juli 2026
branchen

KRITIS-Dachgesetz &
NIS-2: Anforderungen erfüllen. Risiken vermeiden.

Strukturen schaffen, Prozesse absichern und Nachweise erbringen –
für Betreiber kritischer Infrastrukturen.

  • Individuelle Beratung
    Klare Einordnung Ihrer Anforderungen nach KRITIS-Dachgesetz und NIS-2
  • Simago® access
    Zutrittskontrolle für kritische Bereiche – sicher und nachvollziehbar
  • Simago® ID.plus
    Besucher- und Fremdfirmenmanagement – digital, strukturiert und revisionssicher

Erste Einschätzung erhalten und Ihren Bedarf prüfen.

Beratungsleistungen ansehen
Unverbindlich Anforderungen klären
lueth-dumchen-kritis-stromversorgung
siegel 100% service
fraunhofer-heinrich-hertz-institut-logo
logo-stadt-Sankt Augustin
zdf-logo
lgb-logo
hessen-logo
  • fraunhofer-heinrich-hertz-institut-logo
  • logo-stadt-Sankt Augustin
  • zdf-logo
  • lgb-logo
  • hessen-logo
✓ ISO 9001 zertifiziert | ✓ 35+ Jahre Erfahrung | ✓ 100% Klarheit
steffen-mankiewicz-profilbild
WIE LÜTH & DÜMCHEN UNTERSTÜTZT

Der erste Schritt ist die richtige Einordnung

KRITIS-Anforderungen sind komplex – aber lösbar. Gemeinsam finden wir einen pragmatischen Weg, der zu Ihrem Betrieb passt. Wir schöpfen aus fundierter Expertise mit öffentlicher Verwaltung, Versorgern und Betreibern kritischer Infrastruktur. In einem kurzen Gespräch klären wir, wo Sie heute stehen – und was die nächsten Schritte sind.

  • Einordnung Ihrer Betroffenheit
    KRITIS, NIS-2 oder beides?
  • Einschätzng Ihrer Handlungsfelder
    Wo bestehen aktuell Risiken oder Lücken?
  • Erste Priorisierung
    Was ist jetzt wirklich relevant – und was nicht?
  • Konkrete nächste Schritte
    Wie Sie strukturiert und gesetzeskonform vorgehen
Erste Einschätzung erhalten


Unverbindlich · ca. 15 Minuten · ohne Vorbereitung

siegel-iso-9001

entscheidungsHilfe

Wo stehen Sie aktuell?

Wählen Sie die Situation, die am besten auf Sie zutrifft – wir holen Sie genau dort ab.

Ich bin KRITIS-Betreiber

Sie wissen, dass Sie unter gesetzliche Vorgaben fallen, und müssen Anforderungen konkret umsetzen.

Ihre Branche wählen
Bin ich betroffen?

Sie möchten klären, ob KRITIS-Dachgesetz oder NIS-2 für Sie relevant sind.

Zu den Anfoderungen
Ich brauche Beratung

Sie haben bereits Themen identifiziert und benötigen eine strukturierte Umsetzung.

Zum Kontaktformular

Was bedeutet kritische Infrastruktur?

Infografik-kritische-infrastruktur

Kritische Infrastrukturen sind Organisationen, deren Ausfall erhebliche Auswirkungen auf Versorgung, Sicherheit oder das öffentliche Leben hätte.

Dazu gehören unter anderem:

  • Abfall- und Entsorgungswirtschaft
  • Energie (Strom, Gas, Fernwärme)
  • Wasser und Abwasser
  • Gesundheit und Verwaltung

Mit dem KRITIS-Dachgesetz und der NIS-2-Richtlinie steigen die Anforderungen – insbesondere an:

  • Sicherheit
  • Dokumentation
  • Nachvollziehbarkeit
  • Reaktionsfähigkeit
Erste Einschätzung erhalten

Wo stehen Sie im Kontext von NIS-2?

Versorger
Stadtwerke
Abfallwirtschaft
Energieversorgung
Wasserversorgung
Fernwärme

Typische Herausforderungen

Zutritt und externe Personen

  • Zutritt absichern
  • Besucher kontrollieren
  • Fremdfirmen steuern

Personal & Organisation

  • Personalverfügbarkeit sichern
  • Arbeitszeiten dokumentieren

Sicherheit & Nachweis

  • Gebäudesicherheit gewährleisten
  • Nachweise erbringen
Ihr Beratungspartner

Unsere Beratungsleistungen im Überblick

KRITIS-Standortanalyse für Betreiber

Das KRITIS-Dachgesetz fordert physischen Zugangsschutz – aber nicht jede Anlage braucht dieselbe Lösung. Gemeinsam mit Ihnen schauen wir, was an Ihren Standorten bereits vorhanden ist, wo Lücken bestehen und was prioritär umzusetzen ist.

Was Sie nach einer KRITIS-Standortanalyse in der Hand haben:

  • Dokumentierter IST-Status aller Zugangspunkte (Tor, Perimeter, Gebäude, sicherheitskritische Zonen)
  • Bewertung pro NIS-2- und KRITIS-Anforderung: erfüllt / teilweise / nicht erfüllt
  • Priorisierter Maßnahmenplan – Hoch / Mittel / Niedrig
  • Konkrete Ausbaustufen mit grober Kostenschätzung
  • Strukturierter Bericht als Grundlage für Investitionsentscheidung, Audit-Vorbereitung und interne Abstimmung

Ergebnis: Ein konkreter Maßnahmenplan mit klarer Priorisierung und transparenter Investitionsgrundlage – keine PowerPoint-Folien, sondern ein belastbares Arbeitsdokument.

Standortanalyse-Termin anfragen

Sicherheitszonen-Konzept

Nicht jeder Bereich braucht denselben Schutz. Leitstand, Schaltanlage, Serverraum und Außengelände haben unterschiedliche Risikoprofile. Wir helfen Ihnen, das sauber zu trennen und in Simago® abzubilden.

Wir definieren gemeinsam:

  • Öffentlich zugängliche Bereiche
  • Kontrollierte Betriebszonen
  • Rollen- und zeitbasierte Zutrittssteuerung
  • hochsensible Technik- und Gefahrenbereiche

Kein unbefugter Zutritt. Klare Verantwortlichkeiten. Vollständige Nachvollziehbarkeit.

Sichheitskonzept anfragen

Rollen- & Berechtigungsarchitektur

Das Need-to-know-Prinzip gilt nicht nur digital. Auch physische Zugänge brauchen klare Regeln: Wer darf welchen Bereich betreten – und wann. Wir konfigurieren das gemeinsam mit Ihnen direkt in Simago®.

Wir entwickeln gemeinsam:

  • Rollenbasierte Zutrittsprofile für Mitarbeitende und Dienstleister
  • Zeitliche Zutrittsbeschränkungen
  • Revisionssichere Dokumentation

Weniger unberechtigte Zutritte. Mehr Kontrolle. Vollständige Nachvollziehbarkeit im Auditfall.

Anforderungen klären

Besucher- und Fremdfirmenprozesse

Wartungstechniker, Entsorger, Subunternehmer: Sie kommen, arbeiten und gehen. Oft an sensiblen Anlagen. Das KRITIS-Dachgesetz fordert nachweisbaren, kontrollierten Zugang –
auch für Externe.

Wir implementieren:

  • Digitale Voranmeldung von Besuchern und Dienstleistern
  • Strukturierte Identitätsprüfung vor Zutritt
  • Zonenbasierte Besucher- und Fremdfirmenausweise
  • Automatisierte und revisionssichere Dokumentation

Jeder Externe ist erfasst, berechtigt und nachvollziehbar – jederzeit auditbereit.

Anforderungen klären

Dokumentations- & Auditfähigkeit

Das KRITIS-Dachgesetz fordert belegbare Schutzmaßnahmen — gegenüber dem BBK und im Schadensfall. Simago® protokolliert automatisch, lückenlos und revisionssicher.

Wir stellen sicher:

  • Lückenlose Zutrittsprotokolle mit Zeitstempel und Personenidentifikation
  • Auswertbarkeit auf Knopfdruck — für interne und externe Prüfungen
  • Revisionssichere Speicherung nach DSGVO

Ergebnis: Wenn die Prüfung kommt, sind Sie vorbereitet.

Anforderungen klären

Notfall- & Krisenprozesse

Das KRITIS-Dachgesetz fordert Krisen- und Notfallpläne — nicht als Dokument in der Schublade, sondern als gelebten Prozess. Simago® integriert Notfallszenarien direkt in den laufenden Betrieb.

Wir integrieren:

  • Evakuierungsszenarien
  • Sammelpunkterfassung
  • Notfallrollen und Krisenvertretungen
  • Temporäre Zugangssperren auf Knopfdruck

Ziel: Handlungsfähigkeit auch bei Störung oder Angriff.

Anforderungen klären

Resilienz im Personalmanagement

Betriebssicherheit unter Belastung bedeutet: Schlüsselpositionen müssen auch bei Ausfall, Krankheit oder Krise besetzt sein. Simago® verknüpft Personalplanung direkt mit Zutrittsberechtigung.

Wir verknüpfen:

  • Personalplanung und Zutrittsberechtigung
  • Krisenvertretung und Notfallrollen
  • Zugriff bei Ausfall einzelner Schlüsselpersonen

Resilienz entsteht durch Struktur – nicht durch Reaktion.

Anforderungen klären
Ihr Mehrwert

Wir beraten nicht nur. Wir setzen auch um.

Das unterscheidet uns von klassischen Sicherheitsberatungen: Was wir empfehlen, können wir auch realisieren – mit eigener Software Simago®
und bewährter Hardware unserer Partner (Datafox, dormakaba, PCS).

Beratung und Umsetzung aus einer Hand. Mit voller Verantwortung bis zum Go-Live. Und darüber hinaus.

Besuchermanagement-ID.plus-Dashboard-Empfang

Was das für Sie bedeutet:

  • Keine Schnittstellenverluste zwischen Beratung und Umsetzung
  • Empfehlungen, die wir technisch belegen können – nicht nur rhetorisch
  • Eine zentrale Ansprechperson über den gesamten Projektverlauf
  • Modulare Einführung in Ausbaustufen statt Big-Bang-Risiko
  • Skalierbar von einem Standort bis zum bundesweiten Rollout
Experten-Check erhalten

Von der Analyse bis zum Nachweis – Schritt für Schritt.

KRITIS-Projekte scheitern nicht an der Technik – sondern an fehlender Struktur. Unser bewährtes Vorgehen:

Grafik Projektumsetzung

Klären Sie hier Ihre offenen Fragen

gesetz-nis-2

Was zählt zur kritischen Infrastruktur (KRITIS)?

Zur kritischen Infrastruktur zählen Einrichtungen und Unternehmen, deren Ausfall die Versorgung der Bevölkerung erheblich beeinträchtigen würde. Dazu gehören u. a. Energie, Wasser, Abfall, Gesundheit, Transport und öffentliche Verwaltung. Grundlage ist die BSI-Kritisverordnung, die Schwellenwerte und Sektoren definiert.

Bin ich von NIS-2 betroffen?

Das hängt von Branche und Unternehmensgröße ab. NIS-2 betrifft in der Regel Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz, wenn sie in sicherheitsrelevanten Sektoren tätig sind. Auch kleinere Unternehmen können betroffen sein, wenn sie Teil einer kritischen Lieferkette sind.

Gilt das KRITIS-Dachgesetz auch für mein Unternehmen?

Das KRITIS-Dachgesetz (Umsetzung der CER-Richtlinie) betrifft Betreiber kritischer Anlagen sowie Unternehmen mit hoher Versorgungsrelevanz. Auch Organisationen unterhalb der klassischen Schwellenwerte können einbezogen werden, wenn sie für die regionale Versorgung entscheidend sind.

Was ist der Unterschied zwischen NIS-2 und dem KRITIS-Dachgesetz?

NIS-2 fokussiert sich auf Cybersecurity und organisatorische Sicherheit
(z. B. IT-Systeme, Risikomanagement).

Das KRITIS-Dachgesetz ergänzt dies um physische Sicherheit und Resilienz, etwa Zutrittskontrolle, Schutz von Anlagen und Notfallfähigkeit. Beide Regelwerke greifen in der Praxis ineinander.

Welche konkreten Pflichten ergeben sich daraus?

Unternehmen müssen Risiken systematisch bewerten, geeignete Schutzmaßnahmen umsetzen und diese nachweisen können. Dazu gehören technische, organisatorische und physische Maßnahmen. Grundlage sind u. a. Art. 21 NIS-2 sowie die Anforderungen aus dem KRITIS-Dachgesetz.

Welche Fristen muss ich beachten?

Nach aktueller Planung gilt: Registrierung bis 17. Juli 2026, anschließend etwa 9 Monate für die Risikoanalyse und 10 Monate für die Umsetzung der Maßnahmen. Unternehmen sollten frühzeitig starten, da die Umsetzung komplex und bereichsübergreifend ist.

Welche Anlagen müssen besonders geschützt werden?

Zu den besonders schützenswerten Bereichen gehören u. a. Leitstellen, Steuerungszentralen, technische Anlagen, Energieversorgungseinheiten, Zugangspunkte sowie kritische Infrastruktur im Außenbereich. Entscheidend ist, ob ein Ausfall direkte Auswirkungen auf die Versorgung hat.

Welche Rolle spielt physische Sicherheit konkret?

Physische Sicherheit ist ein zentraler Bestandteil der Resilienzanforderungen. Dazu zählen Zutrittskontrollen, Absicherung von Gebäuden und Anlagen, Schutz vor unbefugtem Zugriff sowie klare Zugangsregelungen für Personal und Fremdfirmen. Ziel ist es, Manipulationen und Ausfälle zu verhindern.

Wie weise ich meine Sicherheitsmaßnahmen im Audit nach?

Unternehmen müssen ihre Maßnahmen strukturiert dokumentieren, nachvollziehbar umsetzen und auswertbar protokollieren. Dazu gehören z. B. Zugriffsprotokolle, Berechtigungskonzepte und definierte Prozesse. Im Audit wird geprüft, ob Maßnahmen nicht nur existieren, sondern auch wirksam sind.

Welche Behörden sind für KRITIS zuständig?

Für Cybersecurity und Meldungen ist in Deutschland das BSI (Bundesamt für Sicherheit in der Informationstechnik) zuständig.

Für Resilienz und physische Sicherheit spielt das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) eine zentrale Rolle, insbesondere im Rahmen des KRITIS-Dachgesetzes.

Was passiert, wenn ich die Anforderungen nicht erfülle?

Verstöße können zu behördlichen Maßnahmen, Bußgeldern und im Ernstfall zu Betriebsauflagen führen. Noch kritischer ist jedoch das Risiko realer Ausfälle, Imageschäden und Haftungsfragen bei unzureichender Absicherung.

Wie starte ich konkret mit der Umsetzung?

Der erste Schritt ist eine strukturierte Bestandsaufnahme: Welche Anlagen sind kritisch, wo bestehen Risiken, welche Maßnahmen fehlen? Darauf aufbauend wird ein priorisierter Maßnahmenplan entwickelt, der technische, organisatorische und physische Aspekte berücksichtigt.

ansprechpartner-geschaeftsleitung-Steffen Mankiewiec
Ihr Ansprechpartner

Steffen Mankiewicz

CEO & Ansprechpartner für
die kritische Infrastruktur bei
LÜTH & DÜMCHEN

Lassen Sie uns Ihre Situation gemeinsam einordnen

In einem kurzen Gespräch erhalten Sie eine klare Einschätzung –
ohne Vorbereitung und ohne Verpflichtung.

  • Einordnung Ihrer Betroffenheit
  • Erste Bewertung Ihrer Situation
  • Konkrete nächste Schritte
Erstgespräch sichern

Unverbindlich · ca. 15 Minuten ·
ohne Vorbereitung

siegel-iso-9001