Das Bundeskabinett hat im September seinen Entwurf für das KRITIS Dachgesetz vorgelegt. Derzeit wird das Gesetz im parlamentarischen Verfahren beraten und muss noch vom Bundestag beschlossen werden. Voraussichtlich tritt es Anfang 2026 in Kraft. Betreiber kritischer Infrastrukturen fragen sich daher: Was ändert sich für uns ab 2026? Betreiber kritischer Infrastrukturen in Deutschland müssen ihre Resilienz deutlich erhöhen [1]. Das Gesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um und wird Betreiber kritischer Infrastrukturen verpflichten, umfassende Maßnahmen zur physischen Sicherheit nachweislich zu implementieren. Neben der bereits etablierten Cybersecurity rückt damit die physische Zutrittssicherung verstärkt in den Fokus der Compliance-Anforderungen.
Neben klassischen KRITIS-Bereichen wie Energie, Banken, Gesundheit und Transport zählen auch Medien und Kultur, öffentliche Verwaltung, Siedlungsabfallentsorgung, Weltraum sowie Lebensmittelproduktion und -vertrieb dazu [3]. Die Anforderungen gehen weit über einfache Türschlösser hinaus: Gefordert sind durchgängige Konzepte für Zutrittskontrolle, Berechtigungsmanagement und lückenlose Dokumentation aller sicherheitsrelevanten Vorgänge.
Viele mittelständische Unternehmen setzen noch auf Zutrittskontroll- und Zeiterfassungssysteme, die zehn Jahre oder älter sind. Diese Systeme weisen häufig erhebliche Schwachstellen auf: Ersatzteile sind nicht mehr verfügbar, Software-Updates werden nicht mehr bereitgestellt, und moderne Sicherheitsfeatures wie verschlüsselte Leserprotokolle werden nicht unterstützt.
Gerade im Kontext des KRITIS-Dachgesetzes wird der Lifecycle-Status der eingesetzten Hardware zum entscheidenden Faktor. Betreiber kritischer Infrastrukturen müssen künftig nachweisen können, dass ihre Systeme dem aktuellen Stand der Technik entsprechen.