Mit Inkrafttreten des KRITIS-Dachgesetzes im März 2026 hat in Deutschland eine bedeutende sicherheitspolitische Neuausrichtung stattgefunden. Galt die regulatorische Aufmerksamkeit bislang vor allem der IT-Sicherheit und dem Schutz vor Cyber-Bedrohungen, geht es nun um Maßnahmen gegen die physische Verwundbarkeit kritischer Infrastruktur. Digitale Souveränität ist wertlos, wenn die physische Basis – die reale Infrastruktur – durch Sabotage, Naturkatastrophen oder technisches Versagen kollabiert.
In diesem neuen Kontext erweitert sich auch die strategische Bedeutung des Facility Managements (FM): Es avanciert zum operativen Kern der KRITIS-Resilienz. Denn ohne ein hochprofessionelles FM, das die Funktionsfähigkeit von Gebäuden, Anlagen und technischen Systemen unter widrigsten Bedingungen garantiert, lassen sich die strengen gesetzlichen Anforderungen an die Versorgungssicherheit nicht mehr erfüllen.
Damit werden Datenverfügbarkeit und Datentransparenz einmal mehr zur eigentlichen „Währung der Compliance“. Die Fähigkeit, gegenüber den zuständigen Bundesamt für Bevölkerungs- und Katastrophenschutz oder Bundesamt für Sicherheit im Krisenfall auskunftsfähig zu sein, entscheidet über die rechtliche Integrität von Betreibern kritischer Infrastruktur. Schätzungen zufolge müssen sich bis zu 40.000 Unternehmen in diesen Wochen beim zuständigen Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren. Für sie wird das Prinzip gelten: Eine Schutzmaßnahme, die nicht digital protokolliert wird, wird im Sinne der Revision nicht existieren.
ARCHIBUS ist ISO 27001 zertifiziert und unterstützt KRITIS-Organisationen. Die aus dem KRITIS-Dachgesetz resultierenden neuen Betreiberpflichten beziehen sich auf das Risikomanagement, auf Resilienz-Maßnahmen, auf Nachweise zu deren Umsetzung und die Erstellung entsprechender Notfallpläne in den betroffenen Unternehmen.
Aufbauend auf die Expertise der ARCHIBUS-Consultants etwa zu den Anforderungen aus der Betreiberverantwortung (in Kooperation mit Rödl & Partner / REG-IS), zum regelkonformen Gebäudebetrieb, zu Compliance- und Risikomanagement sowie zum Einsatz von Sensorik in Buildingsmart-Strategien werden auch KRITIS-Organisationen unterstützt:
Risiken erkennen, Sicherheitsmaßnahmen bewerten, Sicherheitskonzepte aufbauen (IT und Organisation), Prüfungen und Audits vorbereiten, Schulungskonzepte für Mitarbeitende erstellen. ARCHIBUS-Consulting hilft, die gesetzlichen Vorgaben einzuhalten und Sicherheitsrisiken zu reduzieren.
Ausführungen zur Datennutzung für KRITIS-konformes FM
Lückenlose Protokollierung: Alle sicherheitsrelevanten Ereignisse – von der Wartung einer Brandschutzklappe bis zum Zutritt in den Serverraum – müssen revisionssicher und zeitstempelbasiert erfasst werden. Automatisierte Reports ersetzen manuelle Listen, um menschliche Fehler und Manipulationen auszuschließen.
Vernetzung statt Insellösungen: Die Integration von HR-Systemen (Berechtigungen), IT-Sicherheit (Netzwerkstatus) und FM-Systemen (Gebäudeleittechnik, Zutritt) in einer einheitlichen Datenumgebung ist zwingend. Nur so lässt sich ein ganzheitliches Lagebild erstellen, das für die gesetzlichen Meldepflichten gefordert ist.
Software-gestütztes Governance- sowie Risiko- und Compliancemanagement: automatisiert die Dokumentationspflichten. Strukturierte Workflows stellen sicher, dass Risikoanalysen zyklisch aktualisiert werden und keine gesetzliche Prüffrist unbemerkt verstreicht.
Digitale Zwillinge: sind ein Instrument der Resilienz-Sicherung. Im regulierten KRITIS-Umfeld ermöglichen sie es, ein vorausschauendes Risikomanagement zu etablieren. Sie bündeln die relevanten statischen und dynamischen Daten – von BIM-Modellen über TGA-Spezifikationen bis hin zu Echtzeit-Sensordaten – in einem konsistenten digitalen Abbild. Durch ihre Nutzung kann das FM komplexe Kaskadeneffekte zwischen Systemen simulieren, bevor sie real eintreten.
Audit-Readiness für Datenqualität über den gesamten Lebenszyklus: Dabei müssen die digitalen Modelle selbst eine hohe „Audit-Readiness“ aufweisen. Da sie die Grundlage für sicherheitskritische Entscheidungen bilden, muss ihre Datenqualität über den gesamten Lebenszyklus garantiert sein. Ein manipulationssicherer, stets aktueller digitaler Zwilling ist damit kein technologisches Add-on, sondern das technologische Rückgrat der gesetzlichen Erfüllungspflichten.
Resilienz als Wettbewerbsvorteil und gesetzliche Pflicht: Das KRITIS-Dachgesetz markiert das Ende der Unverbindlichkeit. Was früher als „Best Practice“ nach Ermessen einer Verantwortung im Facility-Management galt, ist heute eine sanktionsbewehrte Pflicht des Betreibers. Dieser regulatorische Druck sollte als massiver Katalysator für die weitere Digitalisierung im FM gelten. Und wer die geforderten Resilienz-Ziele mit konventionellen Methoden erreichen will, wird an der Komplexität und der Nachweispflicht scheitern.
Betreiber und FM-Verantwortliche müssen das FM und den Einsatz digitaler Plattformen daher als strategischen Pfeiler der Unternehmenssicherheit begreifen. Dabei dienen Investitionen in integrierte Systeme und datengestützte Prozesse nicht nur der Abwendung von Bußgeldern, sondern schaffen durch eine überlegene Krisenfestigkeit einen messbaren Marktvorteil.
Vom Dienstleister zum Resilienz-Manager
Das Facility-Management entwickelt sich weg von einer rein operativen Servicefunktion hin zu einer strategischen Management- und Resilienzfunktion.
Davon sind auch GEFMA und Lünendonk überzeugt. Es wird zum primären Garanten der Betreibersicherheit. Entscheidend für das Risikomanagement: Während die rechtliche Verantwortung – und damit die Haftung –bei der Geschäftsführung des Betreibers verbleibt, liegt die operative Umsetzung der Schutzziele maßgeblich in den Händen des Facility Managements.
FM-Verantwortliche sind heute mandatiert, technische Systeme nicht nur im Sinne der Kostenoptimierung zu warten, sondern deren Verfügbarkeit unter Krisenbedingungen aktiv zu orchestrieren. Sie sind die Architekten der Betriebskontinuität. Dieser Rollenwandel erfordert eine präzise operative Umsetzung in drei spezifischen Handlungsfeldern, die im KRITIS-Kontext untrennbar miteinander verwoben sind.
Physischer Schutz. Der Schutz der baulichen Substanz ist die erste „Verteidigungslinie“. Dies beginnt bei einem robusten Perimeterschutz und der lückenlosen Überwachung der Grundstücksgrenzen mittels Sensorik und Videoanalytik. Im Inneren der Liegenschaften liegt das Hauptaugenmerk auf der Absicherung sensibler Räume wie Leit-, Steuer-, Server- oder Technikzentralen. Hier fordert der Stand der Technik den Einsatz mechatronischer und elektronischer Zutrittskontrollsysteme.
Eine rein mechanische Schließanlage ist im KRITIS-Kontext nicht mehr ausreichend, da sie keine Echtzeit-Protokollierung ermöglicht. Nur durch die Kombination von Mechanik und digitaler Intelligenz kann sichergestellt werden, dass unbefugtes Eindringen oder Sabotageversuche nicht nur verhindert, sondern sofort detektiert und gemeldet werden.
Technische Verfügbarkeit. Die Aufrechterhaltung kritischer Prozesse erfordert eine kompromisslose Verfügbarkeit der technischen Gebäudeausrüstung (TGA). Das FM muss hierbei Redundanzen implementieren und deren Funktionalität durch regelmäßige Lasttests unter Beweis stellen. Dies betrifft insbesondere die Energieversorgung und Notstromsysteme, aber auch die Klima-, Lüftungs- und Kältetechnik. Ein Ausfall der Rückkühlung führt in KRITIS-Rechenzentren binnen Minuten zum thermischen Notaus der IT – ein klassisches Beispiel für den physischen Ursprung eines digitalen Blackouts.
Ein strategisches Lifecycle-Management ist zudem essenziell: Überalterte Anlagen sind ein inhärentes Sicherheitsrisiko, da Ersatzteile im Krisenfall oft nicht zeitnah verfügbar sind.
Physische Sicherheit und technische Verfügbarkeit sind nun keine isolierten Silo-Aufgaben mehr.
Krisenmanagement und Business Continuity Management. Wahre Resilienz beweist sich im Umgang mit dem Unvorhersehbaren. Das FM muss tief in das Business Continuity Management des Unternehmens integriert sein. Es geht darum, detaillierte Notfall- und Wiederanlaufpläne für Gebäude und Anlagen zu entwickeln. Hierbei müssen Kaskadeneffekte analysiert werden: Wenn die Stromversorgung im Sektor „Siedlungsabfallentsorgung“ ausfällt, welche Auswirkungen hat dies auf die Logistikkette und die lokale Hygiene? Das FM muss priorisierte Instandsetzungsroutinen definieren, um nach einem Schadensereignis den Kernbetrieb in kürzester Zeit wiederherzustellen.
Alle diese Maßnahmen bleiben jedoch wertlos, wenn sie nicht auf einer manipulationssicheren, jederzeit nachweisfähigen Datenbasis stehen.
Eckpunkte des Rechtsrahmens KRITIS-Dachgesetz
Das KRITIS-Dachgesetz markiert die nationale Umsetzung der europäischen CER-Richtlinie in deutsches Recht. Das Ziel ist ein ganzheitlicher Schutz, der die Widerstandsfähigkeit gegenüber physischen Bedrohungen messbar macht. Es etabliert einen verbindlichen Rahmen.
Bundesweiten Mindeststandards: Einführung einheitlicher, sektorübergreifender Sicherheitsvorgaben, die das bisherige Flickenteppich-Prinzip ablösen.
Risiko- und Schwachstellenanalysen: Verpflichtung der Betreiber zu systematischen Bewertungen, die physische, organisatorische und technologische Risiken integrieren.
Gesetzliche Schutzpflichten: Mandat zur Umsetzung konkreter physischer Maßnahmen zur Absicherung baulicher und technischer Strukturen.
Resilienzstrukturen: Aufbau von Business Continuity Management (BCM), Notfall- und Wiederanlaufplänen.
Aufsicht und Meldewesen: Eine gestärkte Rolle des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) in enger Kooperation mit dem BSI. Sicherheitsrelevante Vorfälle müssen nun unverzüglich gemeldet werden.
