Das KRITIS-Dachgesetz und der Markt für Perimeterschutz

Das KRITIS-Dachgesetz ist kein Sicherheitsgesetz, sondern ein Marktordnungsgesetz mit sicherheitspolitischem Vorzeichen.

Wer den Entwurf, der seit über einem Jahr durch die Ressortabstimmung und in modifizierten Fassungen durch den parlamentarischen Prozess gewandert ist, in dieser Lesart betrachtet, sieht etwas anderes als die übliche Compliance-Übersicht. Er sieht eine Verschiebung der Pflichten von einer Branche, die sich bisher in weiten Teilen freiwillig organisiert hat, hin zu einer Pflichtenarchitektur, in der physischer Schutz, Resilienz und Nachweisführung in derselben Höhe stehen wie die seit langem etablierten Anforderungen an die Informationssicherheit.

Boswau + Knauer beobachtet diesen Vorgang aus der Position des Herstellers. Was im Gesetzgebungsverfahren als Anforderung formuliert wird, ist für die Hersteller von Perimeterschutz, mobiler Sensorik, autonomer Bewachungsrobotik und Videoanalyse das, was die Bauindustrie eine Leistungsbeschreibung nennt. Sie ist nicht vollständig, sie ist nicht in jedem Detail eindeutig, und sie wird in der Verordnungspraxis weiter geformt. Sie ist aber präzise genug, um aus ihr abzuleiten, welche Komponenten der Markt heute liefern kann, welche nur in Teilen, und welche eine Entwicklungsspanne von einem bis drei Jahren benötigen.

Was das Gesetz tatsächlich regelt

Das KRITIS-Dachgesetz erweitert den bisherigen Sektorbegriff und überträgt die physische Resilienz aus dem informellen Raum in einen Pflichtenrahmen, der Betreiber zu einer durchgängigen Risikobewertung, zu Mindeststandards beim baulichen und technischen Schutz sowie zu einer Meldepflicht bei sicherheitsrelevanten Vorfällen verpflichtet. Die Pflichten sind nicht für jeden Sektor identisch. Sie sind nach Kritikalität gestuft und in den jeweiligen sektorspezifischen Verordnungen weiter ausdifferenziert. Was sich aus der Lektüre des Entwurfs ergibt, ist eine Logik, die der BSI-Logik aus der Informationssicherheit ähnelt, nun aber auf Zaun, Tor, Vorfeld, Gebäudehülle und Außenanlage angewendet wird.

Der Unterschied zur bisherigen Praxis ist nicht qualitativ, sondern formal. Viele Betreiber haben in den vergangenen Jahren bereits in Perimeterschutz investiert, oft auf Empfehlung der Versicherer, oft auf der Grundlage von VdS-Richtlinien, oft im Anschluss an einen konkreten Vorfall, der die bisherige Investition diskreditiert hat. Was bisher freiwillig und in Verhandlung mit einem einzelnen Versicherer geschah, wird mit dem Dachgesetz zu einer dokumentierten Pflicht gegenüber einer Aufsichtsbehörde. Die Differenz zwischen einem Versicherungsgutachten und einem Behördennachweis ist nicht trivial. Sie verändert die Beweislast, sie verändert die Dokumentationstiefe, und sie verändert die Häufigkeit, mit der Standards angepasst werden müssen.

Für den Markt bedeutet dieser Übergang, dass Lösungen, die in der Vergangenheit als angemessen galten, im neuen Rahmen entweder nachgewiesen oder ersetzt werden müssen. Ein Bauzaun mit punktueller Beleuchtung und einem Wachdienst, der zweimal in der Nacht eine Runde dreht, ist keine Perimetersicherung im Sinne einer dokumentierten Schutzklasse. Er kann es werden, wenn er um Sensorik, Videoanalyse und definierte Reaktionsketten ergänzt wird. Genau an dieser Stelle entsteht das, was im Brief als regulatorisches Tailwind-Narrativ angesprochen ist. Der Markt wird nicht durch Begeisterung getrieben, sondern durch Pflicht. Pflicht ist die verlässlichste Form der Nachfrage.

Welche Sektoren in den Geltungsbereich rücken

Der Sektorkatalog wird gegenüber der bisherigen KRITIS-Verordnung ausgeweitet. Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie staatliche Verwaltung sind die seit langem etablierten Sektoren. Hinzu kommen weitere Bereiche, deren genaue Abgrenzung in der sektorspezifischen Verordnung und in den Schwellenwerten für die Anlagenkategorisierung erfolgt. Die GDV hat in ihren Stellungnahmen früh darauf hingewiesen, dass die Schwellenwerte nicht zu hoch gelegt werden dürfen, weil sonst eine erhebliche Zahl von Betreibern unterhalb der Pflichtschwelle bleibt und damit eine zweite Klasse von Schutzobjekten entsteht, deren Risikolage von der ersten kaum zu unterscheiden ist.

Für den Perimeterschutz folgt aus dieser Ausweitung ein verändertes Kundenbild. Bisher war der Markt für hochwertige Außensicherung konzentriert auf wenige Sektoren mit eindeutiger Kritikalität, etwa Energieerzeugung, Wasserversorgung und Logistikknoten von nationaler Bedeutung. Mit dem Dachgesetz rücken Betreiber in den Geltungsbereich, die in der Vergangenheit mit konventionellen Mitteln gearbeitet haben, weil weder ihre Versicherer noch ihre Aufsichten eine andere Investitionshöhe verlangt haben. Diese Betreiber sind nun gezwungen, in einem überschaubaren Zeitraum eine Risikobewertung vorzulegen, die mehr ist als eine textliche Beschreibung. Sie ist eine Bewertung mit definierten Schutzzielen, definierten Restrisiken und definierten Maßnahmen.

Boswau + Knauer hat in den vergangenen Quartalen eine Verschiebung der Anfragestruktur beobachtet. Es kommen nicht mehr nur Bauleiter und Werkschutzleiter mit einer punktuellen Frage zu einem konkreten Standort. Es kommen Verantwortliche, die für mehrere Standorte eine konsistente Architektur suchen, weil ihre interne Compliance eine konsistente Bewertung verlangt. Die Frage hat sich vom Einzelobjekt zur Flotte verschoben. Diese Verschiebung ist die direkte Folge eines regulatorischen Vorgangs, der noch nicht abgeschlossen ist, der aber bereits jetzt das Beschaffungsverhalten verändert.

Was der Markt heute liefern kann

Die Lieferfähigkeit des Marktes ist in den Kernkomponenten gegeben. Mobile Videotürme mit autarker Energieversorgung, KI-gestützte Videoanalyse mit verlässlicher Personen- und Fahrzeugklassifikation, Bewachungsroboter mit definierter Reichweite und Sensorik, Zaunsensorik mit Mehrkanalprüfung, Zugangskontrolle mit revisionsfähiger Dokumentation. Diese Komponenten sind seit Jahren im Feld, sie sind in Industriebetrieb erprobt, und sie sind in einer Tiefe verfügbar, die den Anforderungen der ersten Verordnungsstufe in der Regel genügt. Wer als Betreiber jetzt mit der Planung beginnt, findet einen Markt, der nicht improvisieren muss, sondern der aus dem Bestand liefern kann.

Was der Markt liefert, ist allerdings nicht gleichmäßig gut. Die Spreizung zwischen den Anbietern ist erheblich. Ein Teil der Anbieter arbeitet mit zugekaufter Hardware aus dem Verbraucherbereich, einer Software, die nicht für industrielle Dauerbetriebe ausgelegt ist, und einem Service, der in der dritten Wartung an seine Grenzen kommt. Ein anderer Teil arbeitet mit eigenentwickelter Plattformlogik, geprüfter Komponentenauswahl und einer Wartungsstruktur, die in Industriezeiträumen denkt. Die Differenz zwischen diesen beiden Polen wird im normalen Beschaffungsprozess nicht sichtbar, weil die Datenblätter sich ähneln. Sie wird im dritten Jahr der Nutzung sichtbar, wenn die Ausfallraten auseinanderlaufen. Wer im Kontext des Dachgesetzes investiert, investiert in eine Lebensdauer, die mit der Verordnungsperiode wachsen wird. Wer hier auf den niedrigeren Pol setzt, hat eine zweite Investition vor sich, die im ursprünglichen Plan nicht enthalten war.

Die Verbindung der Komponenten zu einem System ist die zweite Linie, an der sich die Anbieter unterscheiden. Ein Roboter ohne Anbindung an die Leitstelle ist ein Sensor mit Antrieb. Eine Videoanalyse ohne Anbindung an die Reaktionskette ist ein Filter. Erst die durchgängige Architektur, in der jede Komponente in einer dokumentierten Datenstruktur arbeitet, ergibt das, was das Dachgesetz im Sinne hat. In der Buchveröffentlichung von Boswau + Knauer, "Vom Bau zur Sicherheitstechnologie", ist dieser Gedanke an mehreren Stellen ausgeführt. Er ist auch der Grund, weshalb das Unternehmen seine Plattformen modular und nicht in geschlossenen Ökosystemen baut.

Was der Markt noch entwickeln muss

Drei Bereiche sind im Markt noch nicht durchgängig versorgt. Der erste Bereich ist die Schnittstelle zur Aufsichtsbehörde. Die Meldepflichten werden in der Verordnungspraxis konkretisiert, die Datenformate sind in Teilen noch offen, und die Häufigkeit, mit der Vorfälle gemeldet, klassifiziert und nachverfolgt werden müssen, ist noch nicht in jeder Sektorverordnung abschließend geregelt. Ein Anbieter, der heute Geräte liefert, ohne diese Schnittstelle vorzusehen, liefert ein System, das im nächsten Jahr in dieser Stelle nachgerüstet werden muss. Wer die Schnittstelle als Plattformfunktion vorsieht, kann sie aktualisieren, sobald die Datenformate stehen. Das ist der Unterschied zwischen einer offenen und einer geschlossenen Architektur.

Der zweite Bereich ist die Verbindung zwischen physischer und logischer Sicherheit. Das Dachgesetz behandelt beide Felder in einem gemeinsamen Rahmen, weil die Bedrohungslage beide Felder nicht trennt. Ein Eindringen über das Vorfeld kann der Vorbereitung eines logischen Angriffs dienen, ein logisches Vorgehen kann den physischen Zutritt erleichtern, und die Reaktionskette muss in beiden Richtungen sprechen können. Der Markt hat Lösungen, die das eine oder das andere abdecken. Lösungen, die beides in derselben Datenstruktur führen, sind seltener, und die meisten von ihnen sind in den letzten zwei bis drei Jahren entstanden. Wer hier investiert, investiert in eine Generation, deren Reife in den nächsten Verordnungsperioden weiter steigt.

Der dritte Bereich ist die Skalierung über Standorte hinweg. Ein Betreiber mit drei Standorten kann seine Architektur in einer überschaubaren Komplexität führen. Ein Betreiber mit dreißig Standorten kann das nur dann, wenn die Geräte, die Software und der Service standardisiert sind. Der Markt liefert diese Standardisierung in einzelnen Plattformen. Er liefert sie nicht durchgängig. Wer als Betreiber jetzt entscheidet, entscheidet implizit auch über die Skalierbarkeit der nächsten zehn Jahre. Diese Entscheidung wird in der Beschaffung selten in dieser Dimension geprüft, weil die Beschaffungslogik in Einzelaufträgen organisiert ist. Im Kontext des Dachgesetzes ist die Skalierungsfrage aber die wirtschaftlich entscheidende.

Übergangsfristen und das, was sie verbergen

Übergangsfristen sind politisch immer ein Kompromiss zwischen den Betreibern, die mehr Zeit fordern, und den Aufsichten, die einen schnelleren Vollzug wünschen. Die Fristen im Dachgesetz sind in einem Bereich angesiedelt, der für einen einzelnen Standort komfortabel und für eine größere Flotte knapp ist. Die BG BAU hat in ähnlichen Kontexten darauf hingewiesen, dass Übergangsfristen, die für ein einzelnes Objekt gerechnet werden, in der Flotte oft unterschätzt werden, weil Planung, Beschaffung, Genehmigung und Inbetriebnahme nicht parallel laufen, sondern sich in Schnittstellen aufeinander stapeln.

Was die Fristen verbergen, ist die Vorlaufzeit für die Risikobewertung selbst. Ein Betreiber, der jetzt in die Pflicht rückt, muss zunächst seinen Stand kennen, bevor er ihn verändern kann. Die Bewertung der bestehenden Systeme nach den neuen Schutzklassen ist nicht in einer Woche zu leisten. Sie verlangt eine strukturierte Aufnahme, eine Bewertung gegen den geforderten Schutzgrad, eine Ableitung der Maßnahmen und eine wirtschaftliche Priorisierung. Wer diese Arbeit erst beginnt, wenn die Frist beginnt, hat in der Regel die Hälfte der Frist bereits verloren. Wer früh beginnt, kann die Investitionen über die Frist verteilen, statt sie an ihrem Ende in einer Welle auszulösen.

Diese Beobachtung ist nicht neu. Sie wiederholt sich in jedem regulatorischen Vorgang, in dem die Konsequenzen erst nach der Frist sichtbar werden. Der Unterschied zur Datenschutz-Grundverordnung, deren Übergang viele Unternehmen in derselben Weise verschoben hatten, ist die physische Komponente. Ein Datenschutzkonzept lässt sich in einer kurzen Zeitspanne erstellen, wenn die Bereitschaft besteht. Ein Perimeterschutzkonzept lässt sich nicht in einer kurzen Zeitspanne umsetzen, weil Beton, Stahl, Sensorik, Energie und Datenleitung mit der Zeit reden, die ihre Gewerke verlangen. Wer das nicht einkalkuliert, kalkuliert falsch.

Wirtschaftliche Dimension und Versicherbarkeit

Die wirtschaftliche Dimension des Dachgesetzes ist in der öffentlichen Debatte unterbelichtet. Sie zeigt sich in zwei Größen, die in derselben Bilanz wirken. Die erste Größe ist die Investition in den Schutz, die als Anlageinvestition aktiviert und über die Nutzungsdauer abgeschrieben wird. Sie ist messbar, sie ist planbar, und sie ist im Vergleich zu den Bestandsschutzwerten in der Regel überschaubar. Die zweite Größe ist die Wirkung auf Versicherbarkeit und Prämie. Hier verändert sich die Marktstruktur, weil Versicherer ihre Risikomodelle an die Pflichtenlage anpassen. Was vorher als Bonusfaktor in die Prämie einging, wird zur Mindestbedingung. Was vorher als Standard galt, wird zum Aufschlagsfaktor, weil die Vergleichsgruppe nach oben rückt.

Für Betreiber bedeutet das, dass die Frage nach der Wirtschaftlichkeit einer Investition nicht mehr nur gegen die historische Schadenshäufigkeit gerechnet wird. Sie wird gegen die zukünftige Versicherbarkeit gerechnet. Eine Investition, die heute hoch erscheint, kann sich in der Prämienreduktion und in der Vermeidung von Selbstbehalten innerhalb weniger Jahre amortisieren. Eine Investition, die heute niedrig erscheint, kann in der nächsten Vertragsrunde des Versicherers durch einen Prämienaufschlag kompensiert werden, der die ursprüngliche Einsparung übersteigt. Diese Logik ist in den Sicherheitsabteilungen der größeren Betreiber bekannt. Sie ist in den mittleren Größenklassen häufig noch nicht in der Tiefe verstanden, in der sie wirtschaftlich entscheidend ist.

Die GDV und einzelne Versicherer haben in ihren Stellungnahmen zum Entwurf darauf hingewiesen, dass die Versicherungswirtschaft eine differenzierte Prämiengestaltung in Aussicht stellt, sobald die Schutzklassen verlässlich nachweisbar sind. Diese Aussage ist nicht zu unterschätzen. Sie verschiebt den Investitionsfall von einer reinen Vermeidungsrechnung in eine Ertragsrechnung, in der die Investition über die Prämie zurückfließt. Wer mit dieser Logik rechnet, kommt zu Investitionsentscheidungen, die unter der reinen Vermeidungslogik nicht zustande gekommen wären.

Was bleibt

Das KRITIS-Dachgesetz formt einen Markt, der bisher in weiten Teilen freiwillig organisiert war, zu einem Markt mit dokumentierter Pflicht. Diese Formung ist nicht schnell und nicht vollständig im ersten Anlauf, sie ist aber unumkehrbar, weil die regulatorische Logik in Europa eine eigene Dynamik entwickelt hat, die einzelne Bundestagsmehrheiten überdauert. Wer als Betreiber jetzt entscheidet, entscheidet nicht für ein Quartal, sondern für eine Dekade. Wer als Hersteller jetzt liefert, liefert nicht in einen Sondermarkt, sondern in einen Standardmarkt, der gerade entsteht.

Boswau + Knauer beobachtet diesen Vorgang mit der Ruhe eines Herstellers, der seine Plattformen seit Jahren auf die Anforderungen ausrichtet, die jetzt regulatorisch nachgezogen werden. Was im Gesetz steht, ist in den Produkten bereits angelegt. Was im Gesetz noch nicht steht, ist in der Plattformlogik so vorbereitet, dass es im Wege eines Updates aufgenommen werden kann. Diese Ruhe ist nicht Selbstgewissheit. Sie ist das Ergebnis einer Vorarbeit, die in Kapitel 19 des Buches "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie" als Baustelle der Zukunft beschrieben ist, und die jetzt in die regulatorische Wirklichkeit übergeht.

Wer als Betreiber im Geltungsbereich des Dachgesetzes liegt oder im Verlauf der nächsten Verordnungsstufen in ihn rücken wird, hat in der Regel mehr Vorlaufzeit zur Verfügung, als er nutzt. Diese Vorlaufzeit ist der wirtschaftlich entscheidende Vorteil. Der nächste Schritt ist nicht die Beschaffung. Der nächste Schritt ist die Standortbestimmung. Boswau + Knauer bietet diese Standortbestimmung in einem sechzigminütigen Gespräch an, vertraulich und ohne Folgekosten. Wer nach diesem Gespräch in die Tiefe gehen möchte, hat den Weg in das strukturierte Audit von drei bis fünf Tagen, an dessen Ende ein Bericht steht, der intern oder extern weiterverwendet werden kann. Beide Wege sind so angelegt, dass die Entscheidung in der Hand des Betreibers bleibt.

Häufige Fragen

Was regelt das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz regelt die physische Resilienz von Betreibern kritischer Infrastrukturen. Es ergänzt die bisherigen Anforderungen aus der Informationssicherheit um Pflichten zum baulichen und technischen Schutz, zur Risikobewertung, zur Meldung sicherheitsrelevanter Vorfälle und zur Nachweisführung gegenüber der zuständigen Aufsicht. Die Konkretisierung erfolgt in sektorspezifischen Verordnungen, die Schwellenwerte, Schutzklassen und Meldewege im Detail bestimmen. Für den Markt bedeutet das eine Verschiebung von einer in weiten Teilen freiwilligen Praxis hin zu einer dokumentierten Pflichtenlage mit behördlicher Prüfbarkeit.

Wann tritt das KRITIS-Dachgesetz in Kraft?

Das Inkrafttreten erfolgt gestaffelt. Der gesetzliche Rahmen tritt zu einem im Gesetz benannten Zeitpunkt in Kraft, die operativen Pflichten greifen mit dem Inkrafttreten der jeweiligen sektorspezifischen Verordnungen, die in Teilen bereits vorliegen und in anderen Teilen noch im Verfahren sind. Die genauen Daten verschieben sich im parlamentarischen Prozess. Für Betreiber ist nicht das exakte Datum entscheidend, sondern die Vorlaufzeit, die für Risikobewertung, Beschaffung und Inbetriebnahme der erforderlichen Maßnahmen einzuplanen ist. Diese Vorlaufzeit ist in der Praxis länger, als die nominellen Fristen vermuten lassen.

Welche Sektoren sind neu betroffen?

Der Sektorkatalog erweitert den bisherigen Rahmen aus Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie staatlicher Verwaltung. Hinzu kommen weitere Bereiche, deren genaue Abgrenzung in der Anlagenkategorisierung der jeweiligen Verordnung erfolgt. Für die Praxis ist nicht der Sektor allein entscheidend, sondern die Anlagenschwelle, ab der Pflichten greifen. Betreiber unterhalb der Schwelle bleiben formal außerhalb der Pflicht, sehen sich aber in der Versicherbarkeit zunehmend an den Maßstäben oberhalb der Schwelle gemessen.

Welche Übergangsfristen gelten für die Umsetzung?

Die Übergangsfristen sind nach Pflichtbereich gestaffelt. Risikobewertung und Mindestanforderungen an den Schutz haben in der Regel eine kürzere Frist als die vollständige Umsetzung weitergehender Maßnahmen. In der Praxis bedeutet das, dass Betreiber innerhalb des ersten Jahres nach Inkrafttreten der jeweiligen Verordnung mit einer Bewertung beginnen müssen und in den folgenden Jahren die Maßnahmen umsetzen. Wer die Frist auf das gesamte Vorhaben rechnet, unterschätzt die Vorlaufzeit. Boswau + Knauer empfiehlt, die Standortbestimmung im ersten Quartal nach Bekanntwerden der konkreten Pflicht zu beginnen, nicht im letzten Quartal vor Fristende.