RCE-Richtlinie der EU und KRITIS-Dachgesetz: Neue Anforderungen an physische Sicherheit und Resilienz von KRITIS-Betreibern

Das KRITIS-Dachgesetz, die nationale Umsetzung der RCE-Richtlinie, ist am 17.03.2026 in Deutschland in Kraft getreten. Was europäische und deutsche KRITIS-Betreiber jetzt wissen und umsetzen müssen.

Die RCE-Richtlinie der EU („Resilience of Critical Entities“, im deutschsprachigen Raum oft auch CER-Richtlinie genannt) verpflichtet Betreiber kritischer Infrastrukturen, ihre Resilienz systematisch zu stärken. Zentrale Handlungsfelder sind Risikomanagement, Resilienzplanung und der Einsatz geeigneter Sicherheitslösungen – etwa Videoüberwachung. Dallmeier unterstützt KRITIS-Betreiber mit cybersicheren Videosicherheitslösungen nach dem „Stand der Technik“ bei der Umsetzung dieser Anforderungen.

Geopolitische Bedrohungslage: Kritische Infrastrukturen im Fokus
Die sicherheitspolitische Lage in Europa hat sich in den vergangenen Jahren deutlich verändert. Geopolitische Spannungen, hybride Bedrohungen und gezielte Sabotageakte zeigen die Verwundbarkeit kritischer Infrastrukturen. Störungen in Energie, Verkehr, Kommunikation oder Wasser können gravierende wirtschaftliche und gesellschaftliche Folgen haben. 

Aktuelle Beispiele verdeutlichen die Entwicklung: Sabotage an Energie- und Bahn-Infrastruktur, Drohnenüberflüge über sensible Einrichtungen sowie Cyberangriffe auf KRITIS-Betreiber und deren Lieferketten. Die EU reagiert darauf mit einer klaren Strategie: Die Resilienz kritischer Infrastrukturen soll europaweit gezielt gestärkt werden.

„Die herausfordernde geopolitische Lage und die neuen europäischen Resilienzvorgaben zeigen deutlich, dass Sicherheitsstrategien und Sicherheitstechnologien heute ganzheitlich gedacht werden müssen – und das auf Managementebene. Nur wenn cyber‑, physische und organisatorische Sicherheitsmaßnahmen zusammenwirken, können kritische Infrastrukturen wirklich resilient werden.“

Jürgen Seiler, Head of Business Development at Dallmeier electronic GmbH & Co.KG

Europäische Reaktion: Neue regulatorische Rahmenwerke NIS-2 und RCE
Die Europäische Union hat in den letzten Jahren eine Reihe regulatorischer Initiativen gestartet, um die Sicherheit und Resilienz kritischer Infrastrukturen deutlich zu erhöhen. Neben der NIS-2‑Richtlinie für Cybersicherheit adressiert die CER‑Richtlinie erstmalig auch die physische Resilienz und physische Sicherheit kritischer Einrichtungen und Anlagen.

Für Betreiber kritischer Anlagen bedeutet dies einen Paradigmenwechsel: Resilienz wird nicht mehr ausschließlich als IT‑ oder Security‑Thema verstanden, sondern als ganzheitliche Management‑ und Führungsaufgabe. Cyberresilienz, physische Sicherheit, organisatorische Krisenvorsorge und Lieferkettenstabilität werden regulatorisch miteinander verknüpft, auch unter Berücksichtigung von geopolitischen Aspekten. Damit entsteht erstmals ein ganzheitlicher europäischer Sicherheitsansatz, der Cyber-, physische und geopolitische Risiken gemeinsam betrachtet.

Text explaining EU directives on resilience and cybersecurity, featuring a triangle graphic highlighting physical, cyber, and geopolitical resilience, alongside directive names and descriptions in German.
Drei Dimensionen von Resilienz, visualisiert in einem Resilienz-Dreieck, mit den begleitenden europäischen Regulierungen

 

Was ist die RCE-Richtlinie?
Die EU RCE‑Richtlinie, im Januar 2023 in Kraft getreten, verfolgt das Ziel, die Resilienz und die physische Sicherheit kritischer Anlagen und Einrichtungen in Europa systematisch zu stärken. Adressaten der Richtlinie sind KRITIS-Betreiber aus definierten Sektoren, deren (kritische) Dienstleistungen für das Funktionieren von Gesellschaft und Wirtschaft unverzichtbar sind (essenziell für öffentliche Sicherheit und Versorgungssicherheit).

SEKTOREN: 
Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Trinkwasser und Abwasser, digitale Infrastruktur (ITK), Ernährung, Weltraum und öffentliche Verwaltung.

PFLICHTEN:
Betreiber kritischer Anlagen und Einrichtungen müssen Risiken analysieren, Resilienzmaßnahmen implementieren und ihre Organisation auf Störungen, Krisen und Ausfälle vorbereiten.

RISIKEN UND BEDROHUNGEN:
Im Fokus stehen dabei insbesondere physische Bedrohungen wie Sabotage, Spionage, Terrorismus, Naturkatastrophen, geopolitische Konflikte oder hybride Angriffe, bei denen physische Angriffe oftmals mit Cyberattacken kombiniert werden.

Das KRITIS-Dachgesetz in Deutschland – seit 17.03.2026 in Kraft
Die EU-Mitgliedstaaten sind verpflichtet, die RCE-Richtlinie in nationales Recht zu überführen. Die ursprüngliche Deadline zur nationalen Umsetzung war Oktober 2024, welche viele Länder nicht eingehalten haben. Eine gute Quelle zum Stand der nationalen RCE-Umsetzungen (Stand März 2026) ist online hier zu finden.

In Deutschland erfolgt die RCE-Umsetzung über das sogenannte KRITIS-Dachgesetz, welches am 17.03.2026 in Kraft getreten ist. Dieses Gesetz schafft erstmals einen bundesweiten, sektorübergreifenden regulatorischen Rahmen für die physische Resilienz kritischer Infrastrukturen.

Das KRITIS-Dachgesetz adressiert Betreiber aus den zentralen RCE-Sektoren Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Trinkwasser und Abwasser, digitale Infrastruktur (ITK), Ernährung, Weltraum und öffentliche Verwaltung. Zusätzliche Sektoren in Deutschland sind
Siedlungsabfallentsorgung und Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende.

Kritische Schwellenwerte und kritische Dienstleistungen
Genaue Adressaten des KRITIS-Dachgesetzes sind KRITIS-Betreiber aus den genannten Sektoren, deren (kritische) Dienstleistungen für das Funktionieren von Gesellschaft und Wirtschaft unverzichtbar sind. Die Einrichtung / kritische Anlage muss essenziell für die Gesamtversorgung in Deutschland sein und mehr als 500.000 Personen versorgen (Versorgungsgrad | Regelschwellenwert). Die genauen Anlagenkategorien und Schwellenwerte definiert die vorhandene KRITIS-Verordnung oder eine zu einem späteren Zeitpunkt neue oder geänderte Rechtsverordnung.

PS: Unter bestimmten Voraussetzungen sollen künftig auch Bundesländer kritische Betreiber/Anlagen unterhalb der Regel-Schwellenwerte bestimmen können. Zudem wird über eine Absenkung des Schwellenwertes von 500 Tsd. auf 150 Tsd. versorgte Personen politisch diskutiert.

Konkrete Anforderungen: Risikoanalyse und Resilienzplan
Das Gesetz verpflichtet Betreiber neben der Identifikation, der Registrierung bei der Aufsichtsbehörde BBK, dem neuen Meldewesen für erhebliche Störungen vor allem zur Umsetzung von Resilienzmaßnahmen nach erfolgter Risikoanalyse.

Für Betreiber kritischer Anlagen entstehen somit neue Anforderungen an Risikomanagement, Sicherheitsmaßnahmen und organisatorische Resilienzstrukturen. Ein zentrales Element der neuen Regulierung ist die systematische Risikoanalyse.

Betreiber kritischer Einrichtungen müssen Bedrohungen und Schwachstellen strukturiert identifizieren und bewerten. Dazu gehören beispielsweise:

  • unbefugtes Eindringen in kritische Bereiche
  • Sabotage an Anlagen
  • Angriffe auf Infrastrukturkomponenten
  • Naturereignisse oder Umweltrisiken

Die Ergebnisse dieser Risikoanalyse bilden die Grundlage für die Entwicklung eines Resilienzplans.

Zentrale Vorschrift KRITIS-Dachgesetz für physische Schutzmaßnahmen und Resilienzplan:

§ 13 „Resilienzpflichten der Betreiber kritischer Anlagen; Resilienzplan“

(1) (2) Der Betreiber kritischer Anlagen ist verpflichtet, … 

  • verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen
  • „nach dem Stand der Technik“ 

zur Gewährleistung seiner Resilienz zu treffen, um…

…einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten

(3) Zu den Maßnahmen zur Erreichung der Ziele können die folgenden zählen:

a) Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente,
b) Instrumente und Verfahren für die Überwachung der Umgebung,
c) der Einsatz von Detektionsgeräten 

Betreiber kritischer Einrichtungen müssen also nach §13 unter anderem Maßnahmen zum angemessenen physischen Schutz ihrer Infrastruktur umsetzen.

Dazu gehören insbesondere:

  • Schutz der Liegenschaftsabgrenzungen (Perimeterschutz)
  • Überwachung der Umgebung kritischer Anlagen
  • Detektionssysteme zur frühzeitigen Erkennung von Sicherheitsereignissen
  • Verifikationssysteme zur Aufklärung von Sicherheitsereignissen

Videosicherheitstechnik als Baustein physischer Sicherheit und Resilienz 
Videoüberwachungssysteme spielen eine zentrale Rolle beim Schutz kritischer Infrastrukturen. Sie dienen durch optische Detektion und Verifikation nicht nur der klassischen Sicherheitsüberwachung, sondern auch der Prävention, Lageerkennung und schnellen Reaktion auf sicherheitsrelevante Ereignisse.

Intelligente Videosysteme können beispielsweise unbefugte Zutritte erkennen, sicherheitskritische Bereiche überwachen, Sabotageversuche identifizieren, automatisiert auf Ereignisse und Alarmmeldungen reagieren und Einsatzkräfte bei der Lagebeurteilung unterstützen.

Moderne Videosicherheitssysteme ermöglichen somit unter anderem:

  • Überwachung von Perimeter- und Liegenschaftsgrenzen
  • Detektion unbefugter Zutritte
  • Verifikation und Dokumentation sicherheitsrelevanter Ereignisse
  • Lagebilder für Sicherheitszentralen

Insbesondere bei weitläufigen kritischen Anlagen mit langen Beobachtungsdistanzen und großen zu überwachenden Flächen wie z. B. Energieinfrastrukturen oder Verkehrsknotenpunkten wie Flughäfen sind geeignete Videoüberwachungssysteme ein zentraler Bestandteil physischer Sicherheitskonzepte.

Three security cameras are mounted on a concrete pole, overlooking a modern building with large glass windows and a blue sky in the background.

PS: Jenseits von Sicherheitsprozessen können smarte Videomanagementsysteme und KI-basierte Videoanalysesysteme auch dazu beitragen, operative Betriebsabläufe und Prozesse durch Datengenerierung und Datenauswertung deutlich effizienter zu gestalten. Ein Beispiel dazu ist die Verkürzung von Wartezeiten an Flughäfen.

3D-Sicherheitsplanung als Resilienzplan(ung)
Eine wichtige Grundlage für effektive Resilienzmaßnahmen ist eine präzise Sicherheitsplanung. Moderne Videoüberwachungsprojekte werden daher häufig bereits in der Planungsphase mit 3D‑Simulationen und digitalen Standortmodellen entwickelt.

Eine solche 3D‑Planung ermöglicht es Betreibern kritischer Anlagen, Sicherheitsrisiken frühzeitig zu erkennen und geeignete Maßnahmen strategisch zu planen. Kamerapositionen, Sichtfelder, kritische Bereiche und potenzielle Angriffspunkte können realitätsnah simuliert werden. Zudem ist eine solche  3D-Planung oftmals auch der Erfolgsschlüssel, um berechtigte oder unberechtigte Datenschutzbedenken von involvierten Datenschutz-Stakeholdern zu entkräften.

Diese Form der 3D-Sicherheitsplanung unterstützt Betreiber dabei, Sicherheitsmaßnahmen systematisch aus der Risikoanalyse abzuleiten und diese im geforderten Resilienzplan zu dokumentieren und zu visualisieren.

Two people are sitting closely together, viewing a laptop screen displaying a monitoring interface with images of a transportation area, featuring buses and vehicles. The logo "PLAN" is visible at the bottom.
Eine 3D-Sicherheitsplanung (hier Beispiel Dallmeier Tool PlanD) kann einen wichtigen Beitrag zur Erstellung eines Resilienzplans gemäß Artikel 13 des KRITIS‑Dachgesetzes leisten.

Fazit: Physische Resilienz wird zur haftungsrelevanten Managementaufgabe 
Mit der RCE-Richtlinie und ihrer nationalen Umsetzung in den EU-Ländern, in Deutschland beispielhaft durch das KRITIS-Dachgesetz, wird die physische Sicherheit kritischer Infrastrukturen zu einer zentralen Managementaufgabe.

Betreiber und deren Geschäftsleitungen müssen künftig Risiken systematisch analysieren, Resilienzpläne entwickeln und geeignete technische Schutzmaßnahmen implementieren.

Die Kombination aus Risikoanalyse, organisatorischer Resilienzplanung und moderner Sicherheitstechnologie bildet dabei die Grundlage für eine nachhaltige und resiliente Sicherheitsstrategie.

Gemäß §20 des deutschen KRITIS-Dachgesetzes liegt die Verantwortung für die Umsetzung und kontinuierliche Überwachung von Sicherheits- und Resilienzmaßnahmen ausdrücklich bei der Geschäftsleitung. Sie ist damit nicht nur zur Einhaltung regulatorischer Vorgaben verpflichtet, sondern haftet bei Pflichtverletzungen auch persönlich, sofern sie keine angemessenen organisatorischen Maßnahmen zur Sicherstellung von Umsetzung und Kontrolle der Aufsichtsbehörde gegenüber nachweisen kann.

Unser persönliches Angebot
Mit cybersicherer Videosicherheitstechnik „Made in Germany“, nach dem „Stand der Technik“, mit IT-Sicherheitsfunktionen auf Produktebene und eigenen, ISO 27001 zertifizierten, periodisch auditierten Sicherheitsprozessen unterstützt Dallmeier NIS-2- und RCE-betroffene und regulierte Kunden, ihre Sicherheitsanforderungen aus den europäischen Rechtsvorgaben zu erfüllen.  
 

Wenn Sie mehr darüber erfahren möchten, wie wir als Hersteller von Videoüberwachungslösungen Ihre NIS-2- und RCE-Strategie aktiv unterstützen können – von resilienten und cybersicheren Systemen bis zu Compliance-Services – kontaktieren Sie uns gerne. Unsere Experten stehen bereit, um gemeinsam mit Ihnen eine NIS-2- und RCE-konforme Lösung zu entwickeln.

Planen Sie ein Videoüberwachungsprojekt und sind unsicher, wie RCE/KRITIS-Dachgesetz und/oder NIS-2 zu berücksichtigen sind? 

Sichern Sie sich Ihren Termin für einen kostenlosen 30-minütigen 1:1 -Talk (online) mit unserem KRITIS-Experten Jürgen Seiler – fundiert und praxisnah.

Weiterführende Informationen und Links:

Über den Autor: