KRITIS-Dachgesetz: Personalkontrolle wird Pflicht für kritische Infrastruktur

Ab morgen müssen Betreiber kritischer Infrastruktur ihre Mitarbeiter streng überprüfen. Das neue KRITIS-Dachgesetz tritt am 17. März 2026 in Kraft und verpflichtet Unternehmen zu umfassenden Sicherheitschecks bei Einstellung und während des Beschäftigungsverhältnisses. Der Schutz vor Insider-Bedrohungen rückt damit in den Fokus der nationalen Versorgungssicherheit.

Die neuen Sicherheitsüberprüfungen und das KRITIS-Dachgesetz erfordern eine lückenlose Dokumentation aller Personalprozesse. Dieser kostenlose Ratgeber unterstützt Sie mit 19 rechtssicheren Muster-Formulierungen dabei, Ihre Arbeitsverträge an die aktuellen gesetzlichen Anforderungen anzupassen. 19 fertige Muster-Formulierungen für rechtssichere Arbeitsverträge

Erster einheitlicher Rahmen für physischen Schutz

Das Gesetz setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER) in nationales Recht um. Es schafft erstmals einen sektorübergreifenden Standard für den physischen Schutz von Infrastrukturen in elf Kernbereichen – von Energie und Verkehr bis hin zu Gesundheit und Finanzwesen. Bisher lag der regulatorische Fokus vor allem auf der Cybersicherheit.

„Der Ansatz ist jetzt allumfassend“, erklärt ein Rechtsgutachten. Betreiber müssen ihre Anlagen künftig gegen Naturgefahren, technisches Versagen, Sabotage und Terrorangriffe absichern. Als kritisch gelten grundsätzlich Einrichtungen, die mehr als 500.000 Menschen mit essenziellen Dienstleistungen versorgen. Bundesländer können jedoch auch kleinere, regional bedeutende Betriebe wie Stadtwerke oder Nahverkehrsunternehmen einstufen.

Personalabteilungen unter Druck

Die größte operative Herausforderung betrifft die Personalauswahl. Technische Zugangskontrollen reichen nicht mehr aus – die Integrität jedes Einzelnen mit Systemzugang muss gewährleistet sein. Personalabteilungen sind gesetzlich verpflichtet, Sicherheitsprotokolle in ihre Einstellungsprozesse zu integrieren.

Dazu gehören obligatorische Hintergrundprüfungen, verifizierte Berufsbiografien und fortlaufende Zuverlässigkeitsüberprüfungen während des Beschäftigungsverhältnisses. Das Ziel ist klar: Risiken durch Industriespionage oder vorsätzliche Sabotage durch eigene Mitarbeiter oder Dienstleister müssen minimiert werden. Die Dokumentation dieser Maßnahmen wird zum Pflichtnachweis für die Aufsichtsbehörden.

Straffe Fristen und hohe Strafen drohen

Der Zeitplan ist ambitioniert. Betroffene Unternehmen müssen bis zum 17. Juli 2026 eine digitale Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) vornehmen. Anschließend bleiben neun Monate für eine umfassende Risikoanalyse und zehn Monate für die Fertigstellung eines Resilienzplans.

Die Verschärfung der Personalprüfungen kollidiert jedoch mit dem Datenschutz. HR-Abteilungen müssen die neuen Sicherheitsanforderungen mit der Datenschutz-Grundverordnung (DSGVO) in Einklang bringen. Die Verarbeitung sensibler Hintergrundinformationen erfordert eine wasserdichte Daten-Governance.

Bei der Verarbeitung sensibler Mitarbeiterdaten zur Erfüllung der neuen Sicherheitsvorgaben lauern erhebliche Haftungsrisiken nach der DSGVO. Dieser kostenlose Leitfaden zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihre Datenschutz-Compliance rechtssicher organisieren und teure Bußgelder vermeiden. DSGVO-Umsetzung mit fertiger Checkliste jetzt sichern

Bei Verstößen drohen empfindliche Strafen. Das Gesetz sieht ein gestaffeltes Bußgeldregime vor, mit Sanktionen von bis zu einer Million Euro für gravierende Pflichtverletzungen. Unternehmensleitungen können zudem persönlich haftbar gemacht werden.

Reaktion auf Schwachstellen und Fragmentierung

Der gesetzgeberische Schritt folgt auf eine Reihe alarmierender Vorfälle. Experten verweisen auf die Störungen im Berliner Stromnetz im Januar 2026, die zeigten, wie schnell die öffentliche Stabilität kippen kann, wenn kritische Knotenpunkte ausfallen.

Bisher war der Infrastrukturschutz in Deutschland stark fragmentiert. Das KRITIS-Dachgesetz soll diese Lücke schließen, indem es physische und personelle Sicherheit auf das gleiche regulatorische Niveau wie die IT-Sicherheit hebt. Die Deatte um den Schwellenwert von 500.000 Versorgten führte zu einem Kompromiss: Die Länder behalten sich vor, regional wichtige Assets auch unterhalb dieser Grenze als kritisch einzustufen – was die Zahl der betroffenen Unternehmen deutlich erhöhen wird.

Kulturwandel in den Unternehmen steht bevor

Mit dem Inkrafttreten des Gesetzes beginnt für die Betreiber ein Wettlauf gegen die Zeit. In den kommenden Monaten wird die Nachfrage nach spezieller Compliance-Software, Background-Check-Dienstleistern und Sicherheitsberatung stark ansteigen.

Langfristig wird das Gesetz die Unternehmenskultur in den kritischen Sektoren transformieren. Personalabteilung und Sicherheitsmanagement, bisher oft getrennte Welten, müssen zu integrierten Resilienz-Teams verschmelzen. Der dauerhafte Erfolg der Regelung wird davon abhängen, ob es gelingt, eine Kultur der Sicherheitsverantwortung zu etablieren – in der die Personalauswahl zur ersten Verteidigungslinie für Deutschlands essentielle Dienste wird.

boerse | 68696805 |