Personalschutz – Kritische Infrastruktur (KRITIS): Resilienz-Update 2026

Personalschutz – Kritische Infrastruktur (KRITIS): Resilienz-Update 2026

Stichtag 6. März 2026: Der Bundesrat befasst sich in der 1062. Sitzung mit dem KRITIS-Dachgesetz (Umsetzung CER / physische Resilienz). Gleichzeitig läuft für viele betroffene Organisationen die praktische NIS-2-Fristlogik: Registrierung, Pflichten, Nachweise. Wer in dieser Lage nur an IT, Technik und Dokumente denkt, übersieht den entscheidenden Engpass: den Menschen im operativen Betrieb. Denn Resilienz scheitert selten am Zaun – sie scheitert an fehlender Handlungsfähigkeit in den ersten Minuten einer realen Eskalation.

1) Physische Resilienz heißt Betriebsfähigkeit – nicht „mehr Objektschutz“

In vielen Unternehmen wird „physische Resilienz“ reflexartig auf bauliche und technische Maßnahmen verkürzt: Zutrittskontrolle, Video, Perimeter, neue Systeme. Das ist wichtig – aber es ist nicht der Kern. Kritische Dienstleistungen werden von Menschen betrieben: Instandhalter, Techniker, Leitstellen, Service-Teams, Bereitschaften. Genau diese Teams halten die Versorgung am Laufen, wenn Störungen auftreten, Zeitdruck steigt oder Unsicherheit in die Lage kommt.

Erfahren Sie hier mehr zur spezifischen Umsetzung im Sektor Medien & Kultur.

In KRITIS entscheidet sich Resilienz deshalb nicht nur in der Leitwarte, sondern draußen an der Schnittstelle: am Zugang, am Störort, am Übergabepunkt, bei Abschaltungen, bei Wartung, bei Konflikten mit Dritten. Wenn Mitarbeitende in solchen Momenten blockieren, zögern oder die Kontrolle verlieren, entsteht ein Dominoeffekt: Verzögerung, Fehler unter Stress, Kommunikationsabbrüche – und im schlimmsten Fall ein Ausfall, der vermeidbar gewesen wäre.

Operativer Personalschutz ist damit kein „weiches“ Thema und kein Security-Label. Er ist eine betriebliche Notwendigkeit: klare Prozesse, trainierbare Verhaltensmuster und ein System, das unter Druck funktioniert. Resilienz ist kein Zustand – Resilienz ist das, was Menschen im Ernstfall tun.

Vertiefung:
➤ KRITIS-Dachgesetz 2026: Physische Resilienz – was Betreiber wirklich leisten müssen
➤ Der Mensch im Mittelpunkt der modernen Gewaltprävention
➤ Warum KRITIS & Behörden spezifische Konzepte benötigen

2) Der blinde Fleck: Gewalt, Drohung und Druck in der Störungslage

Betreiber erleben es häufiger, als es intern sauber dokumentiert wird: Aggressionen an Pforten, Drohungen gegen Außenteams, Eskalationen bei Abschaltungen oder Baustellen, Druck durch Aktivisten oder aufgebrachte Bürger, Social-Media-Dynamiken (Filmen, Bloßstellen, Diffamieren) – während das Team eine kritische Störung behebt. In solchen Momenten wird Sicherheit nicht an der Technik gemessen, sondern an Verhalten und Führung.

Unter Stress verengt sich Wahrnehmung, Entscheidungen werden schlechter, Kommunikation wird unsauber. Wenn dann kein abrufbarer Handlungskreislauf vorhanden ist, wird aus einer lokalen Störung eine Lage, die den Betrieb destabilisiert. Genau hier gehört Personalschutz in die Systemlogik: Risikoanalyse, Rollen, Eskalationswege, Unterweisung – und regelmäßiges Üben.

Wer Gewalt gegen Mitarbeitende als „allgemeines Lebensrisiko“ abtut, riskiert nicht nur Gesundheit und Motivation, sondern auch Versorgungssicherheit und haftungsrelevante Fragen im Nachgang. Das ist der Punkt, an dem Resilienz praktisch wird – oder scheitert.

Vertiefung:
➤ Handlungskreislauf: Souveränität bei Gewalt gegen Mitarbeitende
➤ Organisationsverschulden: Haftungsrisiken für die Unternehmensleitung

3) Die Nachweiswende: NIS-2 (BSIG) & BSI-Katalog – was das für Personalschutz bedeutet

Zwei Entwicklungen laufen gerade zusammen: (1) physische Resilienz im KRITIS-Dachgesetz (CER-Umsetzung) und (2) die Governance- und Nachweislogik aus NIS-2 (BSIG). Das Ergebnis ist eine klare Erwartung an Betreiber: Nicht nur „Maßnahmen haben“, sondern Wirksamkeit nachweisbar machen.

§ 30 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen, um Risiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu begrenzen. § 38 BSIG bindet die Geschäftsleitung ein: Umsetzung und Überwachung der Maßnahmen – plus regelmäßige Schulung, damit Risiken bewertet und Entscheidungen verantwortet werden können. Verantwortung ist nicht delegierbar.

Der BSI-Anforderungskatalog zur Konkretisierung des § 8a BSIG beschreibt im Bereich „Personelle und organisatorische Sicherheit“ ein verpflichtendes Programm für Schulungen und Awareness – inklusive der Forderung nach:

• regelmäßiger und dokumentierter Unterweisung (Rollen, sichere Betriebsweisen),
• regelmäßiger und dokumentierter Unterrichtung über bekannte Bedrohungen,
• regelmäßigem und dokumentiertem Training des Verhaltens beim Auftreten sicherheitsrelevanter Ereignisse.

Die Prinzipien sind 1:1 auf physische Resilienz übertragbar: Personalschutz ist dann belastbar, wenn er wiederholbar trainiert und auditfähig dokumentiert ist. Nicht als Show – sondern als Betriebssystem für die Teams, die im Ernstfall die Versorgung sichern.

4) Methodik: Human-Resilience unter Stress – ohne Überforderung, aber mit Wirkung

In realen Bedrohungslagen hilft kein theoretisches Konzept, wenn es unter Adrenalin nicht abrufbar ist. Darum arbeite ich mit einem einfachen Prinzip: Was im Ernstfall funktionieren soll, muss vorher als Muster trainiert werden. Mein Ansatz (Stress-Loop) zielt genau darauf: Wahrnehmung stabilisieren, Entscheidungen vereinfachen, Kommunikation klar halten, Distanz und Positionierung sichern – und im Zweifel den sicheren Rückzug sauber einleiten, ohne das Team zu zerlegen.

Ich bin kein Sicherheitsdienst. Ich befähige Mitarbeitende – von Außenteams bis Führung – damit sie kritische Situationen früh erkennen, souverän steuern und den Betrieb handlungsfähig halten. Als AMS-Beauftragter und Fachdozent mit 25 Jahren Praxiserfahrung ist mein Schwerpunkt die Integration in bestehende Strukturen: Arbeitsschutz-Logik, Unterweisung, Prozessdesign, Wirksamkeitsnachweis.

Vertiefung:
➤ Stress-Loop: Mentale Mechanik unter Druck
➤ Grundlagen: Gewalt verstehen, um sie zu stoppen

5) Umsetzung im Betrieb: Vier Schritte – auditfähig und alltagstauglich

A) Risikoanalyse „Mensch“ (konkret, nicht abstrakt)
Wo entstehen Bedrohungslagen wirklich? Zugang, Störort, Übergaben, Abschaltungen, Kundenkontakt, Nachtschichten, Alleinarbeit. Ergebnis: priorisierte Risiko- und Maßnahmenkarte, anschlussfähig an Gefährdungsbeurteilungen und Resilienzplanung.

B) Prozessdesign & Eskalationswege
Wer entscheidet Abbruch/Rückzug? Wer alarmiert wen? Welche Stufen gibt es? Wie wird sauber an Leitstelle, Führung, Externe übergeben? Ergebnis: Rollen und Handlungslogik, die unter Stress verständlich bleibt.

C) Zielgruppentraining (Technik ≠ Pforte ≠ Führung)
Außenteams trainieren andere Muster als Empfang oder Führungskräfte. Das Training bleibt niedrigschwellig, realistisch, stressfest – und wird sauber dokumentiert. Ergebnis: Wirksamkeit im Alltag statt „einmaliger Workshop“.

D) Evaluation, Drills, Audit-Vorbereitung
Kurze Szenario-Checks (Drills), Lessons Learned, Verbesserungsschleifen. Ergebnis: Nachweisfähigkeit und kontinuierliche Verbesserung – nicht Papier-Resilienz.

6) Fazit: Die „letzte Meile“ der Resilienz ist der Mensch

Der 6. März 2026 ist kein PR-Datum. Er markiert den Punkt, an dem physische Resilienz und NIS-2-Governance in vielen Organisationen praktisch werden: Prozesse, Nachweise, Schulungspflichten, Umsetzungsdruck. Und genau hier entscheidet sich, ob Resilienz nur geplant ist – oder ob sie im Ernstfall trägt.

GÜNTHER PFEIFER
Spezialist für Human-Resilienz & operativen Personalschutz in KRITIS
AMS-Beauftragter | International Force Options Instructor | 25 Jahre Praxiserfahrung
Kein Sicherheitsdienst