KRITIS-Dachgesetz 2026: Verfassung des Personals und Personalschutz in der Lieferkette

Das KRITIS-Dachgesetz stärkt den physischen Schutz kritischer Infrastrukturen. Doch eine Frage bleibt offen: Wer prüft die Verfassung des Personals, den Personalschutz und die Resilienz der Menschen in der Lieferkette? Mit „Verfassung des Personals“ ist hier die physische und mentale Einsatzfähigkeit von Teams in kritischen Situationen gemeint – also ihre Handlungsfähigkeit unter Stress, Bedrohung und Störung.

KRITIS-Dachgesetz 2026: Physische Sicherheit – aber wer prüft die Verfassung des Personals?

Die Bundesregierung beschreibt im KRITIS-Dachgesetz, wie der physische Schutz kritischer Infrastrukturen in elf Sektoren gestärkt werden soll – mit bundeseinheitlichen Mindeststandards, Risikoanalysen und Meldepflichten.​
Details zum Gesetz, den Sektoren und den Mindeststandards finden sich hier:
https://www.bundesregierung.de/breg-de/aktuelles/kritis-dachgesetz-2383682​

Zu den kritischen Infrastrukturen zählen u.a. die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum und öffentliche Verwaltung.
Betroffen sind Einrichtungen, die für die Versorgung unerlässlich sind und in der Regel mehr als 500.000 Menschen versorgen.​

Den rechtlichen Rahmen für die Resilienzpflichten bildet § 13 KRITIS‑DachG („Resilienzpflichten der Betreiber kritischer Anlagen“). Er verlangt, auf Basis von Risikoanalysen geeignete technische, sicherheitsbezogene und organisatorische Maßnahmen zu treffen, einen Resilienzplan zu führen – und ein angemessenes Sicherheitsmanagement für Mitarbeitende und das Personal externer Dienstleister sicherzustellen.
Der vollständige Wortlaut des § 13 findet sich in den Gesetzesdokumenten des Deutschen Bundestages und Bundesrates (z.B. in den aktuellen Drucksachen zum KRITIS‑Dachgesetz).

Damit rücken Personalschutz, Selbstschutz und die Verfassung des Personals in kritischen Bereichen in den Fokus – nicht nur beim Betreiber, sondern auch bei sicherheitsrelevanten Dienstleistern und weiteren direkt eingebundenen Partnern.​

Betreiberpflichten nach KRITIS-Dachgesetz – und der Faktor Mensch

Betreiber kritischer Anlagen müssen nach dem KRITIS-Dachgesetz im Kern:

• ihre kritischen Anlagen identifizieren und registrieren,

• Risiken systematisch analysieren (All-Gefahren-Ansatz, inklusive physischer Bedrohungen),

• Resilienzmaßnahmen planen und umsetzen – technisch, baulich, organisatorisch und personell,

• ihre Lieferketten und unmittelbaren Dienstleister in diese Betrachtung einbeziehen,

• Vorfälle melden und Nachweise über ihre Maßnahmen führen,

• und die Leitungsebene ist dafür verantwortlich, diese Maßnahmen zu billigen und zu überwachen.

In allen elf Sektoren gibt es Mitarbeitende, die im Zentrum dieser Resilienz stehen: Leitstellen- und Leitwartenpersonal, Betriebsteams an Anlagen, Sicherheitspersonal an Standorten, Einsatz- und Notfallteams, Außendienstmitarbeitende im direkten Kunden- oder Anlagenkontakt sowie Dienstleister, die im Rahmen der Lieferkette an kritischen Punkten arbeiten.

Offene Fragen: Verfassung des Personals, Personalschutz, Szenario-Trainings

• Wenn das Gesetz Notfallteams, Ausfallsicherheit und personelle Maßnahmen verlangt: Wer schaut in der Tiefe auf die Verfassung des Personals bei Betreibern, Dienstleistern und Subunternehmern – und auf ihren Personalschutz?​

• Kann eine Lieferkette als „sicher“ gelten, wenn zwar Zäune, Technik und Prozesse geprüft werden, die physische und mentale Einsatzfähigkeit der Menschen in der Kette – und ihr Schutz vor Übergriffen – aber kaum eine Rolle spielt?

• Wie belastbar ist eine Risikoanalyse, wenn sie Standorte und Anlagen erfasst, aber die Handlungssicherheit derjenigen ausblendet, die im Ernstfall Entscheidungen treffen müssen – in der Leitwarte, an der Anlage, im Außendienst oder beim Dienstleisterteam vor Ort?

• Reicht es für Betreiber aus, ihre Notfall- und Einsatzteams auf dem Papier zu benennen – oder führt an regelmäßigen, szenariobasierten Trainings kein Weg vorbei, wenn im Ernstfall echte Handlungsfähigkeit gefordert ist?

• Wie sollen Teams in Leitstellen, an Anlagen, im Außendienst oder bei Dienstleistern in kritischen Situationen handlungssicher sein, wenn sie diese Lagen nie in realitätsnahen Szenarien geübt haben?

• Ab welchem Punkt wird aus formaler Compliance ein Organisationsverschulden, wenn die Verfassung des Personals und der Personalschutz nur über Zertifikate und Selbstauskünfte, nicht aber über gelebte Szenarien bewertet werden?

• Wer übernimmt Verantwortung für Außendienstteams, die im Rahmen der KRITIS-Lieferkette täglich exponiert unterwegs sind – oft allein, im direkten Kundenkontakt oder an sensiblen Anlagen, ohne den Schutzschirm der Zentrale?

• Wie sollen Betreiber ihrer Verantwortung gegenüber Aufsicht, Öffentlichkeit und eigener Geschäftsleitung nachkommen, wenn zur Verfassung des Personals bei sicherheitsrelevanten Dienstleistern lediglich Schulungsnachweise und Fragebögen vorliegen?

• Und wer definiert in Zukunft den Standard dafür, wie die Verfassung des Personals, die Handlungssicherheit, der Personalschutz und die Resilienz der Menschen in den sicherheitsrelevanten Teilen der KRITIS-Lieferkette überhaupt geprüft werden sollten?

Weiterführende Praxis-Perspektiven

Die offiziellen Informationen zum Gesetz kommen von der Bundesregierung.​

Ein möglicher Einstieg in die Praxisperspektive zu § 13 KRITIS‑DachG und Personalschutz in kritischen Bereichen ist dieser Beitrag:
https://guenther-pfeifer.de/kritis-dachgesetz-paragraf-13-physischer-schutz-selbstschutz/

Zur Frage, wie Personalschutz und physische Resilienz in KRITIS-Umgebungen praktisch zusammenlaufen, liefert dieser Beitrag weitere Überlegungen:
https://guenther-pfeifer.de/personalschutz-kritis-resilienz-2026/​

Wie sich der „Faktor Mensch“ in NIS‑2 und der Haftungslogik für Leitungsorgane niederschlägt, wird hier diskutiert:
https://guenther-pfeifer.de/nis-2-personalschutz-der-faktor-mensch-haftet/​

Einen Blick auf den Menschen im Mittelpunkt moderner Gewaltprävention und Szenario-Logik findest du hier:
https://guenther-pfeifer.de/mensch-mittelpunkt-gewaltpraevention/​

Und zur Rolle von Gewaltprävention in KRITIS- und Behördenkontexten, inkl. der Frage, wie Bedrohungslagen definiert und bewertet werden, hier:

Was ist Gewaltprävention für kritische Infrastrukturen (KRITIS)

Fazit

Das KRITIS‑Dachgesetz zieht die Schraube bei der Resilienz kritischer Infrastrukturen deutlich an – technisch, organisatorisch und rechtlich, wie es die Bundesregierung und die Gesetzesdokumente von Bundestag und Bundesrat zeigen.
Im Gesetz erscheint der Mensch als „personelle Maßnahme“ und als Teil des Sicherheitsmanagements für eigenes Personal und das Personal externer Dienstleister; in der Praxis entscheidet genau dieser Faktor darüber, ob eine kritische Infrastruktur in der Krise wirklich stabil bleibt.​

Echte Resilienz nach § 13 KRITIS‑DachG ist nicht delegierbar. Wer die Verfassung des Personals bei Betreibern und sicherheitsrelevanten Dienstleistern ignoriert, öffnet die Tür für das Organisationsverschulden.

Solange Verfassung des Personals, Personalschutz, Außendienst und szenariobasierte Trainings nicht systematisch in Risikoanalyse, Resilienzplan und die Prüfung sicherheitsrelevanter Dienstleister integriert sind, bleibt eine Lücke zwischen formaler Gesetzeserfüllung und echter Krisenfestigkeit.
Wer diese Lücke schließt und den Faktor Mensch in den sicherheitsrelevanten Teilen der KRITIS‑Lieferkette ernsthaft prüft, setzt damit faktisch den neuen Standard – und kann seine Verantwortung gegenüber Aufsicht, Öffentlichkeit und Auftraggebern besser begründen.

Dieser Beitrag stellt keine Rechtsberatung dar, sondern eine fachliche Einordnung aus Sicht von Resilienz, Gewaltprävention und Personalschutz im Kontext des KRITIS‑Dachgesetzes.