CER-Richtlinie & KRITIS-Dachgesetz 2026: Warum Resilienz beim Menschen beginnt

Das KRITIS-Dachgesetz ist in Kraft – und die meisten Betreiber haben ein Problem, das kein Sensorhersteller lösen kann.
Firewalls, Zäune und Backup-Systeme sind notwendige Infrastruktur. Aber sie schweigen, wenn Sekunden entscheiden. In dem Moment, in dem ein Mitarbeitender am Empfang einer Drohgebärde begegnet, ein CERT-Team unter der 24-Stunden-Meldepflicht einen bestätigten Angriff verarbeiten muss oder eine Leitstelle bei einem
Systemausfall die Koordination übernehmen soll  in genau diesen Momenten bestimmt der Faktor Mensch
über den Fortbestand kritischer Dienstleistungen. Resilienz ist kein IT-Feature. Sie ist ein strategischer Führungsauftrag.

Ein Fachbeitrag von Günther Pfeifer (Fachkraft für Gewaltprävention IHK, AMS-Beauftragter ISO 45001) und Ralf Königsmark (Fachkraft für Arbeitssicherheit VBG, Geprüfter Meister für Schutz und Sicherheit IHK).

1. CER-Richtlinie & KRITIS-Dachgesetz: Der neue Standard

Die EU-Richtlinie 2022/2557 (CER – Critical Entities Resilience) markiert einen Paradigmenwechsel: Erstmals stellt der europäische Gesetzgeber die physische Widerstandsfähigkeit kritischer Einrichtungen gleichrangig neben die Cybersicherheit. In Deutschland wird sie durch das KRITIS-Dachgesetz umgesetzt  verabschiedet vom Bundesrat am 6. März 2026 und seitdem unmittelbar geltendes Recht.

Was das konkret bedeutet: Betreiber in den zehn Sektoren Energie, Wasser, Ernährung, Gesundheit, Verkehr, Bankwesen, Finanzmarktinfrastruktur, digitale Infrastruktur, Weltraum und öffentliche Verwaltung müssen nachweisbar resiliente Strukturen vorhalten – nicht als einmalige Zertifizierung, sondern als laufender, auditierbarer Prozess.Der Gesetzgeber denkt dabei ausdrücklich über IT-Sicherheit hinaus: Sabotage, physische Angriffe, Naturkatastrophen und menschliches Versagen in der Krise sind gleichwertige Risikokategorien.

2. Biologie schlägt Checkliste: Stress im KRITIS-Sektor

Jeder Resilienzplan trifft in der Realität auf einen Faktor, der in keiner Norm beschrieben wird: die menschliche Stressphysiologie. Unter akutem Stress – ausgelöst durch eine Drohgebärde,einen Systemausfall oder einen eingehenden Cyberangriff – verändert sich das Verhalten messbar. Die Wahrnehmung verengt sich (Tunnelblick), Feinmotorik und kognitive Flexibilität degradieren, das Gehirn priorisiert instinktive Muster über analytisches Denken.

Für KRITIS-Organisationen ist das kein abstraktes Problem: Es ist der Grund, warum Evakuierungspläne in der Realübung scheitern, CERT-Analysten unter Zeitdruck Protokolle überspringen und Leitstellen in der ersten Minute eines Ausfalls wertvolle Sekunden verlieren. Resilienz bedeutet daher, die Lücke zwischen technischer Vorgabe und biologischer Reaktion durch gezieltes, wiederholtes Training zu schließen – nicht durch dickere Handbücher.

3. Der blinde Fleck: Warum Eskalationen nicht im Serverraum beginnen

Sicherheitsinvestitionen im KRITIS-Bereich fließen traditionell in Zugangsschutz, Sensorik und Redundanzsysteme. Der tatsächliche Ursprung von Eskalationen liegt jedoch woanders: am Empfang, beim Außendienst, in Wartungssituationen oder in der ersten Kommunikation nach einem erkannten Vorfall. Das sind menschliche Kontaktpunkte  und sie sind strukturell untertrainiert.

Ralf Königsmark bringt als Geprüfter Meister für Schutz und Sicherheit (IHK) die operative Expertise für physische Sicherheitsarchitektur in diese Gleichung ein: Sicherheitskonzepte, Lagepläne, Zugangsregeln. Günther Pfeifer ergänzt die zweite, entscheidende Ebene: die Handlungssicherheit der Menschen, die diese Konzepte in der Realität umsetzen müssen – unter Druck, unter Beobachtung, in Sekunden. Erst das Zusammenspiel beider Ebenen ergibt Resilienz im Sinne des KRITIS-Dachgesetzes.

4. Der Stress-Loop: Wenn Planung an Biologie scheitert

Ein zentrales Hindernis für professionelles Handeln in Extremsituationen ist der sogenannte Stress-Loop: Festgefahrene Überzeugungen und automatische Reaktionsmuster, die unter Hochstress aktiviert werden, bevor das rationale Denken greift. Wer nie trainiert hat, auf einen Alarm körperlich ruhig zu reagieren, wird es im Ernstfall nicht können – unabhängig von der Qualität seines Notfallplans.

Für KRITIS-Organisationen hat dieser Loop eine direkte operative Konsequenz: Reaktionsverzögerungen in der ersten Minute eines Vorfalls – ob physisch oder digital – können über die Erfüllbarkeit der gesetzlichen Meldepflichten entscheiden. Resilienz erfordert daher eine aktive Auseinandersetzung mit der mentalen Selbststeuerung aller Beteiligten: von der Sicherheitsfachkraft bis ins CERT-Team.

5. Arbeitsschutz als Compliance-Fundament (§ 5 & § 12 ArbSchG)

Die gesetzliche Basis für personelle Resilienz ist im deutschen Recht längst verankert sie wird im KRITIS-Kontext nur systematisch unterschätzt. Als AMS-Beauftragter (ISO 45001) verantwortet Günther Pfeifer die strukturierte Risikoidentifikation, interne Auditierung und auditfähige Dokumentation. Ralf Königsmark stellt als FASI (§ 6 ASiG) die rechtssichere Beratung der Geschäftsführung sicher.

• 
  Gefährdungsbeurteilung (§ 5 ArbSchG):
  
  Der Arbeitgeber muss Gefährdungen ermitteln – explizit einschließlich psychischer Belastungen (§ 5 Abs. 3 Nr. 6 ArbSchG). Im KRITIS-Sektor bedeutet das: Stressszenarien in Leitstellen, Eskalationspotenziale an Kontaktpunkten und Belastungsprofile in CERT-Schichtdiensten müssen dokumentiert und bewertet sein. Nicht optional – Pflicht.
• 
  Unterweisung (§ 12 ArbSchG):
  
  Mitarbeitende sind arbeitsplatzbezogen zu unterweisen und zu befähigen, Gefahren abzuwenden. Das ist die gesetzliche Brücke zwischen Gefährdungsbeurteilung und operativer Handlungssicherheit  und der rechtliche Auftrag für verhaltensorientierte Schulungen zur Gewaltprävention und Stressresilienz.
• Beratungspflicht (§ 6 ASiG):
  Als FASI (VBG) berät Ralf Königsmark die Geschäftsführung bei der Unfallverhütung und menschengerechten Arbeitsgestaltung – und stellt als QMB (ISO 9001) sicher, dass alle Maßnahmen in auditierbare, zertifizierbare Prozesse überführt werden.

6. CERT-Teams & Handlungsfähigkeit: Die vergessene Schnittstelle

CERT-Teams (Computer Emergency Response Teams) sind im KRITIS-Rahmen die erste digitale
Reaktionseinheit bei Sicherheitsvorfällen. Was in Jobbeschreibungen steht: technisches
Know-how, Protokollkenntnis, Toolchain-Expertise. Was in den Stellenbeschreibungen fehlt:
die Fähigkeit, unter extremem Zeitdruck, in Schichtdienst und bei eskalierender Alarmfrequenz
klare Entscheidungen zu treffen.

Die gesetzliche 24-Stunden-Meldepflicht nach BSI-Gesetz lässt keinen Spielraum. Wer einen erheblichen Sicherheitsvorfall zu spät oder unvollständig meldet, riskiert Bußgelder und Haftung auf Geschäftsführungsebene. Genau hier gilt das Gleiche wie am physischen Kontaktpunkt: Dieselben biologischen Stressreaktionen, die einen Mitarbeitenden am Empfang lähmen, treffen den CERT-Analysten beim ersten bestätigten Angriff wenn er nie in Echtzeit-Stressszenarien trainiert wurde.

Das KRITIS-Dachgesetz denkt Cyber und Physisch ausdrücklich zusammen. Die Konsequenz für die Gefährdungsbeurteilung: Psychische Belastungen durch CERT-Schichtdienst, Dauerverfügbarkeit und Entscheidungsdruck unter Meldepflicht sind nach § 5 Abs. 3 Nr. 6 ArbSchG zwingend zu erfassen und mit konkreten Schutzmaßnahmen zu hinterlegen.

7. Praxis-Check: Der Dreiklang für auditfähige Resilienz

Echte KRITIS-Resilienz entsteht nicht durch ein einzelnes Instrument, sondern durch das Zusammenspiel dreier Ebenen – die erst gemeinsam die Anforderungen von CER-Richtlinie, KRITIS-Dachgesetz und ArbSchG vollständig erfüllen:

• Physische Sicherheitsarchitektur (Ralf Königsmark, Meister für Schutz und Sicherheit IHK):
  Sicherheitskonzept, Lagepläne, Zugangsschutz, Evakuierungsorganisation – die strukturelle Grundlage, die das KRITIS-Dachgesetz als Mindestandforderung definiert.
• Verhaltensorientiertes Training (Günther Pfeifer, Fachkraft Gewaltprävention IHK):
  Durch die Gladiator Mind Methode und gezielte Ansätze zur Bewältigung von Angst am Arbeitsplatz
  lernen Teams, unter Druck handlungsfähig zu bleiben – an physischen Kontaktpunkten wie im CERT-Kontext.
• Auditfähige Dokumentation (AMS ISO 45001 / QMB ISO 9001):
  Alle Maßnahmen werden als belastbare, auditierbare Prozesse dokumentiert die Grundlage für jeden Resilienznachweis gegenüber Behörden, Versicherungen und der eigenen Geschäftsführung.

8. Fazit: Was Geschäftsführungen jetzt entscheiden müssen

Das KRITIS-Dachgesetz ist kein Zukunftsprojekt mehr. Es ist geltendes Recht und es beschreibt Resilienz als Führungsaufgabe, nicht als IT-Ticket. Wer den Faktor Mensch systematisch in seine Resilienzstrategie integriert,
erfüllt nicht nur die gesetzlichen Anforderungen von CER-Richtlinie und ArbSchG.Er schafft eine Organisation, die im Ernstfall tatsächlich funktioniert: an physischen Kontaktpunkten, in CERT-Umgebungen, in Leitstellen
überall dort, wo Sekunden entscheiden und Checklisten schweigen.

Technischer Schutz ist das Fundament. Menschliche Handlungssicherheit ist die Firewall.

Quellen: § 5 ArbSchG ·§ 12 ArbSchG ·Bundesrat 1062. Sitzung ·DGUV · BAuA