Personalschutz – Kritische Infrastruktur (KRITIS): Resilienz-Update 2026

Personalschutz – Kritische Infrastruktur (KRITIS): Resilienz-Update 2026

Stichtag 6. März 2026: Der Bundesrat befasst sich in der 1062. Sitzung mit dem KRITIS-Dachgesetz (Umsetzung CER / physische Resilienz). Gleichzeitig läuft für viele betroffene Organisationen die praktische NIS-2-Fristlogik: Registrierung, Pflichten, Nachweise. Wer in dieser Lage nur an IT, Technik und Dokumente denkt, übersieht den entscheidenden Engpass: den Menschen im operativen Betrieb. Denn Resilienz scheitert selten am Zaun – sie scheitert an fehlender Handlungsfähigkeit in den ersten Minuten einer realen Eskalation.

1) Physische Resilienz heißt Betriebsfähigkeit – nicht „mehr Objektschutz“

In vielen Unternehmen wird „physische Resilienz“ reflexartig auf bauliche und technische Maßnahmen verkürzt: Zutrittskontrolle, Video, Perimeter, neue Systeme. Das ist wichtig – aber es ist nicht der Kern. Kritische Dienstleistungen werden von Menschen betrieben: Instandhalter, Techniker, Leitstellen, Service-Teams, Bereitschaften. Genau diese Teams halten die Versorgung am Laufen, wenn Störungen auftreten, Zeitdruck steigt oder Unsicherheit in die Lage kommt. Damit diese Teams in solchen Momenten nicht handlungsunfähig werden, ist eine gezielte Ausbildung der operativen Handlungsfähigkeit in KRITIS-Organisationen die entscheidende Säule Ihrer Sicherheitsstrategie.“

Erfahren Sie hier mehr zur spezifischen Umsetzung im Sektor Medien & Kultur.

In KRITIS entscheidet sich Resilienz deshalb nicht nur in der Leitwarte, sondern draußen an der Schnittstelle: am Zugang, am Störort, am Übergabepunkt, bei Abschaltungen, bei Wartung, bei Konflikten mit Dritten. Wenn Mitarbeitende in solchen Momenten blockieren, zögern oder die Kontrolle verlieren, entsteht ein Dominoeffekt: Verzögerung, Fehler unter Stress, Kommunikationsabbrüche – und im schlimmsten Fall ein Ausfall, der vermeidbar gewesen wäre.

Operativer Personalschutz ist damit kein „weiches“ Thema und kein Security-Label. Er ist eine betriebliche Notwendigkeit: klare Prozesse, trainierbare Verhaltensmuster und ein System, das unter Druck funktioniert. Resilienz ist kein Zustand – Resilienz ist das, was Menschen im Ernstfall tun.

Vertiefung:
➤ KRITIS-Dachgesetz 2026: Physische Resilienz – was Betreiber wirklich leisten müssen
➤ Der Mensch im Mittelpunkt der modernen Gewaltprävention
➤ Warum KRITIS & Behörden spezifische Konzepte benötigen

2) Der blinde Fleck: Gewalt, Drohung und Druck in der Störungslage

Betreiber erleben es häufiger, als es intern sauber dokumentiert wird: Aggressionen an Pforten, Drohungen gegen Außenteams, Eskalationen bei Abschaltungen oder Baustellen, Druck durch Aktivisten oder aufgebrachte Bürger, Social-Media-Dynamiken (Filmen, Bloßstellen, Diffamieren) – während das Team eine kritische Störung behebt. In solchen Momenten wird Sicherheit nicht an der Technik gemessen, sondern an Verhalten und Führung.

Unter Stress verengt sich Wahrnehmung, Entscheidungen werden schlechter, Kommunikation wird unsauber. Wenn dann kein abrufbarer Handlungskreislauf vorhanden ist, wird aus einer lokalen Störung eine Lage, die den Betrieb destabilisiert. Genau hier gehört Personalschutz in die Systemlogik: Risikoanalyse, Rollen, Eskalationswege, Unterweisung – und regelmäßiges Üben.

Wer Gewalt gegen Mitarbeitende als „allgemeines Lebensrisiko“ abtut, riskiert nicht nur Gesundheit und Motivation, sondern auch Versorgungssicherheit und haftungsrelevante Fragen im Nachgang. Das ist der Punkt, an dem Resilienz praktisch wird – oder scheitert.

Vertiefung:
➤ Handlungskreislauf: Souveränität bei Gewalt gegen Mitarbeitende
➤ Organisationsverschulden: Haftungsrisiken für die Unternehmensleitung

3) Die Nachweiswende: NIS-2 (BSIG) & BSI-Katalog – was das für Personalschutz bedeutet

Zwei Entwicklungen laufen gerade zusammen: (1) physische Resilienz im KRITIS-Dachgesetz (CER-Umsetzung) und (2) die Governance- und Nachweislogik aus NIS-2 (BSIG). Das Ergebnis ist eine klare Erwartung an Betreiber: Nicht nur „Maßnahmen haben“, sondern Wirksamkeit nachweisbar machen.

§ 30 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen, um Risiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu begrenzen. § 38 BSIG bindet die Geschäftsleitung ein: Umsetzung und Überwachung der Maßnahmen – plus regelmäßige Schulung, damit Risiken bewertet und Entscheidungen verantwortet werden können. Verantwortung ist nicht delegierbar.

Der BSI-Anforderungskatalog zur Konkretisierung des § 8a BSIG beschreibt im Bereich „Personelle und organisatorische Sicherheit“ ein verpflichtendes Programm für Schulungen und Awareness – inklusive der Forderung nach:

• regelmäßiger und dokumentierter Unterweisung (Rollen, sichere Betriebsweisen),
• regelmäßiger und dokumentierter Unterrichtung über bekannte Bedrohungen,
• regelmäßigem und dokumentiertem Training des Verhaltens beim Auftreten sicherheitsrelevanter Ereignisse.

Die Prinzipien sind 1:1 auf physische Resilienz übertragbar: Personalschutz ist dann belastbar, wenn er wiederholbar trainiert und auditfähig dokumentiert ist. Nicht als Show – sondern als Betriebssystem für die Teams, die im Ernstfall die Versorgung sichern.

4) Methodik: Human-Resilience unter Stress – ohne Überforderung, aber mit Wirkung

In realen Bedrohungslagen hilft kein theoretisches Konzept, wenn es unter Adrenalin nicht abrufbar ist. Darum arbeite ich mit einem einfachen Prinzip: Was im Ernstfall funktionieren soll, muss vorher als Muster trainiert werden. Mein Ansatz (Stress-Loop) zielt genau darauf: Wahrnehmung stabilisieren, Entscheidungen vereinfachen, Kommunikation klar halten, Distanz und Positionierung sichern – und im Zweifel den sicheren Rückzug sauber einleiten, ohne das Team zu zerlegen.

Ich bin kein Sicherheitsdienst. Ich befähige Mitarbeitende – von Außenteams bis Führung – damit sie kritische Situationen früh erkennen, souverän steuern und den Betrieb handlungsfähig halten. Als AMS-Beauftragter und Fachdozent mit 25 Jahren Praxiserfahrung ist mein Schwerpunkt die Integration in bestehende Strukturen: Arbeitsschutz-Logik, Unterweisung, Prozessdesign, Wirksamkeitsnachweis.

Vertiefung:
➤ Stress-Loop: Mentale Mechanik unter Druck
➤ Grundlagen: Gewalt verstehen, um sie zu stoppen

5) Umsetzung im Betrieb: Vier Schritte – auditfähig und alltagstauglich

A) Risikoanalyse „Mensch“ (konkret, nicht abstrakt)
Wo entstehen Bedrohungslagen wirklich? Zugang, Störort, Übergaben, Abschaltungen, Kundenkontakt, Nachtschichten, Alleinarbeit. Ergebnis: priorisierte Risiko- und Maßnahmenkarte, anschlussfähig an Gefährdungsbeurteilungen und Resilienzplanung.

B) Prozessdesign & Eskalationswege
Wer entscheidet Abbruch/Rückzug? Wer alarmiert wen? Welche Stufen gibt es? Wie wird sauber an Leitstelle, Führung, Externe übergeben? Ergebnis: Rollen und Handlungslogik, die unter Stress verständlich bleibt.

C) Zielgruppentraining (Technik ≠ Pforte ≠ Führung)
Außenteams trainieren andere Muster als Empfang oder Führungskräfte. Das Training bleibt niedrigschwellig, realistisch, stressfest – und wird sauber dokumentiert. Ergebnis: Wirksamkeit im Alltag statt „einmaliger Workshop“.

D) Evaluation, Drills, Audit-Vorbereitung
Kurze Szenario-Checks (Drills), Lessons Learned, Verbesserungsschleifen. Ergebnis: Nachweisfähigkeit und kontinuierliche Verbesserung – nicht Papier-Resilienz.

6) Fazit: Die „letzte Meile“ der Resilienz ist der Mensch

Der 6. März 2026 ist kein PR-Datum. Er markiert den Punkt, an dem physische Resilienz und NIS-2-Governance in vielen Organisationen praktisch werden: Prozesse, Nachweise, Schulungspflichten, Umsetzungsdruck. Und genau hier entscheidet sich, ob Resilienz nur geplant ist oder ob sie im Ernstfall trägt

Frage 1: Was passiert am 6. März 2026 im Bundesrat?
Antwort: Der Bundesrat befasst sich in seiner 1062. Sitzung abschließend mit dem KRITIS-Dachgesetz, wodurch die physischen Resilienzpflichten (CER-Umsetzung) gesetzlich verankert werden.

Frage 2: Sind Geschäftsführungen persönlich haftbar?
Antwort: Ja, laut § 20 KRITISDachG muss die Geschäftsleitung Resilienzmaßnahmen anordnen und überwachen; bei grobem Organisationsverschulden drohen persönliche Haftungsrisiken.

Frage 3: Welche Rolle spielt der Personalschutz?
Antwort: Er ist Kernbestandteil der Sicherheit. Gemäß § 30 und § 38 BSIG müssen Betreiber regelmäßige Schulungen zur Handlungsfähigkeit der Teams bei Bedrohungen durchführen.

Frage 4: Wie lange ist die Schonfrist nach der Verabschiedung des Gesetzes?
Antwort: Rein formal gibt es für die Haftung der Geschäftsführung keine Schonfrist. Die Organisationshaftung greift unmittelbar mit Inkrafttreten des Gesetzes.

Viele wiegen sich in Sicherheit und denken: „Es wird schon nicht direkt geprüft.“ Aber der Tag wird kommen – sei es durch ein offizielles Audit oder, was viel schlimmer ist, durch einen realen Zwischenfall. In diesem Moment wird die Dokumentation der letzten Monate geprüft. Das Problem: Wenn dann alle gleichzeitig reagieren, werden die Experten für spezialisierte Gewaltprävention und physische Resilienz extrem knapp. Wer heute handelt, sichert sich nicht nur die rechtliche Absicherung, sondern auch die notwendigen Kapazitäten für eine saubere Umsetzung.

GÜNTHER PFEIFER
Spezialist für Human-Resilienz & operativen Personalschutz in KRITIS
AMS-Beauftragter | International Force Options Instructor | 25 Jahre Praxiserfahrung
Kein Sicherheitsdienst 

Rechtlicher Hinweis

Dieser Beitrag dient der Information über den Stand der öffentlichen Diskussion und Quellenlage (Stand: 03.03.2026). Er stellt keine Rechtsberatung dar. Für verbindliche Auskünfte wenden Sie sich an einen Fachanwalt für Arbeitsrecht oder Verwaltungsrecht. Die Inhalte wurden nach bestem Wissen und unter Verwendung öffentlich zugänglicher Quellen erstellt. Gesetzesänderungen nach dem Stand März 2026 sind nicht berücksichtigt.