BSI-Zutrittskontrolle und Besuchermanagement für KRITIS-Unternehmen

Unternehmen, die als KRITIS-Betreiber eingestuft sind, müssen ihre Sicherheitskonzepte überprüfen und anpassen. Wir geben einen Überblick über die wichtigsten Hintergründe und zeigen, welche Rolle moderne Besuchermanagement-Systeme dabei spielen können

Worum geht es beim KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz dient der Umsetzung der EU-Richtlinie CER (Critical Entities Resilience, EU 2022/2557) in nationales Recht und stärkt die Resilienz kritischer Infrastrukturen in Deutschland. Es definiert, welche Einrichtungen als KRITIS-Unternehmen gelten, und formuliert verbindliche Anforderungen an deren physische Sicherheit – etwa im Hinblick auf Schutzmaßnahmen, Risikobewertungen und Notfallvorsorge. Dazu gehört neben Zutrittskontrollen beispielsweise auch der Schutz vor Naturgefahren oder Sabotage.

Während das KRITIS-Dachgesetz vor allem die physische Sicherheit und Widerstandsfähigkeit kritischer Einrichtungen adressiert, verfolgt die europäische Richtlinie NIS2 einen anderen Schwerpunkt: Sie definiert Anforderungen an Cybersicherheit, IT Risikomanagement und Meldepflichten bei Sicherheitsvorfällen.

Viele Organisationen werden künftig von beiden Regelwerken gleichzeitig betroffen sein – allerdings mit unterschiedlichen Anforderungen und Schwerpunkten.

In einem separaten Beitrag erläutern wir, welche Anforderungen die NIS2-Richtlinie an Besuchermanagement und Zutrittskontrollen aus IT-Sicht stellt und wie Unternehmen diese umsetzen können.

Betroffen sind durch das KRITIS-Dachgesetz insbesondere Unternehmen der Grundversorgung, etwa in den Bereichen Energie, Wasser, Verkehr oder Gesundheit, in der Regel ab einer Versorgungsgröße von etwa 500.000 Personen. Ziel ist es, die Versorgungssicherheit systemrelevanter Dienstleistungen langfristig zu stärken.

Was hat KRITIS mit Zutrittskontrollen und Besuchermanagement zu tun?

Im Kontext von KRITIS geht es bei Zutrittskontrollen um weit mehr als klassische Schließsysteme. Kritische Einrichtungen wie Rechenzentren, Leitstellen oder
Produktionsanlagen müssen nicht nur digital, sondern auch physisch zuverlässig geschützt werden.

Mechanische Schlüssel reichen hierfür in der Regel nicht aus, da sie keine revisionssichere Protokollierung von Zutritten ermöglichen. Damit fehlt im Ernstfall die notwendige Nachvollziehbarkeit, beispielsweise bei Sicherheitsvorfällen oder Audits. Gerade diese Transparenz gewinnt jedoch an Bedeutung: Sicherheitsvorfälle müssen gemeldet werden, und Betreiber kritischer Infrastrukturen müssen nachvollziehen können, wer wann Zugang zu sensiblen Bereichen hatte.

KRITIS-Betreiber sind daher gefordert, ganzheitliche Sicherheitskonzepte umzusetzen. Dazu zählen beispielsweise:

• Perimetersicherung (z. B. Zäune, Zufahrtskontrollen)
• Gebäudesicherheit durch elektronische Zutrittssysteme
• Absicherung besonders sensibler Bereiche
• revisionssichere Dokumentation von Zutritten und Besucherprozessen

Der Gesetzgeber schreibt dabei keine konkreten Technologien vor, sondern fordert Sicherheitsmaßnahmen nach dem „Stand der Technik“. Orientierung bieten etablierte Standards wie ISO/IEC 27001 oder der BSI-Grundschutz.

Entscheidend ist zudem, dass eingesetzte Systeme nicht nur implementiert, sondern auch regelmäßig überprüft und aktualisiert werden. Moderne Besuchermanagement-Lösungen verbinden physische Sicherheitsmaßnahmen mit digitalen Prozessen und schaffen so ein integriertes, nachvollziehbares Zutrittsmanagement.

Zutrittskontrolle nach BSI-Grundschutz

Im Baustein INF.1.A7 „Zutrittsregelung und -kontrolle“ definiert der BSI-Grundschutz grundlegende Anforderungen an die physische Zugangssicherung von Gebäuden und Räumen.

Dazu gehört unter anderem:

• geregelter und kontrollierter Zutritt zu schutzbedürftigen Bereichen
• dokumentierte Zutrittsberechtigungen
• ein strukturiertes Zutrittskonzept

Für KRITIS-Betreiber gehen die praktischen Anforderungen häufig jedoch deutlich über diese Mindestanforderungen hinaus. Gerade im Zusammenspiel mit regulatorischen Vorgaben und internen Sicherheitsrichtlinien gewinnen daher digitale Systeme für ISO 27001-konforme Zutrittskontrollen und Besuchermanagement zunehmend an Bedeutung.