Newsletter


KRITIS-Dachgesetz: Warum die Gefährdungsbeurteilung jetzt neu gedacht werden muss
Ist Ihre Gefährdungsbeurteilung auf die Herausforderungen der Zukunft vorbereitet?
Viele Unternehmen beantworten diese Frage spontan mit einem klaren "Ja". Schließlich werden Gefährdungsbeurteilungen regelmäßig erstellt, aktualisiert und dokumentiert. Doch mit dem Inkrafttreten des KRITIS-Dachgesetzes (KRITIS-DachG) hat sich der Blick auf Risiken grundlegend verändert – insbesondere für Betreiber Kritischer Infrastrukturen.
Während sich der Arbeitsschutz bislang vor allem auf klassische Gefährdungen wie Maschinen, Gefahrstoffe, Ergonomie oder Absturzrisiken konzentrierte, fordert das KRITIS-Dachgesetz einen deutlich umfassenderen Ansatz: Resilienz.
Vom klassischen Arbeitsschutz zum All-Gefahren-Ansatz
Das neue Gesetz verfolgt einen sogenannten All-Gefahren-Ansatz. Unternehmen sollen sich nicht mehr ausschließlich auf alltägliche betriebliche Risiken vorbereiten, sondern auch auf außergewöhnliche Ereignisse, die den Betrieb erheblich beeinträchtigen oder sogar zum Stillstand bringen können.
Dazu gehören beispielsweise:
- Terroristische Anschläge
- Sabotage und Innentäter (Insider Threat)
- Extremwetter und Naturkatastrophen
- Stromausfälle (Blackout)
- Ausfälle kritischer Infrastrukturen
- Lieferkettenunterbrechungen
- Personelle Engpässe
- Hybride Bedrohungen
- Pandemien
Die zentrale Frage lautet daher nicht mehr nur:
"Wie schützen wir unsere Beschäftigten?"
Sondern ebenso:
"Wie stellen wir sicher, dass unser Unternehmen auch in außergewöhnlichen Krisensituationen handlungsfähig bleibt?"
Arbeitsschutz wird zum Bestandteil der Unternehmensresilienz
Mit dem KRITIS-Dachgesetz wachsen Bereiche zusammen, die in vielen Unternehmen bislang getrennt organisiert waren.
Dazu gehören unter anderem:
- Arbeitsschutz
- Brandschutz
- Business Continuity Management (BCM)
- Notfall- und Krisenmanagement
- Informationssicherheit
- Werkschutz
- Gebäudemanagement
Für Fachkräfte für Arbeitssicherheit bedeutet dies eine neue Rolle. Sie entwickeln sich zunehmend von klassischen Beratern im Arbeitsschutz zu wichtigen Partnern beim Aufbau einer resilienten Unternehmensorganisation.
Organisatorische Maßnahmen rücken stärker in den Fokus
Resilienz entsteht nicht allein durch Technik. Ebenso entscheidend sind funktionierende organisatorische Abläufe.
Dazu zählen beispielsweise:
- Zutritts- und Besucherkonzepte
- Alarmierungs- und Kommunikationswege
- Evakuierungsorganisation
- Vertretungsregelungen
- Krisenkommunikation
- Notfall- und Wiederanlaufpläne
Gerade in außergewöhnlichen Ereignissen entscheidet häufig nicht die Technik über den Erfolg – sondern die Organisation.
Unterweisungen und Übungen neu denken
Auch Unterweisungen müssen künftig erweitert werden. Mitarbeitende sollten nicht nur auf klassische Arbeitsunfälle vorbereitet sein, sondern beispielsweise auch auf:
- Blackout-Szenarien
- Sabotage
- Terrorlagen
- Kommunikationsausfälle
- Cyberangriffe mit Auswirkungen auf den Betrieb
- Evakuierungen bei komplexen Gefahrenlagen
Ebenso wichtig sind regelmäßige Übungen. Nur wer Abläufe trainiert, erkennt organisatorische Schwachstellen, bevor sie im Ernstfall zum Problem werden.
Die Dokumentation wird zum Nachweis der Resilienz
Mit den neuen Anforderungen wächst auch die Bedeutung einer nachvollziehbaren Dokumentation.
Unternehmen sollten künftig unter anderem dokumentieren:
- Risikoanalysen
- erweiterte Gefährdungsbeurteilungen
- organisatorische Schutzmaßnahmen
- Notfall- und Resilienzpläne
- durchgeführte Übungen
- Verantwortlichkeiten und Entscheidungswege
Eine gut strukturierte Dokumentation schafft nicht nur Rechtssicherheit, sondern verbessert gleichzeitig die Krisenfähigkeit der gesamten Organisation.
Unser Fazit
Das KRITIS-Dachgesetz verändert den Arbeitsschutz nachhaltig. Die klassische Gefährdungsbeurteilung entwickelt sich zu einem Instrument, das weit über die Betrachtung einzelner Arbeitsplätze hinausgeht. Sie wird zu einem zentralen Baustein der Unternehmensresilienz.
Unternehmen, die ihre Gefährdungsbeurteilungen frühzeitig um den All-Gefahren-Ansatz erweitern, schaffen nicht nur die Grundlage für die Erfüllung neuer gesetzlicher Anforderungen. Sie stärken gleichzeitig ihre Organisation gegenüber Krisen, erhöhen die Sicherheit ihrer Beschäftigten und verbessern ihre Handlungsfähigkeit im Ernstfall.
Die KritisSEC by ratiosec unterstützt Unternehmen dabei, den Arbeitsschutz mit Resilienzmanagement, organisatorischer Sicherheit und digitalen Lösungen zu verbinden. Von der Erweiterung bestehender Gefährdungsbeurteilungen über den Aufbau von struktuierten Organisationsstrukturen bis hin zur digitalen Umsetzung im EHS-Managementsystem begleiten wir unsere Kunden auf dem Weg zu einer zukunftssicheren Sicherheitsorganisation.

Sabotage beginnt oft im Inneren – Warum Unternehmen das Risiko von Innentätern nicht unterschätzen sollten
"Die größte Gefahr kommt von außen."
Diesen Satz höre ich in Gesprächen mit Unternehmen immer wieder. Doch gerade im Bereich Kritischer Infrastrukturen zeigt sich ein anderes Bild: Nicht jede Bedrohung muss erst das Werkstor überwinden.
Mit dem KRITIS-Dachgesetz rückt deshalb ein Risiko stärker in den Fokus, das lange Zeit nur selten Bestandteil von Gefährdungsbeurteilungen war – Sabotage durch Innentäter (Insider Threats).
Was bedeutet "Innentäter"?
Ein Innentäter ist nicht zwangsläufig ein krimineller Mitarbeiter. Es handelt sich um Personen, die aufgrund ihrer Tätigkeit berechtigten Zugang zu Gebäuden, Anlagen, Informationen oder Prozessen haben und diesen Zugang vorsätzlich oder grob fahrlässig missbrauchen.
Das können beispielsweise sein:
- Mitarbeitende
- Fremdfirmen
- Dienstleister
- Zeitarbeitskräfte
- Wartungsunternehmen
Gerade weil diese Personen die Abläufe kennen und über Zugangsberechtigungen verfügen, können bereits kleine Manipulationen erhebliche Auswirkungen auf den Betrieb haben.
Sabotage ist mehr als Sachbeschädigung
Viele verbinden Sabotage mit zerstörten Maschinen oder beschädigten Anlagen.
In der Praxis beginnt Sabotage jedoch häufig deutlich unscheinbarer:
- Sicherheitsvorkehrungen werden bewusst umgangen.
- Zutrittsberechtigungen werden weitergegeben.
- Fremde Personen werden unkontrolliert mit auf das Betriebsgelände genommen.
- Notausgänge werden blockiert.
- Wartungsarbeiten werden nicht ordnungsgemäß durchgeführt.
- Kritische Informationen gelangen in falsche Hände.
Nicht jede dieser Handlungen ist böswillig – doch jede einzelne kann die Sicherheit eines Unternehmens erheblich beeinträchtigen.
Prävention beginnt bei der Organisation
Technische Schutzmaßnahmen wie Kameras oder Zutrittskontrollen sind wichtig. Sie ersetzen jedoch keine funktionierende Sicherheitsorganisation.
Wirksame Prävention beginnt mit klaren Prozessen:
✔ geregelte Zutritts- und Besucherkonzepte
✔ eindeutige Verantwortlichkeiten
✔ Sensibilisierung der Beschäftigten
✔ strukturierte Fremdfirmenkoordination
✔ regelmäßige Unterweisungen
✔ nachvollziehbare Dokumentation
Eine gute Sicherheitskultur sorgt dafür, dass Auffälligkeiten frühzeitig erkannt und offen angesprochen werden können – ohne Misstrauen zu fördern.
Arbeitsschutz und Unternehmenssicherheit wachsen zusammen
Mit dem KRITIS-Dachgesetz wird deutlich: Arbeitsschutz endet nicht mehr ausschließlich an der Maschine oder am Arbeitsplatz.
Die Gefährdungsbeurteilung entwickelt sich zunehmend zu einem Instrument, das auch organisatorische Risiken betrachtet. Sabotage, Innentäter und physische Sicherheit werden künftig stärker in bestehende Sicherheitskonzepte integriert werden müssen.
Unser Fazit
Unternehmen müssen heute nicht nur technische Risiken beherrschen, sondern auch ihre organisatorische Widerstandsfähigkeit stärken.
Wer Verantwortlichkeiten klar regelt, Prozesse überprüft und seine Beschäftigten einbindet, reduziert nicht nur das Risiko von Sabotage. Er schafft gleichzeitig eine resiliente Organisation, die auch in außergewöhnlichen Situationen handlungsfähig bleibt.
Die KritisSEC by ratiosec unterstützt Unternehmen dabei, Gefährdungsbeurteilungen um KRITIS-relevante Risiken zu erweitern, Sicherheitsorganisationen aufzubauen und den All-Gefahren-Ansatz praxisnah umzusetzen.

