Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
← Alle Beiträge
KRITIS · Dachgesetz · NIS-2

KRITIS Logistikzentrum: Pflichten und Schutzkonzept 2026

KRITIS Logistikzentrum: Schwellenwerte, BBK-Registrierung, Perimeterschutz und 14-Wochen-Plan für Werkleiter ab 100.000 m² Fläche.

Dr. Raphael Nagel (LL.M.) & Marcus Köhnlein
Investor & Autor · Founding Partner
Auf LinkedIn folgen

Ein Logistikzentrum mit 100.000 m² oder mehr ist kein Lager. Es ist ein Versorgungsknoten. Sobald die Umschlagleistung die Schwellen der KritisV überschreitet, gelten dieselben Pflichten wie für ein Umspannwerk oder ein Klinikum. Dieser Text richtet sich an Werkleiter und Sicherheitsleiter, die wissen müssen, welche Nachweise das BBK 2026 prüft und wie ein Schutzkonzept aussieht, das einen externen Auditor passiert.

KRITIS Logistikzentrum: Wann ein Standort unter das Dachgesetz fällt

Das KRITIS-Dachgesetz adressiert Anlagen, deren Ausfall die Versorgung der Bevölkerung gefährdet. Für Logistik gelten zwei Trigger. Erstens: eine Umschlagleistung über 17 Mio. Tonnen pro Jahr. Zweitens: die Funktion als kritische Komponente in Versorgungsketten der Sektoren Ernährung, Gesundheit oder Energie. Ein Zentrallager, das die Apothekenversorgung einer Region trägt, fällt auch unter 17 Mio. Tonnen unter das Gesetz. Maßgeblich ist die Bedeutung in der Kette, nicht die Tonnage allein. Die rechtliche Grundlage liegt im Entwurf der Bundestag-Drucksache 20/9262.

Für den KRITIS Sektor Transport und Verkehr konkretisiert die BSI-Kritisverordnung die Anlagenkategorien. Güterverkehrszentren mit überregionaler Bedeutung sind erfasst, ebenso Knotenpunkte mit mehr als 50.000 Sendungen pro Tag. Cross-Docking-Hubs der KEP-Branche überschreiten diese Schwelle regelmäßig.

Wer KRITIS-Betreiber ist, fällt parallel unter NIS-2. Damit entstehen zwei Regelregime in einem Standort: physische Sicherheit nach Dachgesetz, Cybersicherheit nach NIS-2. Beide verlangen Risikomanagement, Meldewege und persönliche Verantwortung der Leitung. Die NIS-2-Richtlinie regelt das in Artikel 20 und 21.

Die Registrierungspflicht beim BBK greift innerhalb von drei Monaten nach Inkrafttreten oder nach Schwellenüberschreitung. Wer nicht registriert, riskiert Bußgelder bis 10 Mio. Euro oder 2 Prozent des Konzernumsatzes nach dem aktuellen Entwurfsstand Bundestag-Drucksache 20/9262. Der nächste Schritt ist eine saubere Schwellenwertprüfung: KRITIS-Sektoren im Überblick.

Bedrohungslage 2026: Was Logistikzentren konkret trifft

Logistikzentren haben eine eigene Angriffsfläche. Verladerampen sind offene Tore mit definierten Zeitfenstern. Cross-Docking-Bereiche transportieren Ware ohne Zwischenlagerung, jede Störung schlägt sofort auf den Versand durch. Kühlketten reagieren auf Stromausfälle innerhalb von Stunden mit Totalverlust.

Diebstahl von Ladegut verursacht laut BDSW-Branchendaten einen dokumentierten Schaden von 1,3 Mrd. Euro pro Jahr in Deutschland. Sabotage an Kühlanlagen oder an der Sortertechnik eines Cross-Docking-Centers wirkt kaskadierend: Ein Ausfall von acht Stunden in einem zentralen Pharma-Hub trifft 1.200 Apotheken am Folgetag. [Quelle einfügen]

Drohnenüberflüge zur Aufklärung sind 2025 zur Normalität geworden. Beobachtet werden Verladezeiten, Lkw-Routen, Schichtwechsel und die Position der Werkschutzstreife. Eine Drohne über 200 Meter Höhe ist optisch nicht zu erfassen, RF-Detektion ist Pflicht.

Innentäter mit Werksausweis verantworten laut BDSW-Erhebung 38 Prozent aller registrierten Vorfälle. Bei Subunternehmer-Spediteuren und Leiharbeitern im Pickbereich liegt der Anteil höher. Hybride Angriffe kombinieren physisches Eindringen mit IT-Manipulation am Warehouse Management System. Ein gefälschter Lieferschein und ein manipulierter Tor-Code genügen, damit ein realer Lkw das Gelände mit nicht freigegebener Ware verlässt.

Schutzkonzept-Pflicht nach KRITIS-Dachgesetz: Mindestinhalte

Das Dachgesetz verlangt einen All-Gefahren-Ansatz. Dokumentiert werden müssen Naturereignisse, Sabotage, Terror, Innentäter und cyber-physische Angriffe. Ein Schutzkonzept, das nur Diebstahl adressiert, besteht den Audit nicht.

Der Perimeter ist in drei Zonen zu gliedern. Zone 1: äußerer Zaun mit Frühwarnung. Zone 2: Hofbereich mit Verladerampen, Trailerpark, Tankstelle. Zone 3: Hochsicherheitszone mit Schaltzentrale, Serverraum und WMS-Terminal. Jede Zone braucht eigene Detektion, eigene Verifikation, eigene Eskalation.

Die Detektion-zu-Verifikation-Zeit muss unter 90 Sekunden liegen und messbar nachgewiesen werden. Das ist kein SLA-Versprechen, sondern Auditgegenstand. Der Auditor verlangt Logs aus dem VMS und dem Leitstandsystem.

Redundanz heißt: keine Einzelfehlerstelle. Stromausfall, Funkstörung, Personalausfall: jedes Szenario braucht einen dokumentierten Fallback. USV für Detektionssysteme, alternative Funkkanäle, Rufbereitschaft mit zwei unabhängigen Personen.

Meldewege an das BBK sind verbindlich. Erhebliche Störungen sind innerhalb 24 Stunden zu melden, ein Vollbericht folgt innerhalb 72 Stunden. Das Schutzkonzept ist alle zwei Jahre durch einen unabhängigen Auditor zu prüfen. Eine interne Revision genügt nicht.

Perimeterschutz mit Patrouillerobotern: Architektur für 100.000+ m²

Ein Standort mit 100.000 m² hat typisch 1.400 bis 1.800 Meter Zaunlinie. Eine Personalstreife braucht für eine Runde 35 bis 45 Minuten. In dieser Zeit ist 95 Prozent des Perimeters unbeobachtet. Patrouilleroboter ändern diese Mathematik.

Der QR-2 Außenperimeter übernimmt den äußeren Zaun. Wärmebild detektiert Personen bei Nebel und Dunkelheit bis 80 Meter. Der Roboter fährt 24/7 im Außeneinsatz, zwei Einheiten decken eine 1.500-Meter-Linie mit Detektion-zu-Verifikation unter 60 Sekunden ab.

Der QR-3 mit Drohnendetektion sichert Tor- und Rampenbereich. LiDAR erkennt Personen, Fahrzeuge und unbefugte Annäherung an Verladerampen. Die RF-Signaturerkennung detektiert Drohnen im Luftraum bis 1,2 km Reichweite. An einem Cross-Docking-Hub mit 40 Toren ist ein QR-3 pro Rampenseite Standardauslegung.

Der QR-1 deckt Innenflächen ab: Lagerhallen, Bürotrakte, Cross-Docking-Bereich. RGB-Kamera plus Audioanomalie-Erkennung registriert Glasbruch, Schreie, ungewöhnliche Maschinengeräusche. Die Lautstärke einer Sortermaschine liegt bei 78 dB, das System ist auf diese Grundlast kalibriert.

Übergabepunkte zwischen den Zonen brauchen eine definierte Latenz unter 5 Sekunden für die Datenweiterleitung an den Leitstand. Die Integration in bestehende Zutrittskontrolle und VMS läuft über ONVIF Profile S und T. Eine proprietäre Insellösung wird vom Auditor moniert.

TCO-Vergleich: 24/7-Wachposten gegen Roboter-Patrouille

Ein klassischer 24/7-Wachposten kostet 15.000 bis 25.000 Euro pro Monat. Eingerechnet sind Sozialabgaben nach Manteltarifvertrag, Urlaubsvertretung und Schichtzuschläge für Nacht-, Sonn- und Feiertagsdienste. Hinzu kommen §34a-Nachweis und Sachkundeprüfung. Die untere Grenze gilt für ländliche Standorte mit niedrigem Lohnniveau, die obere für Ballungsräume.

Ein QR-2 im Robotics-as-a-Service Modell liegt bei 3.500 Euro pro Monat. Keine CapEx, Lieferzeit 48 Stunden, Mindestlaufzeit 24 Monate. Wartung, Software-Updates und Hardware-Tausch sind eingeschlossen.

Das Hybridmodell ist die operative Empfehlung. Ein Wachposten am Pförtnerhaus plus drei Roboter auf der Streckenpatrouille ersetzt sechs bis acht Posten bei vergleichbarer Abdeckung. Der Posten am Pförtnerhaus bleibt, weil Lkw-Anmeldung, Ausweisprüfung und Eskalation menschliche Entscheidung verlangen.

Der Personalengpass im Bewachungsgewerbe ist strukturell. Der BDSW meldet 22 Prozent unbesetzte Stellen, Tendenz steigend. Zusätzliche Roboter sind binnen 48 Stunden einsatzbereit, eine Personalrekrutierung mit §34a-Schulung dauert 8 bis 14 Wochen. Wer im Februar 2026 das Schutzkonzept einreicht und im April den Pilotbetrieb startet, hat keine zwei Quartale für Recruiting.

Detailrechnung im TCO-Vergleich Wachschutzkosten.

14-Wochen-Plan: Von der Registrierung bis zum Audit

Woche 1 bis 2: BBK-Registrierung vorbereiten und einreichen. Schwellenwertprüfung dokumentieren. KRITIS-Verantwortlichen mit Vertretung schriftlich benennen. Die Benennung ist Vorstandsentscheidung, nicht Aufgabe der Personalabteilung.

Woche 3 bis 5: Risikoanalyse nach All-Gefahren-Ansatz. Zonenkonzept zeichnen, Lückenanalyse der bestehenden Maßnahmen erstellen. Ergebnis ist eine Liste mit priorisierten Maßnahmen und Investitionssummen.

Woche 6 bis 8: Pilotbetrieb mit zwei QR-2 und einem QR-3. Detektion-zu-Verifikation messen, Daten an Leitstand anbinden, Schnittstellen zum WMS und Zutrittssystem testen. Pilotphase produziert die Logs, die der Auditor sehen will.

Woche 9 bis 11: Rollout auf Vollabdeckung. Werkschutz schulen, Eskalationsmatrix verteilen, Notfallübung mit dokumentierter Meldekette durchführen. Eine Übung pro Quartal ist Mindestmaß.

Woche 12 bis 14: Auditvorbereitung. Schutzkonzept dokumentieren, externer Pre-Audit beauftragen, Einreichung beim BBK. Wer hier in Verzug kommt, verliert das nächste Audit-Fenster und damit ein Jahr.

Eine Tageschronologie für die ersten zwei Wochen liegt in der Dachgesetz-Checkliste mit 14-Wochen-Plan. Die operative Anleitung zur Erstanmeldung steht in der BBK-Registrierung Schritt für Schritt.

Haftung des Vorstands und Werkleiters

Die persönliche Haftung der Leitungsorgane ist 2026 keine theoretische Größe. NIS-2 Artikel 20 und der Dachgesetz-Entwurf adressieren die Geschäftsleitung direkt. Bei Verletzung der Sorgfaltspflicht haftet die Person und nicht nur das Unternehmen.

Die dokumentierte Boardentscheidung zur Sicherheitsarchitektur ist Pflichtnachweis. Ein Protokoll mit Beschluss über Schutzkonzept, Budget und Verantwortlichkeit gehört in die Akten. Eine mündliche Zustimmung im Vorstand reicht nicht.

D&O-Versicherungen decken grobe Fahrlässigkeit bei fehlendem Schutzkonzept regelmäßig nicht. Die Police ist im Detail zu prüfen, bevor sich der Vorstand auf den Deckungsschutz verlässt. Ein Versicherungsmakler mit KRITIS-Erfahrung gehört in die Vorbereitung.

Der Sicherheitsleiter braucht ein schriftliches Mandat mit Budgetverantwortung. Ohne dieses Mandat fehlt der Nachweis einer funktionsfähigen Aufbauorganisation. Der Auditor fragt nach dem Organigramm, der Stellenbeschreibung und dem Budgetansatz.

Das Versäumnis einer BBK-Meldung innerhalb 24 Stunden ist ein eigenständiger Bußgeldtatbestand. Wer einen Vorfall am Freitagabend bemerkt und am Montagmorgen meldet, hat den Tatbestand erfüllt, unabhängig vom Vorfall selbst. Die Meldekette muss 24/7 funktionieren.

Nächster Schritt

Ein Werkleiter, der Anfang 2026 noch kein Schutzkonzept eingereicht hat, arbeitet gegen die Uhr. Die Frage ist nicht, ob das BBK prüft, sondern wann. Ein 14-Wochen-Plan ist ambitioniert, aber machbar, wenn Pilotbetrieb und Audit-Dokumentation parallel laufen.

Wer eine Bewertung des eigenen Standorts mit Zonenkonzept, Bestückungsplan und TCO-Rechnung will, vereinbart ein technisches Erstgespräch über Kontaktformular Quarero Robotics. Mitzubringen sind Lageplan, Zaunlänge, Tonnage und die Sektorenzuordnung der wichtigsten Kunden.

Übersetzungen

Mehr aus diesem Cluster

Call now+49 711 656 267 63Free quote · 24 hCalculate price →