KRITIS Solarpark: Pflichten und Schutz ab 104 MW

Mit der Novelle der KritisV und dem Inkrafttreten des KRITIS-Dachgesetzes verschiebt sich die Pflichtenlage für Photovoltaik-Freiflächenanlagen deutlich. Viele Asset Manager sind erstmals Betreiber Kritischer Infrastruktur, ohne es zu wissen. Dieser Beitrag zeigt den Schwellenwert, den Pflichtenkatalog, die operative Schadenslage und den belastbaren Kostenvergleich zwischen klassischem Wachschutz und autonomer Perimeterüberwachung.

KRITIS Solarpark: Wann eine Freiflächenanlage unter das Dachgesetz fällt

Der relevante Schwellenwert für Energieerzeugungsanlagen liegt bei 104 MW installierter Nettoleistung nach KritisV Anlage 1 Sektor Energie. Wer diesen Wert erreicht, ist Betreiber im Sinne der Verordnung. Die früher zirkulierende Hausnummer von 420 MW ist nicht mehr maßgeblich. Quelle ist die BSI-Kritisverordnung in der aktuellen Fassung.

Mehrere Teilfelder eines Betreibers werden zusammengerechnet, sobald sie netztechnisch oder vertraglich verbunden sind. Ein Portfolio aus vier 30-MW-Feldern an einem gemeinsamen Umspannwerk überschreitet damit den Schwellenwert. Die Aggregationsregel greift unabhängig davon, ob die Felder rechtlich in separaten Projektgesellschaften liegen, solange wirtschaftliche Steuerung und Netzanschluss verbunden sind.

Direktvermarkter und PPA-Abnehmer sind nicht Betreiber im Sinne der KritisV. Die Pflicht trifft den Anlagenbetreiber, also die Gesellschaft, die die Erzeugungsanlage technisch verantwortet. Pachtkonstruktionen ändern daran nichts.

Mit Inkrafttreten des KRITIS-Dachgesetzes gilt zusätzlich der physische Schutzpflichtenkatalog nach §11. Der Bundestag hat die Pflichten zu Resilienzplan, physischem Schutz und 24-Stunden-Meldung in der Drucksache 20/9262 festgelegt. Die Registrierungspflicht beim BBK greift innerhalb von drei Monaten nach Überschreiten des Schwellenwerts. Details zur Sektorlogik der KritisV helfen bei der ersten Einordnung.

Schadenslage: Kupfer, Wechselrichter, Modulklau

Wechselrichter im Wert von 8.000 bis 25.000 Euro pro Stück sind das Primärziel organisierter Banden. Ein einzelner Zugriff entfernt regelmäßig 10 bis 20 Geräte in einer Nacht. Der Wiederbeschaffungswert übersteigt schnell die 200.000-Euro-Marke, bevor Ertragsausfall und Versicherungsfranchise berücksichtigt sind.

Erdungskabel und DC-Strings enthalten Kupfer mit Marktwert 8 bis 9 Euro pro Kilogramm Stand 2025. Ein 50-MW-Feld trägt mehrere Tonnen Kupfer im Boden und in den Stringverbindungen. Täter graben gezielt entlang der Modulreihen und schneiden Kabel in Abschnitten, die Wiederherstellung kostet Mehrfaches des Schrottwerts.

Modulschäden durch Vegetation, Sturm und Vandalismus erzeugen Ertragsausfälle von 400 bis 1.200 Euro pro MWp und Tag. Bei einer 150-MW-Anlage mit 10 Prozent betroffener Fläche summiert sich der Ausfall pro Woche schnell auf sechsstellige Beträge.

Versicherer fordern dokumentierte Bewachung ab 50 MW, sonst gilt ein Selbstbehalt über 50.000 Euro je Schadensfall. Ohne Nachweis wirksamer Detektion sinkt die Erstattungsquote zusätzlich. Brände durch Lichtbögen bleiben in unbewachten Anlagen im Schnitt 47 Minuten unentdeckt. In dieser Zeit greifen sie auf benachbarte Strings über und führen zu Totalverlust eines Trafostationsabschnitts.

Pflichtenkatalog nach KRITIS-Dachgesetz für PV-Betreiber

Der Resilienzplan mit Risikoanalyse ist alle 24 Monate zu erstellen und dem BBK auf Anforderung vorzulegen. Er muss physische und cyberbezogene Bedrohungen, Abhängigkeiten und Wiederanlaufzeiten benennen. Eine reine ISO-27001-Dokumentation reicht nicht aus, weil der physische Schutzteil eigenständig nachgewiesen werden muss.

Physische Schutzmaßnahmen gegen Eindringen, Sabotage und Manipulation am Perimeter sind verpflichtend. Das gilt am Außenzaun, an Trafostationen und an Wechselrichterstationen. Eine Türkontaktmeldung am Container ist kein Perimeterschutz.

Die Meldepflicht erheblicher Vorfälle greift binnen 24 Stunden an das BSI, der vollständige Bericht ist binnen 30 Tagen nachzureichen. Die Koordination der Meldewege erfolgt durch das BBK. Betreiber benennen eine verantwortliche Person mit Erreichbarkeit 24/7 und einer dokumentierten Vertretungsregelung.

Nachweis wirksamer Detektion am Außenzaun ist Pflicht, nicht nur am Containergebäude oder an der Trafostation. Eine vollständige Übersicht der Pflichten findet sich unter Anforderungen nach KRITIS-Dachgesetz und in unserer 12-Pflichten-Checkliste 2026.

Warum klassischer Wachschutz im Solarpark nicht funktioniert

Eine 200-Hektar-Anlage hat 6 bis 8 Kilometer Zaunlänge. Ein Streifengang zu Fuß dauert 90 Minuten, mit Fahrzeug 35 bis 45 Minuten. In den Pausen zwischen zwei Streifen bleibt der Perimeter unbeobachtet. Täter kennen diese Frequenz und planen entsprechend.

Ein stationärer 24/7-Posten kostet 15.000 bis 25.000 Euro pro Monat und deckt nur einen Sichtpunkt ab. Für einen mittleren Solarpark werden zwei bis drei Posten benötigt, ohne dass damit der gesamte Zaun einsehbar ist. Der TCO-Vergleich zu klassischem Wachschutz zeigt die vollständige Rechnung.

Der Personalmangel verschärft die Lage. Laut BDSW-Branchenzahlen fehlen 2025 rund 50.000 Sicherheitskräfte in Deutschland. Verfügbare Kräfte konzentrieren sich auf urbane Aufträge mit besserer Bezahlung, ländliche Solarparks bekommen oft nur Teilbesetzung.

Kameraketten ohne Verifikation produzieren bis zu 95 Prozent Fehlalarme durch Wildtiere und Vegetation. Leitstellen schalten die Sensitivität herunter und übersehen dann reale Vorfälle. Die Reaktionszeit der Polizei in ländlichen Regionen liegt bei 18 bis 35 Minuten. Ein professioneller Diebstahl ist in dieser Zeit abgeschlossen, die Täter sind über das nächste Feldwegnetz abgezogen.

Autonomer Perimeterschutz mit QR-3 für Freiflächenanlagen

QR-3 mit LiDAR und Drohnendetektion patrouilliert autonom auf vordefinierten Routen. Die Sensorik kombiniert LiDAR, Thermalkamera und akustische Detektion. Die Routen orientieren sich am Zaunverlauf und an kritischen Punkten wie Trafostation, Wechselrichtercontainer und Toreinfahrten.

Drohnenerkennung über RF-Sensorik ist relevant, weil organisierte Banden vor dem Einbruch Aufklärungsflüge durchführen. Die Detektion einer Drohne 48 Stunden vor dem eigentlichen Zugriff gibt der Leitstelle Zeit zur Eskalation an Polizei und Interventionskraft.

Das Thermalbild detektiert Personen bei null Lux auf 80 Meter und Fahrzeuge auf 200 Meter. Vegetation und Tiere werden algorithmisch klassifiziert, sodass die Alarmquote auf ein verifizierbares Niveau sinkt. Live-Verifikation erfolgt durch die Leitstelle. Alarm geht erst bei bestätigtem Ereignis an Polizei oder Interventionskraft, nicht bei jedem Bewegungstrigger.

Der Betrieb erfolgt im Robotics-as-a-Service Modell für 3.800 Euro pro Monat. Es entsteht kein CapEx. Lieferzeit beträgt 48 Stunden, die Mindestlaufzeit 24 Monate. Einsatzfähig ist QR-3 bei minus 20 bis plus 50 Grad. Zwischen den Patrouillen lädt der Roboter an einer induktiven Ladestation auf dem Gelände.

Wirtschaftlichkeit: TCO-Vergleich für eine 150-MW-Anlage

Variante A: zwei 24/7-Wachposten plus Streifendienst. Kosten 38.000 bis 48.000 Euro pro Monat inklusive Schichtzuschläge nach Manteltarifvertrag und Urlaubsvertretung. Abdeckung lückenhaft, Perimeterdetektion am Zaun nicht gegeben.

Variante B: zwei QR-3 plus eine verifizierende Leitstelle. Kosten 9.500 bis 11.000 Euro pro Monat im RaaS-Modell. Abdeckung 24/7 entlang der definierten Routen, Verifikation in unter 30 Sekunden.

Einsparung pro Jahr: 320.000 bis 440.000 Euro bei vollständiger Schichtabdeckung. Die Versicherungsprämie sinkt typischerweise um 12 bis 18 Prozent durch dokumentierte Detektionsquote und nachweisbare Reaktionszeit. Die Amortisation gegenüber einer Hybridlösung aus Wachposten und Kamera tritt in 4 bis 7 Monaten ab Inbetriebnahme ein. Bei portfolioweitem Rollout über 5 bis 10 Anlagen verlängert sich die Vertragslaufzeit, der Stückpreis sinkt nicht linear, weil die Leitstellenintegration einmalig pro Standort erfolgt.

Implementierung: Von der Begehung bis zum Regelbetrieb in 14 Tagen

Tag 1 bis 3: Geländebegehung mit Erfassung von Routen, Hindernissen und Ladepositionen. Aufgenommen werden Zaunzustand, Tore, Trafostationen, Container, Vegetation und Beleuchtung. Ergebnis ist ein digitales Geländemodell mit Patrouillenkandidaten.

Tag 4 bis 7: Kartierung mit SLAM-Verfahren, Definition der Patrouillenmuster und Eskalationsregeln. Die Regeln legen fest, welcher Sensorinput welche Reaktion auslöst: Wildtier ignorieren, Person verifizieren, Fahrzeug eskalieren.

Tag 8 bis 11: Anbindung an die bestehende Leitstelle des Betreibers oder an die Quarero-Leitstelle. Schnittstellentest umfasst Alarmweiterleitung, Videoverifikation, Quittierung und Audit-Log nach NIS-2-Anforderung.

Tag 12 bis 14: Parallelbetrieb mit dem Bestandswachschutz. In dieser Phase wird die Vorfallsquote der beiden Systeme verglichen, Fehlalarme werden nachjustiert. Anschließend Übergabe an den Regelbetrieb.

Im Regelbetrieb erfolgt quartalsweise eine Routenoptimierung auf Basis der Vorfallsdaten und der Vegetationsveränderung. Bewuchs entlang des Zauns ändert Sichtlinien und akustische Reflexionen, die Konfiguration wird entsprechend angepasst.

Was Betreiber jetzt entscheiden müssen

Schwellenwert prüfen: installierte Leistung aller Teilanlagen eines Betreibers addieren. Die Aggregation erfolgt über netztechnische und vertragliche Verbindungen, nicht nur über die rechtliche Struktur. Wer bei 92 MW liegt und ein weiteres Feld in Bau hat, sollte die Pflichten bereits jetzt vorbereiten.

Bei Überschreitung des Schwellenwerts ist die Registrierungsfrist beim BBK im Kalender zu setzen. Drei Monate sind kurz, gerade wenn parallel Resilienzplan und Meldeprozess aufgebaut werden müssen.

Bestandsbewachung ist auf Wirksamkeit der Perimeterdetektion zu auditieren, nicht auf Anwesenheit. Ein Wachposten am Tor erfüllt die §11-Anforderung nicht, wenn der Zaun nicht detektiert wird. Das Audit umfasst Schichtbücher, Streifenprotokolle und tatsächliche Alarmweiterleitungen der letzten zwölf Monate.

Vor dem Rollout auf das Gesamtportfolio empfiehlt sich eine Pilotinstallation auf einem Teilfeld. So lassen sich Routen, Falschalarmquote und Schnittstellen unter realen Bedingungen validieren. Die Erkenntnisse fließen in das Standardpaket für die übrigen Standorte ein.

Der Vorstandsbeschluss zur Resilienzstrategie ist zu dokumentieren. Die Geschäftsleitung haftet persönlich nach NIS-2 für die Umsetzung der Sicherheitsmaßnahmen, wie Artikel 21 der NIS-2-Richtlinie festlegt. Details zur Vorstandshaftung unter NIS-2 zeigen die Reichweite dieser Verantwortung.

Wer die Schwelle von 104 MW überschritten hat oder im laufenden Geschäftsjahr überschreiten wird, sollte den Perimeterschutz konkret bewerten. Eine technische Begehung mit QR-3 auf einem Pilotfeld dauert zwei Wochen und liefert belastbare Daten für den Vorstandsbeschluss. Termin und Spezifikation lassen sich direkt über die QR-3 Produktseite anfragen.