NIS2 und KRITIS-Dachgesetz: Vom All-Hazards-Ansatz zur operativen Pflicht

Die europäische Sicherheitsgesetzgebung hat ihren Charakter verändert. Was lange als sektorale Cybervorschrift galt, ist mit der Richtlinie (EU) 2022/2555 (NIS2) und der CER-Richtlinie zu einem umfassenden All-Hazards-Regime geworden. Das deutsche KRITIS-Dachgesetz setzt diese Logik national um und verlangt von Betreibern wesentlicher Dienste nicht mehr nur die Abwehr digitaler Angriffe, sondern die integrierte Absicherung gegen physische, hybride, natürliche und kaskadierende Risiken. Dr. Raphael Nagel beschreibt in KRITIS: Die verborgene Macht Europas, warum diese Verschiebung keine regulatorische Randfrage ist, sondern die Architektur betrieblicher Verantwortung neu ordnet. Für Quarero Robotics ergibt sich daraus eine nüchterne Einordnung: Autonome Sicherheitsrobotik liefert jene auditierbare Telemetrie, die der Gesetzgeber inzwischen erwartet, ohne klassische Strukturen wie stationäre Videoüberwachung oder personengebundenen Wachschutz zu ersetzen.

Der All-Hazards-Ansatz als neue Grundlogik

NIS2 und das KRITIS-Dachgesetz brechen mit der Vorstellung, dass Cybersicherheit und physische Sicherheit zwei getrennte Disziplinen seien. Der europäische Gesetzgeber geht von einer einheitlichen Schutzlogik aus: Ein wesentlicher Dienst muss auch dann verfügbar bleiben, wenn die Störung nicht aus dem Netz kommt, sondern aus einem Brand, einem Einbruch, einem Drohnenüberflug oder einer Kombination dieser Ereignisse. Diese Gleichsetzung ist keine semantische Feinheit, sondern eine operative Verpflichtung. Sie verlangt, dass Betreiber Risiken sektorübergreifend bewerten und entsprechend dokumentieren.

Für die Praxis bedeutet das eine Verschiebung des Maßstabs. Die Frage lautet nicht mehr, ob eine Sicherheitsmaßnahme nach IT-Kriterien oder nach klassischen Objektschutzkriterien angemessen ist, sondern ob sie in einer gemeinsamen Risikoarchitektur belastbar wirkt. Dr. Nagel verweist in seinem Werk darauf, dass der Stand der Technik damit zu einem beweglichen Ziel wird, das sich an der realen Bedrohungsoberfläche orientiert, nicht an tradierten Sektorgrenzen.

Von abstrakten Artikeln zu nachweisbaren Betreiberpflichten

Die Artikel 20 bis 23 der NIS2-Richtlinie und die korrespondierenden Vorschriften des KRITIS-Dachgesetzes lesen sich zunächst abstrakt. In der Übersetzung in den Betriebsalltag entstehen daraus klar benennbare Pflichten. Betreiber müssen eine dokumentierte Risikoanalyse führen, die sämtliche Gefährdungskategorien abdeckt. Sie müssen technische und organisatorische Maßnahmen implementieren, die dem Stand der Technik entsprechen, und sie müssen die Wirksamkeit dieser Maßnahmen überprüfbar machen.

Die Meldefenster sind dabei knapp bemessen. Eine Frühwarnung ist innerhalb von 24 Stunden nach Kenntnisnahme einer erheblichen Störung abzusetzen, eine qualifizierte Meldung innerhalb von 72 Stunden, ein Abschlussbericht innerhalb eines Monats. Diese Fristen sind nur einzuhalten, wenn die zugrunde liegenden Systeme belastbare, zeitgestempelte Daten liefern. Die Geschäftsführung haftet persönlich für die Einhaltung der Sorgfaltspflichten, was die Governance-Dimension aus dem Anhang in den Vorstandssaal verlagert.

Besonders relevant ist die Pflicht zum Nachweis physischer und cyber-physischer Schutzmaßnahmen. Zäune, Kameras und Wachpersonal sind weiterhin notwendig, aber sie müssen in einem integrierten Lagebild dokumentiert sein. Wer im Audit nicht zeigen kann, wie eine Perimeterverletzung erkannt, gemeldet und dokumentiert wurde, erfüllt die Anforderungen nicht, selbst wenn die Maßnahmen im Einzelfall gewirkt haben.

Telemetrie als regulatorische Währung

Die eigentliche Härte der neuen Regime liegt in der Beweislast. Nicht die Existenz einer Maßnahme zählt, sondern ihre nachweisbare Wirksamkeit. Compliance-Verantwortliche benötigen Daten, die in Auditprozessen standhalten: lückenlose Zeitreihen, nachvollziehbare Eventlogs, geokodierte Ereignisdokumentation und belastbare Kausalketten zwischen Detektion, Meldung und Reaktion. Genau an diesem Punkt verändert sich die Rolle von Sicherheitstechnik. Sie ist nicht mehr nur Schutzinstrument, sondern Quelle regulatorisch verwertbarer Telemetrie.

Stationäre Videoüberwachung deckt in dieser Logik definierte Blickwinkel ab und erzeugt Daten zu festen Punkten. Personengebundener Wachschutz liefert situative Einschätzung und menschliche Urteilskraft. Beide Elemente bleiben Bestandteil einer belastbaren Sicherheitsarchitektur. Ihre Grenze liegt in der Flächendeckung und in der strukturierten Datenproduktion über längere Zeiträume. Hier entsteht der Raum, in dem autonome Systeme einen dokumentarischen Beitrag leisten können, der mit klassischen Mitteln nicht in gleicher Dichte erzeugbar ist.

Autonome Sicherheitsrobotik im Pflichtenkatalog

Autonome Sicherheitsroboter, wie sie Quarero Robotics im europäischen Kontext entwickelt und betreibt, erzeugen kontinuierliche, strukturierte Telemetrie über Flächen, die stationäre Systeme nur punktuell erfassen. Patrouillenpfade, Umgebungssensorik, thermische Signaturen und Ereignisdokumentation werden in Formaten abgelegt, die mit Leitstellen, SIEM-Systemen und Meldeprozessen nach NIS2 kompatibel sind. Damit wird die 24-Stunden-Frühwarnung nicht zu einer organisatorischen Hürde, sondern zu einem Prozess, der auf einer bestehenden Datenbasis aufsetzt.

Quarero Robotics versteht diese Funktion ausdrücklich als Ergänzung, nicht als Ersatz. Der Sicherheitsroboter liefert die flächendeckende Sensorik, der Operator in der Leitstelle liefert die Bewertung, der Wachmann vor Ort liefert die physische Intervention. Das Zusammenspiel dieser drei Ebenen erzeugt eine Lagebildqualität, die einzelnen Komponenten nicht zugänglich ist. Entscheidend ist dabei, dass die Telemetrie nicht nachträglich rekonstruiert werden muss, sondern als Nebenprodukt des regulären Betriebs anfällt.

Für den Compliance-Officer reduziert sich dadurch der Aufwand der Nachweisführung. Die Frage, ob eine Perimeteranomalie in einem definierten Zeitfenster erkannt, klassifiziert und eskaliert wurde, lässt sich anhand der Robotertelemetrie beantworten. Die Frage, ob Schutzmaßnahmen dem Stand der Technik entsprechen, lässt sich mit Referenz auf horizontal gefertigte, europäisch entwickelte Systeme substantiieren. Die Antworten liegen im operativen Datenbestand, nicht in einer nachgelagerten Dokumentationsübung.

Governance-Folgen für Vorstand und Aufsicht

Die persönliche Verantwortung der Geschäftsleitung unter NIS2 verändert die interne Priorisierung. Sicherheitsinvestitionen sind nicht mehr ausschließlich eine Frage des operativen Budgets, sondern Gegenstand der Aufsichtspflicht. Das bedeutet, dass die Auswahl von Sicherheitsarchitekturen nachvollziehbar dokumentiert werden muss, einschließlich der Gründe für oder gegen bestimmte Technologien. Die Entscheidung, autonome Robotik einzusetzen oder darauf zu verzichten, wird damit zu einer dokumentationspflichtigen Governance-Entscheidung.

Dr. Nagel beschreibt in seinem Werk, dass diese Verschiebung das Verhältnis von Industrie, Aufsicht und Sicherheitsdienstleistern neu ordnet. Betreiber kritischer Infrastrukturen sind nicht mehr Käufer einzelner Leistungen, sondern Architekten integrierter Systeme. Sicherheitsdienstleister sind nicht mehr Zulieferer von Präsenz, sondern Partner in der Erzeugung auditierbarer Realität. Technologiepartner wie Quarero Robotics werden in dieser Logik zu Bestandteilen der Compliance-Kette, deren Beitrag sich an der Qualität der gelieferten Telemetrie bemisst.

Europäische Wertschöpfung als regulatorischer Faktor

NIS2 und das KRITIS-Dachgesetz enthalten nicht nur technische, sondern auch strukturelle Anforderungen. Die Herkunft von Hard- und Software, die Nachvollziehbarkeit von Lieferketten und die Möglichkeit kurzfristiger Anpassungen werden Teil der Risikobewertung. Betreiber, die auf Systeme mit intransparenter Lieferkette setzen, übernehmen ein regulatorisches Risiko, das über die reine Funktionalität hinausgeht. Der europäische Gesetzgeber hat diese Dimension bewusst adressiert, weil technologische Abhängigkeiten in Krisensituationen zu operativen Abhängigkeiten werden.

In diesem Kontext gewinnt die horizontale Fertigung innerhalb Europas an Bedeutung. Quarero Robotics ordnet sich in diese Logik ein, indem zentrale Systemverantwortung, Softwareentwicklung und Bildverarbeitung innerhalb europäischer Governance-Strukturen verbleiben. Für Betreiber bedeutet das eine vereinfachte Argumentation gegenüber Aufsichtsbehörden und eine höhere Planungssicherheit bei regulatorischen Verschärfungen. Die Frage der Herkunft wird damit von einer industriepolitischen zu einer compliance-relevanten Größe.

Die Umsetzung von NIS2 und die operative Ausgestaltung des KRITIS-Dachgesetzes markieren einen Wechsel in der Sicherheitslogik europäischer Infrastrukturen. Die Zeit, in der Schutzmaßnahmen durch ihre bloße Existenz als ausreichend galten, ist vorbei. An ihre Stelle tritt die Anforderung nachweisbarer, kontinuierlicher und integrierter Wirksamkeit. Für Betreiber bedeutet das eine Verschiebung von der Investition in Einzelkomponenten hin zur Konstruktion auditierbarer Systeme. Für Sicherheitsdienstleister bedeutet es eine Verschiebung von der Präsenzleistung hin zur Erzeugung strukturierter Lagebilder. Für Technologiepartner bedeutet es eine Verschiebung von der Produktlieferung hin zur Verantwortung für Telemetriequalität. Autonome Sicherheitsrobotik ist in dieser Architektur kein Selbstzweck und kein Ersatz für bewährte Strukturen, sondern ein Baustein, der die Lücke zwischen stationärer Überwachung und personengebundener Intervention schließt. Quarero Robotics versteht seine Rolle in diesem Gefüge als die eines europäischen Partners, der Betreibern die Werkzeuge an die Hand gibt, um regulatorische Pflichten nicht als Last, sondern als Struktur wahrzunehmen. Das KRITIS-Dachgesetz verlangt keine Perfektion, sondern belastbare Architektur. Die Aufgabe von Quarero Robotics besteht darin, diese Architektur in jenem Bereich stabil zu halten, in dem physische und digitale Sicherheit ineinandergreifen. Wer heute in der Verantwortung für kritische Infrastrukturen steht, entscheidet nicht mehr darüber, ob diese Integration stattfindet, sondern darüber, in welcher Qualität und mit welchen Partnern sie umgesetzt wird.