Mit dem KRITIS-Dachgesetz, der EU-CER-Richtlinie, NIS2 und dem IT-Sicherheitsgesetz verschiebt sich die Rolle von Immobilien grundlegend: vom bloßen Hüllenprodukt hin zum sicherheitskritischen Systembaustein. Was bedeutet das für Eigentümer, Betreiber und Facility-Management-Dienstleister, die plötzlich unter Resilienz-, Compliance- und Nachweispflichten fallen? Darüber spricht Macit Ufuk Atay von MACTAY. Das Unternehmen positioniert sich genau an der Schnittstelle von Bau, Betrieb und Regulierung.
IMMOBILIEN AKTUELL (IA): Was verändert sich durch das KRITIS-Dachgesetz aus Sicht der Immobilienwirtschaft grundsätzlich?
Macit Ufuk Atay (UA): Das KRITIS-Dachgesetz hebt Immobilien und technische Infrastruktur zu zentralen Komponenten der physischen Resilienz kritischer Anlagen an. Für Eigentümer und Facility Management bedeutet das, bauliche und anlagentechnische Schutzmaßnahmen sowie die zugrunde liegenden Gebäudedaten aktiv zu steuern und gegenüber der Aufsicht nachweisfähig zu machen.
IA: CER, NIS2, IT-Sicherheitsgesetz und KRITIS-Dachgesetz wirken auf den ersten Blick wie ein unübersichtlicher Flickenteppich. Wie erklären Sie einem Asset- oder Portfoliomanager in zwei Minuten, welche Rolle welches Regelwerk spielt und an welcher Stelle Immobilien überhaupt betroffen sind?
UA: Die Anforderungen an Immobilien ergeben sich aus der jeweiligen Nutzungsart und dem Nutzer des Assets. Grundsätzlich lässt sich vereinfacht sagen: Beim KRITIS-Dachgesetz und der EU-CER-Richtlinie liegt der Schwerpunkt auf dem physischen beziehungsweise konstruktiven Schutz gegen Sabotage und Gefahren. NIS2 und das IT-Sicherheitsgesetz konzentrieren sich dagegen auf die digitale Sicherheit technischer Einrichtungen und Anlagen.
IA: CER adressiert die physische Resilienz kritischer Einrichtungen, NIS2 die Cyber-Resilienz. Wie bringen Sie in Projekten baulich-technische Resilienz und NIS2-Compliance in ein integriertes Sicherheitskonzept?
UA: Das beste Konzept für IT- und OT-Sicherheit nützt wenig, wenn die Grundlagen für die physische Resilienz kritischer Einrichtungen fehlen. Entscheidend ist zunächst eine belastbare Objektdokumentation mit nachvollziehbarer Baugenehmigungslage, Prüf- und Wartungsberichten sowie vollständiger Anlagendokumentation. Das bildet die Grundlage für Gefährdungs- und GAP-Analysen und damit für ein ganzheitliches Sicherheitskonzept.
IA: IT-SiG zielt auf die IT-Sicherheit von KRITIS-Betreibern. Viele Betreiber binden heute jedoch Gebäudeautomation, Zutrittssysteme und Sensorik direkt in ihre produktive IT-Landschaft ein. Wo verläuft aus Ihrer Sicht die Grenze zwischen „Gebäude-IT“ und „Betreiber-IT“?
UA: Mit der zunehmenden Zahl technischer Anlagen in modernen Gebäuden verschwimmen die Zuständigkeiten immer stärker. Dazu zählen etwa auch Gebäudeleittechnik oder Mess-, Steuerungs- und Regelungstechnik. Bei Single-Tenant-Objekten lässt sich die Abgrenzung häufig noch mietvertraglich regeln: Der Eigentümer verantwortet in der Regel Dach und Fach beziehungsweise die Gebäudehülle, während der Betreiber die technische Gebäudeausrüstung, eigene IT-Systeme und spezifische Anlagen verantwortet. Bei Multi-Tenant-Objekten ist das deutlich komplexer. Dort verbleiben zentrale gebäudetechnische Anlagen meist im Verantwortungsbereich der Gebäude-IT. Deshalb müssen Verantwortlichkeiten, Schnittstellen und Haftungsfragen klar definiert und vertraglich sauber geregelt werden.
IA: CER, NIS2 und IT-SiG knüpfen an den Betreiber kritischer Einrichtungen an, während das KRITIS-Dachgesetz die physische Resilienz bundeseinheitlich rahmt. Wie übersetzen Sie diese Betreiberpflichten in Miet-, Service- und Betreiberverträge?
UA: Regulatorisch adressiert das KRITIS-Dachgesetz zwar primär den Betreiber kritischer Einrichtungen, faktisch sind aber immer auch Gebäudehülle und technische Anlagen betroffen. Eigentümer bleiben damit Teil der Verantwortungskette, sobald in einem Gebäude KRITIS-relevante Funktionen oder Dienste erbracht werden. Deshalb müssen Mietverträge, Duldungspflichten und die Kostentragung für notwendige baulich-technische Maßnahmen präzise geregelt sein.
IA: Viele Eigentümer sagen: „Wir sind doch gar kein KRITIS-Betreiber.“ Spätestens mit einem Rechenzentrum, einem Gesundheitsmieter oder einem Energie-Asset im Haus wird es aber kompliziert. Welche Trigger nutzen Sie, um ein Objekt als regulierungsrelevant einzuordnen?
UA: Die relevanten Sektoren und Betriebsstätten sind im KRITIS-Dachgesetz über Schwellenwerte definiert. Diese ermöglichen zunächst eine erste regulatorische Einordnung. Eine Einzelfallprüfung bleibt aber unerlässlich, weil die tatsächliche Relevanz stark von Nutzung, Betreiberstruktur und technischer Ausprägung des Objekts abhängt.
IA: Alle vier Regelwerke verlangen Sicherheitsmaßnahmen „nach dem Stand der Technik“. Wie definieren Sie diesen Begriff für Gebäude- und TGA-Themen?
UA: Entscheidend ist zunächst die Frage, ob das aktuelle Sicherheitsniveau den heutigen Anforderungen entspricht oder ob gegebenenfalls Bestandsschutz greift. Dafür braucht es eine saubere Objektdokumentation. Ob tatsächlich alles auf den neuesten technischen Stand gebracht werden muss, hängt immer vom konkreten Gefährdungspotenzial ab. Dafür gibt es aus der Baubranche bekannte Beispiele: Asbest galt lange als hervorragendes Brandschutzmaterial, R22 als effizientes Kältemittel und Blei als Standard für Trinkwasserleitungen. Heute sind diese Stoffe verboten oder stark reguliert. Dennoch genießen bestimmte Bestandslösungen weiterhin Schutz, sofern von ihnen keine unmittelbare Gefahr ausgeht. Für Sicherheitsmaßnahmen im Gebäude- und TGA-Bereich bedeutet das: Aktuelle Risiken und Gefährdungspotenziale entscheiden darüber, welche Systeme laufend angepasst werden müssen und wo Bestandsschutz weiterhin greift.
IA: Wenn man ehrlich ist, landet ein Großteil der Resilienzpflichten operativ im Facility Management. Wie müssen Leistungsbilder, SLAs und Reporting-Pflichten angepasst werden?
UA: Die Delegation von Betreiberpflichten an Dienstleister führt nach deutschem Recht nicht zu einer vollständigen Entlastung des Eigentümers. Eigentümer bleiben verpflichtet, die Erfüllung delegierter Betreiberpflichten zumindest sekundär zu kontrollieren. Deshalb müssen delegierte Resilienzpflichten vertraglich klar konkretisiert und Verantwortungsbereiche eindeutig definiert werden. Regelmäßige Audits der vereinbarten und erbrachten Leistungen sind aus unserer Sicht zwingend notwendig, um Qualität und Compliance dauerhaft sicherzustellen.
IA: Können Sie ein Beispiel aus der Praxis schildern, in dem ein Bestandsobjekt durch einen Mieterwechsel plötzlich in den Scope von CER, NIS2 oder IT-SiG gerutscht ist?
UA: Ein gutes Beispiel war ein ursprünglich von einer Bank als Single-Tenant genutztes Gebäude. Nach einer Flächenreduzierung wurden mehrere Etagen an externe Mieter vergeben. Dadurch veränderte sich die Sicherheitslage erheblich, weil plötzlich auch fremde Techniker Zugang zu sensiblen Bereichen hatten. Es mussten neue Zonen- und Zutrittskonzepte entwickelt werden, um kritische Bereiche klar zu trennen. Zusätzlich durften IT- und Infrastrukturleitungen nicht mehr durch weniger geschützte Bereiche verlaufen. Deshalb mussten Trassen verlegt, abgeschottet oder eingehaust werden. Die größten Reibungsverluste entstanden an den Schnittstellen zwischen Eigentümer, Bank und neuem Mieter, insbesondere bei Kostenverteilung, Verantwortlichkeiten und der Umsetzung im laufenden Betrieb.
IA: Einzelobjekte lassen sich vergleichsweise gut steuern, Portfolios mit einzelnen KRITIS-Standorten sind deutlich komplexer. Wie sollte ein Governance-Modell auf Portfolioebene aussehen?
UA: Ein portfolioübergreifendes Governance-Modell ist grundsätzlich möglich und zur Standardisierung auch sinnvoll. Gleichzeitig bleibt jedes Objekt unterschiedlich, abhängig von Nutzung und baulicher Struktur. Deshalb braucht es trotz standardisierter Governance häufig objektspezifische Standortanalysen und ergänzende Einzelbewertungen.
IA: Wo sehen Sie aktuell die größten blinden Flecken in der Regulierungsschnittstelle zwischen CER, NIS2, IT-SiG und KRITIS-Dachgesetz?
UA: Derzeit fehlt vor allem Flexibilität über den gesamten Lebenszyklus hinweg. Gleichzeitig braucht es klare Leitplanken, damit bauliche Schutzmaßnahmen in einem angemessenen Verhältnis zur angestrebten Wirkung stehen. Ein Problem ist, dass sich regulatorische Anforderungen deutlich schneller verändern als Gebäude oder langfristige Verträge. Dadurch entsteht das Risiko von Über- oder Unterinvestitionen in physische Sicherheitsmaßnahmen.