Physische Sicherheit und Personalprüfungen werden Pflicht – der Countdown läuft

Eine Firewall schützt nicht vor einem kompromittierten Mitarbeiter. Ein Cyber-Audit erkennt keinen physischen Saboteur. Genau hier setzt die CER-Richtlinie (EU) 2022/2557 an – das bislang unterschätzte Gegenstück zur viel diskutierten NIS2-Richtlinie. Während NIS2 die Cybersicherheit adressiert, verpflichtet die CER-Richtlinie kritische Unternehmen zum Schutz ihrer physischen Standorte und – entscheidend – ihrer Mitarbeiter.


Wir befinden uns aktuell in der kritischsten Phase: dem „Identifikationsfenster“. Bis zum 17. Juli 2026 muss jeder EU-Mitgliedstaat offiziell festgelegt haben, welche Unternehmen als „Kritische Einrichtungen“ gelten. Für die DACH-Region – Deutschland, Österreich und die Schweiz – bedeutet das: Jetzt handeln.

Deutschland: Das KRITIS-Dachgesetz ist da

Deutschland hat im Januar 2026 das KRITIS-Dachgesetz verabschiedet – die nationale Umsetzung der CER-Richtlinie. Damit wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zur zentralen Aufsichtsbehörde für physische Resilienz kritischer Infrastrukturen.

Was bedeutet das konkret? In 11 Sektoren – von Energie über Transport bis Gesundheit – werden verschärfte Zverlässigkeitsüberprüfungen für „sensible Positionen“ verpflichtend. Das Gesetz definiert klar: Unternehmen müssen nachweisen, dass ihre Mitarbeiter – und häufig auch Drittanbieter – überprüft und vertrauenswürdig sind.

Artikel 14 der CER-Richtlinie macht Hintergrundüberprüfungen nicht länger optional. Sie sind ein rechtlich verankertes Element der Resilienzplanung. Unternehmen, die bis zur Benachrichtigung durch das BBK keine Prozesse implementiert haben, riskieren erhebliche regulatorische Konsequenzen.

Österreich: NISG 2026 und der All-Hazards-Ansatz

Österreich hat mit dem NISG 2026 einen integrierten Ansatz gewählt, der CER-Elemente direkt in die nationale Sicherheitsgesetzgebung einbettet. Der Fokus liegt auf „All-Hazards“-Resilienz – also dem Schutz vor allen denkbaren Gefahren, nicht nur Cyberangriffen.

Hintergrundüberprüfungen gelten in Österreich als zentrale organisatorische Maßnahme. Unternehmen in kritischen Sektoren müssen im Rahmen ihrer Resilienzplanung sicherstellen, dass Personalintegrität strukturiert und nachweisbar gewährleistet wird. Besonders für Unternehmen mit grenzüberschreitenden Teams zwischen Deutschland und Österreich wird die Harmonisierung der Prüfprozesse zur operativen Herausforderung.

Schweiz: Nicht EU-Mitglied, aber nicht unbetroffen

Die Schweiz ist als Nicht-EU-Mitglied nicht direkt an die CER-Richtlinie gebunden. Dennoch sind Schweizer Unternehmen erheblich betroffen – aus zwei Gründen:

  1. Lieferketten-Effekt: Schweizer Unternehmen, die als Zulieferer oder Partner für kritische Einrichtungen in der EU agieren, müssen deren Compliance-Anforderungen erfüllen – einschließlich Personalprüfungen.
  2. Nationale Initiativen: Die Schweiz verfolgt mit der Nationalen Strategie zum Schutz kritischer Infrastrukturen (SKI) einen eigenen Ansatz, der zunehmend EU-Standards berücksichtigt.

Kritische Deadlines: Der Fahrplan 2026

Die zwei Termine bestimmen den Rhythmus der nächsten Monate:

17. Juli 2026 - Frist für die Identifikation und Benachrichtigung aller Kritischen Einrichtungen

Ende 2026 / Anfang 2027 - Ca. 10 Monate nach Benachrichtigung: Nachweis implementierter Resilienzmaßnahmen (inkl. Hintergrundüberprüfungen)

Artikel 14: Der menschliche Faktor

Die CER-Richtlinie ist einzigartig in ihrem expliziten Fokus auf den „menschlichen Faktor“. Artikel 14 verlangt von kritischen Einrichtungen, dass sie:

  1. Hintergrundüberprüfungen für Personal in sensiblen Positionen durchführen
  2. Drittanbieter und externe Dienstleister in die Prüfprozesse einbeziehen
  3. Nachweisbare, strukturierte Verfahren zur Personalintegrität implementieren


Für Unternehmen in der DACH-Region, die häufig über Landesgrenzen hinweg operieren, stellt sich dabei eine besondere Herausforderung: Die nationalen Gesetze in Deutschland (KRITIS-Dachgesetz) und Österreich (NISG 2026) unterscheiden sich in der Tiefe und im Umfang der geforderten Überprüfungen. Ein einheitlicher, grenzübergreifender Prozess wird damit zum Wettbewerbsvorteil.

Grenzüberschreitende Compliance: Die Herausforderung für DACH

Ein Energieunternehmen mit Standorten in München, Wien und Zürich steht vor einer dreifachen Compliance-Herausforderung. Das KRITIS-Dachgesetz definiert „sensible Positionen“ möglicherweise anders als das NISG 2026, und die Schweizer SKI-Strategie folgt eigenen Kriterien. Ohne einen harmonisierten Prüfprozess drohen Lücken, doppelte Arbeit und regulatorische Risiken.


Hier wird deutlich: Personalscreening ist nicht nur eine Compliance-Pflicht, sondern ein operatives Steuerungsinstrument. Unternehmen, die jetzt einen strukturierten, länderübergreifenden Ansatz implementieren, sind nicht nur konform – sie sind resilient.

Jetzt handeln: Der 17. Juli kommt schneller als gedacht

Die CER-Richtlinie ist seit 2026 geltendes Recht – kein Entwurf, kein Plan. Validato unterstützt Sie dabei, die Lücke zwischen regulatorischen Anforderungen und operativer Realität mit strukturierten, rechtskonformen Hintergrundüberprüfungen in der gesamten DACH-Region zu schließen.

Warten Sie nicht auf den 17. Juli – prüfen Sie Ihr Personalrisiko noch heute.