Deutschlands NIS2-Umsetzungsgesetz ist in Kraft – trotzdem spricht kaum jemand über Schlüssel und Zutritt

Deutschland hat die NIS2-Richtlinie am 6. Dezember 2025 ohne Übergangsfrist in nationales Recht umgesetzt. Die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) musste bis zum 6. März 2026 erfolgen. Die Pflichten von der Risikoanalyse bis zur Störungsmeldung gelten somit bereits in vollem Umfang.

In Fachartikeln und Medien hat das Thema viel Aufmerksamkeit erhalten. Es wird über Risikomanagementmodelle, Lieferkettensicherheit, die persönliche Haftung der Geschäftsleitung und die 24-Stunden-Meldepflicht bei erheblichen Sicherheitsvorfällen diskutiert. Alles wichtige Themen.

Doch eine wesentliche Dimension bleibt dabei immer wieder außen vor: die physische Zutrittskontrolle.

Cybersicherheit gibt es nicht ohne physische Sicherheit

Zu den zehn Mindestsicherheitsanforderungen der NIS2-Richtlinie gehören ausdrücklich Personalsicherheit und Zutrittskontrolle. Damit sind nicht nur digitale Zugangsdaten und Berechtigungen gemeint, sondern auch die Frage, wer physischen Zugang zu kritischen Räumen hat und wie dieser dokumentiert ist.

Die Fragen sind alltäglich, aber entscheidend:

• Kann der Zugang sofort entzogen werden – etwa beim Ausscheiden eines Mitarbeitenden?
• Wer hat Zutritt zum Kontrollraum, zum Serverraum oder zur Elektrozentrale?
• Wer besitzt die Schlüssel zu diesen Räumen?
• Wie sind Ausgabe, Rückgabe und Verantwortlichkeiten dokumentiert?

Wenn es auf diese Fragen keine Echtzeitantwort gibt, erfüllt die Organisation die gesetzlichen Anforderungen nicht – unabhängig davon, wie gut die digitale IT-Sicherheit aufgestellt ist.

Excel-Listen und Papierquittungen reichen nicht mehr aus

In vielen Organisationen werden Schlüssel und Zutrittsberechtigungen noch immer mit Tabellen, Papierformularen oder aus dem Gedächtnis heraus verwaltet. NIS2 verlangt jedoch, dass eine Organisation gegenüber Behörden verlässlich nachweisen kann, wie die physische Zutrittskontrolle organisiert ist. Erforderlich ist ein System, das einen nachprüfbaren Audit-Trail erzeugt und eine schnelle Reaktion bei Abweichungen ermöglicht.

Erforderlich ist ein System, das einen nachprüfbaren Audit-Trail erzeugt und eine schnelle Reaktion bei Abweichungen ermöglicht.

NIS2 und KRITIS gemeinsam: Physische und digitale Sicherheit gehören zusammen

Die deutsche NIS2-Umsetzung steht nicht für sich allein. Zusammen mit dem im März 2026 verabschiedeten KRITIS-Dachgesetz bildet sie ein Gesamtsystem, in dem physische und digitale Sicherheit untrennbar miteinander verbunden sind.

Das KRITIS-Dachgesetz konzentriert sich auf den physischen Schutz kritischer Infrastrukturen und verlangt unter anderem Risikoanalysen, Resilienzpläne und Störungsmeldungen. NIS2 bringt die Cybersicherheitspflichten einschließlich Dokumentation der Zutrittskontrolle mit ein. Gemeinsam machen sie deutlich: Wenn ein physischer Schlüssel den Zugang zu einem System ermöglicht, dessen Störung kritische Funktionen gefährdet, können Mängel im Rahmen beider Regelwerke aufsichtsrelevant werden.

Dennoch wird gerade die physische Zutrittskontrolle in der Planung häufig als Letztes berücksichtigt.

Die Sanktionen sind konkret

Die Sanktionen des NIS2-Gesetzes sind erheblich. Für sogenannte sehr wichtige Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Umsatzes.

Besonders bemerkenswert: Die Geschäftsleitung haftet persönlich für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen. Leitungsorgane sind zudem verpflichtet, regelmäßig an Schulungen zu Cyberrisiken teilzunehmen.

Wie sollten Organisationen vorgehen?

Organisationen, die in den Anwendungsbereich von NIS2 fallen, sollten ihre physische Zutrittskontrolle mit derselben Ernsthaftigkeit betrachten wie ihre digitale IT-Sicherheit:

  1. Bestandsaufnahme durchführen: Wissen Sie in Echtzeit, wer die Schlüssel und Zutrittskarten Ihrer Organisation besitzt?
  2. Dokumentationsniveau bewerten: Können Sie einer Behörde nachweisen, wie Ausgabe, Rückgabe und Verantwortlichkeiten von Schlüsseln geregelt sind?
  3. Lücken identifizieren: Erzeugt Ihr derzeitiges System einen verlässlichen Audit-Trail?
  4. Auf digitale Verwaltung umstellen: Ein System, das Echtzeitübersicht und sofortige Reaktionsfähigkeit bietet, ist Voraussetzung für die Erfüllung der Anforderungen.

Leitfaden: NIS2 und Schlüsselverwaltung in der Praxis

Wir haben einen Leitfaden erstellt, der die praktischen Auswirkungen der NIS2-Anforderungen auf die physische Zutrittskontrolle und Schlüsselverwaltung erläutert. Er behandelt unter anderem, was die Richtlinie verlangt, wen sie betrifft, welche Risiken bei Nichteinhaltung bestehen und wie Organisationen konkret vorgehen können.

Die NIS2-Richtlinie und die Anforderungen an die Schlüsselverwaltung

Die neue NIS2-Richtlinie der EU macht die Schlüsselverwaltung zu einer gesetzlichen Pflicht. Erfahren Sie in unserem Leitfaden, wie sich Organisationen auf die Anforderungen im Bereich der physischen Sicherheit vorbereiten sollten.