GFOS > Blog > NIS2 & KRITIS – Mehr Sicherheit für kritische Infrastrukturen

Veröffentlicht:

Zuletzt aktualisiert:

Lesezeit:

circa 7 Minuten

NIS2 & KRITIS – Mehr Sicherheit für kritische Infrastrukturen

Viele Bereiche unseres (digitalen) Lebens sind für uns – und unsere Gesellschaft – von essenzieller Wichtigkeit. Darum muss in unserem digitalen Zeitalter auch die digitale Sicherheit Schritt halten, um diese kritische Infrastruktur zu schützen. Wir zeigen auf, wie die noch relativ junge Richtlinie NIS2 KRITIS-Unternehmen betrifft und welche Pflichten die EU-Vorgaben konkret mit sich bringen.

Strommast als Sinnbild für die kritische Infrastruktur, Aufnahme von unten © iStock 2164230577

Was ist KRITIS?

Der Begriff „KRITIS“ ist ein deutsches Akronym für „Kritische Infrastrukturen“. Hierzu zählen vor allem Bereiche, in denen temporäre oder langfristige Ausfälle zu erheblichen Beeinträchtigungen bis hin zu Gefährdungen für Betroffene führen.

Zu diesen Sektoren zählen in Deutschland etwa Industrie, Logistik + Transport, Lebensmittelbetriebe oder das Gesundheitswesen – also viele klassische „Blue Collar“-Branchen, in denen körperliche Arbeit im Fokus steht. 

Weitere Sektoren (IT / Verwaltung) listet das BSI auf einer eigenen Übersichtsseite. Für diese Sektoren – und alle Unternehmen, die darin tätig sind – gelten notwendigerweise besondere Anforderungen an die (digitale) Sicherheit. 

[Headline H2] Was ist die NIS-2 Richtlinie?

Die NIS2-Richtlinie (Richtlinie 2022/2555) ist eine EU-weite Regelung, die darauf abzielt, das Thema Cybersicherheit innerhalb Europas zu stärken. Sie löst gleichzeitig die alte Richtlinie NIS1 (2016/1148) ab. In Deutschland wurden die Vorgaben am 06.12.2025 mit dem „NIS2-Umsetzungsgesetz“ rechtswirksam.

Eine der wichtigsten Veränderungen, die die neue Richtlinie mit sich bringt, ist die deutliche Ausweitung ihrer Gültigkeit. Kurz gesagt: Die NIS2 betrifft weitaus mehr Sektoren als die alte Richtlinie.

Zentrale Änderungen der NIS2 sind:

  • Pflicht zur nationalen Cybersicherheitsstrategie (national)
  • Umsetzung von Cybersicherheitsrisikomanagementmaßnahmen
  • Ausweitung der Gültigkeit auf 18 Sektoren
  • „Besonders wichtige“ und „wichtige“ Einrichtungen
  • Verpflichtende Registrierung beim BSI für betroffene Einrichtungen
  • Strenge Meldepflichten bei Vorfällen (Incident Reporting)
  • Persönliche Haftung der Leitungsorgane / Verantwortlichen

Relevant für Unternehmen: Die NIS2 gilt für KRITIS-Einrichtungen – im Gegenzug können jedoch Firmen, die nicht Teil der kritischen Infrastruktur sind, durchaus unter die Vorgaben der NIS-2-Richtlinie fallen. 

Um an dieser Stelle etwas mehr Klarheit zu schaffen, bietet das BSI eine NIS-2-Betroffenheitsprüfung an. Über das Online-Formular können Unternehmen prüfen, ob sie (voraussichtlich!) die Vorgaben der NIS-2 erfüllen müssen. Wichtig für diese Einordnung sind besonders die Branche, die Größe des Betriebs sowie Jahresumsätze und mehr.

Konkrete Pflichten durch NIS2 – für KRITIS und andere Unternehmen

Auf die neuen bzw. erweiterten Pflichten, die sich nun für KRITIS-Betreiber und andere wichtige Unternehmen ergeben, gehen wir in diesem Abschnitt ein.

Risikobasiertes Informationssicherheitsmanagement

Unternehmen müssen innerbetrieblich ein Informationssicherheitsmanagementsystem (ISMS) einrichten, das es ihnen erlaubt, konkrete Risiken für den Betriebsablauf zu identifizieren und passend – also je nach Risikostufe – geeignete Maßnahmen zu definieren. 

Eine solche möglichst vollständige Definition von Risiken rund um das Unternehmen ist initial recht aufwendig. Gleichzeitig stellt eine solche Informationssicherheitsleitlinie sicher, dass für alle plausiblen Vorfälle entsprechende Gegenmaßnahmen existieren und Entscheidungswege sowie Zuständigkeiten bekannt sind. 

„Incident Reporting“ & Erstmeldung

Ereignen sich sicherheitsrelevante Vorfälle, die entweder den Dienst und / oder die Nutzer des Dienstes wesentlich betreffen, müssen Unternehmen mehrere „Meldestufen“ einhalten. 

Eine Erstmeldung muss innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls erfolgen. Ein ausführlicherer Incident Report ist innerhalb von 72 Stunden zu erstellen. Spätestens 1 Monat nach dem Vorfall muss ein detaillierter Abschlussbericht über das BSI-eigene Meldeportal hochgeladen werden.

Erstellung von Notfallkonzepten

Die NIS2-Richtlinie nimmt KRITIS-Betreiber in die Pflicht, frühzeitig konkrete Notfallkonzepte zu erstellen. Diese knüpfen faktisch an das ISMS an. In diesem Zusammenhang müssen etwa Business-Continuity-Strategien oder Wiederanlaufpläne erarbeitet werden, damit Ausfälle möglichst geringe Schäden verursachen. 

Zugangskontrolle & Sicherheit des Personals

Die physische Zutrittskontrolle rückt mit der NIS2 stärker in den Fokus als früher. Artikel 21 der Richtlinie regelt explizit, dass der physische Zutritt zu geschäftskritischen Bereichen ebenso zu sichern ist wie der digitale Zugriff auf entsprechende Systeme. Maßnahmen zur Sicherung umschließen etwa rollenbasierte Zugriffsrechte oder Zero-Trust-Ansätze.

Für Unternehmen bedeutet dies, den Zutritt zu sensiblen Arealen – etwa über intelligente Zutrittsleser – nicht nur strenger zu kontrollieren und zu protokollieren. Gleichzeitig muss der physische Zugang auch in der digitalen Schutzstrategie bzw. in der Risikobetrachtung (einzelner Standorte) entsprechend berücksichtigt werden.

Umfassende Dokumentations- und Nachweispflichten

Sämtliche systemrelevanten Informationen, vom Berechtigungskonzept bis zum Evakuierungsplan, müssen gut dokumentiert und griffbereit sein – sowohl für die zuständigen Akteure im Ereignisfall als auch für Behörden wie das BSI, um die Compliance der KRITIS-nahen Unternehmen mit der NIS2-Richtlinie sicherzustellen.

Die betroffenen Unternehmen müssen unter anderem Nachweise erbringen können, für welche Teilbereiche des Geschäfts welche Maßnahmen gelten oder welche Mitarbeiter Zugänge / Zugriffe auf besonders sensible Daten haben. KRITIS-Betreiber müssen damit rechnen, dass ihre Dokumentation im Rahmen von Audits geprüft wird.

Risiken bei Nichtbeachtung / Verstößen

Mit der Einführung der neuen Richtlinie haben sich nicht nur die Vorgaben verschärft – bei Missachtung einzelner Vorgaben der NIS-2 drohen KRITIS-nahen Unternehmen potenziell empfindliche Strafen bzw. Sanktionen. Geschäftsführer haften nun sogar persönlich für die ordnungsgemäße Umsetzung der Sicherheitsmaßnahmen.

Die Höhe der Geldbußen ist in der NIS2-Richtlinie nach der KRITIS-Einstufung des Unternehmens gestaffelt:

  • Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2% des globalen Jahresumsatzes
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des globalen Jahresumsatzes

Zu den rein finanziellen Schäden kommen im Zweifel noch mögliche Reputationsverluste und längere Unterbrechungen im Betriebsablauf hinzu. Kurz gesagt: Bei allen Aufwänden für Konzepte und Co. sind die potenziellen Kosten einer Nicht- oder Fehl-Umsetzung der NIS2-Richtline für KRITIS-nahe Unternehmen sehr viel gravierender.

Infografik mit Schritten, die auf dem Weg zu einer NIS2-konformen Zutrittssteuerung zu beachten sind

Mit der NIS2-Richtlinie sind physische Zugänge zu KRITIS-Einrichtungen ebenso abzusichern wie digitale Zugriffsrechte; © GFOS Group

Wie NIS2 die Arbeit von HR-Verantwortlichen betrifft

Cybersicherheit reicht weiter als nur bis zum Terminal. Jeder Mitarbeiter mit Zutritt zu KRITIS-nahen Einrichtungen ist gleichermaßen Risikofaktor und Sicherheitsverantwortlicher. HR-Verantwortliche müssen mit der neuen Richtlinie Mitarbeiter in dieser Doppelrolle sehen und auch ihre eigene Personalplanung daran ausrichten.

Schichtbetrieb & Werkhallen als (mögliches) Einfallstor

Im Schichtbetrieb kommen und gehen laufend Mitarbeiter – wer stellt sicher, dass dabei nicht jemand mit reinkommt? Und längst nicht jede Werkhalle verfügt über ein Anti-Passback-Verfahren zur Sicherheit der Anlage. 

Zukünftig müssen Unternehmen jedoch ebenso ein Auge auf diese Details der Zutrittskontrolle legen und diese von Beginn an als festen Bestandteil der eigenen Sicherheitsstrategie mitdenken. Das umfasst immer auch Schulungen der Mitarbeiter.

Zwischen Berechtigungen und Datenschutz

KRITIS-nahe Einrichtungen müssen wissen, wer sich zu welchem Zeitpunkt im Gebäude aufhält – und wer nicht. Features wie etwa eine digitale Evakuierungsliste können hier eine wichtige Doppelfunktion erfüllen. Gleichzeitig müssen Verantwortliche dabei jedoch schauen, dass die Nutzung der Mitarbeiterdaten – etwa für die Erfassung der Anwesenheit oder der Arbeitszeit vor Ort – streng nach DSGVO-Vorschriften erfolgt. 

Verknüpfung mit HR-Systemen

Die einfachste und sicherste Methode, die Rechteverwaltung und Zutrittskontrolle übersichtlich zu gestalten, ist meist die Integration einer Access-Control-Lösung in das eigene HR-System. Auf diesem Wege befinden sich die mitarbeiterrelevanten Daten alle an einem zentralen und sicheren Punkt. Dies hilft bei der Sicherstellung der Integrität aller Daten, erleichtert aber zugleich auch externe Audits.

Lernen Sie GFOS.Access Control kennen

NIS2 & KRITIS – Access Control im Zeichen der Richtlinie

Der gesamte Bereich Access Control ist – mehr als in der Vorgänger-Richtlinie – ein zentraler Baustein der NIS2. In KRITIS-nahen Einrichtungen laufen hier im Idealfall digitale Zugriffe, physische Zutritte und Informationen über sämtliche Berechtigungen nahtlos zusammen.

Von hier aus muss gewährleistet werden, dass sensible Bereiche und Systeme nur autorisierten Personen zugänglich sind und diese Freigaben nachvollziehbar gesteuert werden. Das ist jedoch kein einmaliges Event, sondern ein fortlaufender Prozess

In der Praxis bedeutet das: Unternehmen sollten bestehende Rechte und Zutrittszonen analysieren, Überberechtigungen bereinigen, Zutrittsmedien (wie etwa verschlüsselte Mitarbeiterausweise) modernisieren und alle Änderungen laufend dokumentieren. 

Bei GFOS leisten wir genau das für unsere Kunden: Von professioneller Beratung über die Nutzung modernster Zutrittssysteme und aktueller Schließstandards (LEGIC advant) bis zur NIS2-konformen Dokumentation stehen wir KRITIS-nahen Einrichtungen und Kunden jederzeit professionell zur Seite.

Use Cases: Integrierte Zutrittskontrolle in der Praxis

Die Verschränkung von Personaldaten mit der unternehmenseigenen Sicherheits-Infrastruktur ist in der Praxis von Vorteil – für alle Beteiligten. Wieso das so ist, wollen wir anhand der nachfolgenden branchenspezifischen Cases veranschaulichen:

  • Produktion: Bei der Fertigung von Produkten & Materialien ist es zentral, dass ausschließlich qualifizierte Fachkräfte die jeweiligen Maschinen bedienen. Die Lösung: Eine digitale Personalplanungslösung, gekoppelt mit einer Skill-Management-Software, stellt sicher, dass zu jeder Schicht nur Mitarbeiter mit der erforderlichen Qualifikation vor Ort sind. Gemeinsam mit der Zutrittskontrolle erhalten exklusiv die Mitarbeiter, die auch für die Schicht geplant sind, Zutritt zum Gelände.
  • Logistik: In der Logistik sollten Zutritte, Fuhrparkzugriffe und sensible Bereiche an konkrete Berechtigungen und Nachweise gekoppelt sein. Fahrerlaubnis (z.B. LKW-Führerschein), Freigaben und Rollen müssen digital mit Personaldaten und Access Control abgeglichen werden.

Diese simplen Beispiele zeigen: Wo die Verknüpfung von Personalplanung und Qualifikationsmanagement die Einsatzplanung vereinfacht, stellt die Anbindung einer Lösung zur Zutrittskontrolle meist nur einen kleinen, ergänzenden Schritt dar. 

Gleichzeitig kann ein solcher Schritt – besonders in Verbindung mit einem flexiblen System wie dem von GFOS – jedoch wesentlich dazu beitragen, die Einhaltung der NIS2-Richtlinie durch KRITIS-nahe Einrichtungen zu sichern. 

Setzen Sie NIS2-Anforderungen mit GFOS um

Eine Zutrittskontrolle ist ein elementarer Bestandteil eines sicheren Unternehmensstandorts. Gerne beraten wir Sie zu Ihren Möglichkeiten mit GFOS. Entdecken Sie unser Bundle für eine passgenaue Zutrittssteuerung.

Zum Bundle Access Control

Schlagwörter:

Berechtigungskonzept Perimeterschutz
Rufen Sie uns an

+49 . 201 • 61 30 00

Schreiben Sie uns

Zum Kontaktformular

Rufen Sie uns an

DE: +49 . 201 • 61 30 00

CH: +41 . 41 • 544 66 00

Schreiben Sie uns

Zum Kontaktformular

Zurück zum Seitenanfang