0%
ZURÜCK ZUR ÜBERSICHT
BEITRAG // 25. Mar 2026 // REF: NIS2-KRITIS-PHYSICAL-SECURITY-COMPLIANCE // 15 min

NIS2, KRITIS-Dachgesetz & physische Sicherheit: Was Betreiber kritischer Infrastruktur konkret umsetzen müssen

NIS2, KRITIS-Dachgesetz & physische Sicherheit: Was Betreiber kritischer Infrastruktur konkret umsetzen müssen
01 // Der Moment der Erkenntnis

„Wir sind betroffen" – und jetzt?

Es beginnt meistens mit einer E-Mail vom Rechtsanwalt, einem Hinweis des Wirtschaftsprüfers oder einem Artikel in der Fachpresse. Dann folgt die interne Recherche – und die Erkenntnis, dass das eigene Unternehmen unter NIS2 oder das KRITIS-Dachgesetz fällt. Plötzlich stehen Begriffe im Raum wie Registrierungspflicht, Risikoanalyse, Resilienzplan, Nachweispflicht gegenüber Behörden. Und die Frage: Was bedeutet das konkret für unsere physische Sicherheit – und wo fangen wir an?

Dieser Post beantwortet genau diese Frage. Keine Theorie, keine Zusammenfassung der Richtlinie – sondern ein konkreter Fahrplan: Was fordert das Gesetz, welche Fristen gelten, und wie erfüllt ein Physical Penetration Test die Nachweispflichten, die NIS2 und das KRITIS-Dachgesetz verlangen.

Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist für die Maßnahmenumsetzung. Das KRITIS-Dachgesetz folgte am 29. Januar 2026. Wer jetzt noch nicht gehandelt hat, steht bereits in der Pflicht.

~30.000
Unternehmen in Deutschland unter NIS2
06.12.25
NIS2-Umsetzungsgesetz in Kraft
17.07.26
Registrierungsfrist KRITIS-Dachgesetz (BBK)
10 Mio. EUR
Max. Bußgeld bei Verstößen (wesentliche Einrichtungen)
02 // Die Gesetze im Überblick

NIS2 und KRITIS-Dachgesetz: Zwei Gesetze, eine Pflicht

Viele Unternehmen stolpern über die Frage: Bin ich von NIS2 betroffen, vom KRITIS-Dachgesetz – oder von beiden? Die Antwort hängt vom Sektor und der Unternehmensgröße ab. Wichtig: Beide Gesetze können gleichzeitig gelten, adressieren aber unterschiedliche Schutzziele.

NIS2-Umsetzungsgesetz // in Kraft seit 06.12.2025
Cybersicherheit als Management-Pflicht
Novelliertes BSIG · BSI als Aufsicht · ~30.000 betroffene Unternehmen
Fokus: IT-Sicherheit, Netz- und Informationssysteme
Risikomanagementmaßnahmen inkl. physischer Sicherheitskomponente (§ 30 BSIG)
Registrierung beim BSI: bis 06. März 2026
Persönliche Haftung der Geschäftsleitung mit Privatvermögen (§ 38 BSIG)
Meldepflicht bei Sicherheitsvorfällen: innerhalb 24h erste Meldung, 72h vollständig
KRITIS-Dachgesetz // beschlossen 29.01.2026
Physische Resilienz als gesetzliche Pflicht
CER-Richtlinie EU 2022/2557 · BBK als Aufsicht · KRITIS-Betreiber
Fokus: Physischer Schutz, Resilienz, All-Gefahren-Ansatz
Erstmals bundeseinheitliche Mindeststandards für physische Sicherheit kritischer Anlagen
Registrierung beim BBK: bis 17. Juli 2026
Physische Risikoanalyse alle 4 Jahre (§ 12 KRITISDachG), Nachweis alle 2 Jahre
Gilt für Anlagen, deren Ausfall mind. 500.000 Menschen betrifft – Länder können Schwellenwert senken

NIS2 schützt deine digitale Infrastruktur. Das KRITIS-Dachgesetz schützt deine physische Anlage. Viele Betreiber fallen unter beide Gesetze gleichzeitig – und müssen damit sowohl IT-Sicherheitsmaßnahmen als auch physische Resilienzmaßnahmen nachweisbar umsetzen. Eine ISO 27001-Zertifizierung allein reicht nicht.

03 // Bin ich betroffen?

Wer fällt unter welches Gesetz – und wie erkenne ich das?

Die erste und wichtigste Frage ist: Fällt mein Unternehmen überhaupt unter NIS2 oder das KRITIS-Dachgesetz? Beide Gesetze fordern, dass Betreiber sich selbst identifizieren – eine Behörde kommt nicht proaktiv auf dich zu. Wer die eigene Betroffenheit falsch einschätzt und sich nicht registriert, haftet trotzdem.

NIS2 betrifft dich, wenn:

  • Dein Unternehmen in einem der 18 definierten Sektoren tätig ist (siehe unten)
  • Du als wesentliche Einrichtung gilt: mehr als 250 Mitarbeiter oder mehr als 50 Mio. EUR Umsatz UND mehr als 43 Mio. EUR Bilanzsumme
  • Du als wichtige Einrichtung gilt: mehr als 50 Mitarbeiter oder mehr als 10 Mio. EUR Umsatz UND mehr als 10 Mio. EUR Bilanzsumme
  • Unabhängig von der Größe, wenn du als KRITIS-Betreiber eingestuft bist

KRITIS-Dachgesetz betrifft dich, wenn:

  • Du eine kritische Anlage betreibst, deren Ausfall mindestens 500.000 Menschen betrifft
  • Dein Bundesland niedrigere Schwellenwerte definiert hat – dann auch bei geringerer Versorgungsreichweite
  • Du vom BBK oder der zuständigen Fachbehörde als KRITIS-Betreiber identifiziert wurdest
Sektor 01
Energie
Stadtwerke, Netzbetreiber, Kraftwerke, Ladenetz
Sektor 02
Wasser
Wasserversorger, Abwasserentsorgung, Kläranlagen
Sektor 03
Gesundheit
Krankenhäuser, Labore, Pharmahersteller, Medizingeräte
Sektor 04
Transport / Verkehr
Bahn, Flughäfen, Häfen, ÖPNV-Betreiber
Sektor 05
Digitale Infrastruktur
Rechenzentren, Cloud-Anbieter, Internetknoten, TK
Sektor 06
Finanzwesen
Banken, Börsen, Zahlungsdienstleister, Versicherungen
Sektor 07
Ernährung
Lebensmittelproduktion, Großhandel, Vertrieb
Sektor 08
Abfallwirtschaft
Kommunale Entsorgungsbetriebe, Recyclinganlagen

Die vollständige Sektorenliste umfasst 18 Bereiche – von Energie und Wasser über Gesundheit, Transport, Finanzwesen und digitale Infrastruktur bis hin zu Chemie, Weltraum und Siedlungsabfall. Wenn du unsicher bist: Das BSI stellt unter bsi.bund.de einen Betroffenheitsprüfer bereit. Im Zweifelsfall lohnt sich eine rechtliche Einschätzung – die Selbstidentifizierungspflicht trifft dich unabhängig davon, ob eine Behörde dich kontaktiert hat.

04 // Fristen & Pflichten

Der Fahrplan: Was bis wann zu tun ist

Beide Gesetze kombiniert ergeben einen dichten Fristenkalender. Die wichtigste Erkenntnis vorab: Bei NIS2 gibt es keine Schonfrist für die Maßnahmenumsetzung. Wer zum Zeitpunkt des Inkrafttretens am 6. Dezember 2025 unter das Gesetz fiel, muss die Anforderungen bereits jetzt erfüllen.

06.12.2025
NIS2UmsuCG
NIS2-Umsetzungsgesetz in Kraft. Maßnahmen sofort verpflichtend, keine Übergangsfrist. Persönliche Haftung der Geschäftsleitung greift ab diesem Datum.
Jetzt
06.03.2026
NIS2UmsuCG § 33
Registrierungsfrist beim BSI. Drei Monate nach Inkrafttreten des Gesetzes. Wer sich nicht registriert, verstößt aktiv gegen das Gesetz – auch ohne Sicherheitsvorfall.
Dringend
17.07.2026
KRITISDachG
Registrierungsfrist KRITIS-Dachgesetz beim BBK. Ab diesem Datum drohen Bußgelder bei Nichteinhaltung. Registrierung über gemeinsame BSI/BBK-Plattform (BSI-Meldeportal).
Bald
ca. April 2027
KRITISDachG § 12
Erste physische Risikoanalyse fällig (9 Monate nach Registrierung). Diese Analyse muss dokumentiert, methodisch nachvollziehbar und behördlich vorzeigbar sein.
Vorbereiten
ca. Mai 2027
KRITISDachG
Alle physischen Schutzmaßnahmen umgesetzt (10 Monate nach Registrierung). Perimeterschutz, Zutrittskontrolle, Videoüberwachung, Resilienzplan – alles implementiert und dokumentiert.
Planen
ab 2027
NIS2 § 39 BSIG
Erstmaliger Nachweis über Maßnahmenumsetzung gegenüber BSI – frühestens 3 Jahre nach Inkrafttreten des Gesetzes. Danach alle 3 Jahre für KRITIS-Betreiber kritischer Anlagen.
Zyklisch
05 // Physische Sicherheitspflichten im Detail

Was konkret umgesetzt werden muss – der physische Teil

Sowohl NIS2 als auch das KRITIS-Dachgesetz enthalten explizite physische Sicherheitsanforderungen. Viele Betreiber sind überrascht: Sie haben in IT-Security investiert, aber die physische Seite wurde stiefmütterlich behandelt. Das ändert sich jetzt fundamental.

Physische Risikoanalyse
§ 12 KRITISDachG · NIS2 Art. 21
Systematische Bewertung aller physischen Bedrohungen nach All-Gefahren-Ansatz: Sabotage, Einbruch, Naturereignisse, technische Ausfälle, menschliches Versagen. Mindestens alle vier Jahre, nach relevanten Veränderungen anlassbezogen. Muss dokumentiert und methodisch nachvollziehbar sein.
4-Jahres-Zyklus
Zutrittskontrolle & Perimeterschutz
KRITISDachG · § 30 BSIG
Nachweisliche Implementierung von Zutrittskontrollen, Perimeterschutz, Videoüberwachung und Sicherheitspersonal. Der Stand der Technik ist explizit Maßstab – veraltete Systeme (z.B. MIFARE Classic, Wiegand ohne OSDP) können ein Compliance-Risiko darstellen.
Sofort
Resilienzplan
KRITISDachG
Dokumentiertes Konzept zur Vorbeugung, Bewältigung und Wiederherstellung nach physischen Störfällen. Enthält Alarmierungsketten, Notfallmaßnahmen und Kommunikationsprozesse. BBK stellt Vorlagen bereit – eigene Anpassung ist trotzdem Pflicht.
10 Monate
Nachweispflicht gegenüber Behörden
§ 39 BSIG · KRITISDachG
NIS2: Nachweis alle 3 Jahre gegenüber BSI. KRITIS-Dachgesetz: Nachweis alle 2 Jahre gegenüber BBK. Behaupten reicht nicht – der Nachweis muss dokumentiert, auditfähig und durch Dritte verifizierbar sein. Ein dokumentierter Penetrationstest ist das direkt verwendbare Nachweisformat.
2-3 Jahre
Meldepflicht bei Vorfällen
NIS2 Art. 23 · KRITISDachG
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden an BSI gemeldet werden (Frühwarnung), innerhalb von 72 Stunden vollständig mit Erstbewertung. Physische Vorfälle (Einbruch, Sabotage) sind meldepflichtig, wenn sie den Betrieb kritischer Dienste beeinträchtigen.
24h / 72h
06 // Der Selbstcheck

Fünf Fragen, die du heute beantworten können solltest

Wenn dein Unternehmen unter NIS2 oder das KRITIS-Dachgesetz fällt, sind das die fünf Fragen, auf die du eine dokumentierte Antwort haben musst – nicht irgendwann, sondern jetzt.

Selbstcheck // Physische Compliance NIS2 & KRITISDachG
01 Haben wir uns beim BSI registriert (Frist: 06. März 2026) – und, falls KRITIS-Betreiber, beim BBK (Frist: 17. Juli 2026)?
02 Haben wir eine dokumentierte physische Risikoanalyse nach dem All-Gefahren-Ansatz, die alle Gebäude, Zugangs- und Versorgungsinfrastruktur abdeckt?
03 Entspricht unsere Zutrittskontrolltechnik dem Stand der Technik – oder setzen wir noch auf Systeme, die bekannte kryptografische Schwachstellen haben?
04 Haben wir einen auditfähigen Nachweis, dass unsere physischen Schutzmaßnahmen unter Realbedingungen funktionieren – nicht nur auf dem Papier?
05 Weiß unsere Geschäftsleitung, dass sie für Pflichtverletzungen bei der Umsetzung der Risikomanagementmaßnahmen persönlich mit dem Privatvermögen haftet (§ 38 Abs. 2 BSIG)?

Frage 4 ist die kritischste. „Wir haben eine Zutrittskontrolle" ist kein Nachweis. „Wir haben einen dokumentierten Physical Penetration Test durchgeführt, der unsere Maßnahmen unter Realbedingungen validiert hat" – das ist ein Nachweis.

07 // Der Physical Pentest als Compliance-Werkzeug

Warum ein Physical Penetration Test die direkteste Antwort auf die Nachweispflicht ist

Das KRITIS-Dachgesetz und NIS2 fordern nicht nur, dass Maßnahmen vorhanden sind – sie fordern, dass ihre Wirksamkeit nachgewiesen wird. Das ist ein fundamentaler Unterschied zu bisherigen Anforderungen. Eine Checkliste und ein technisches Datenblatt des Zutrittskontrollsystems reichen nicht aus.

Ein Physical Penetration Test ist das sinnvollste Vorbereitungsinstrument für die Nachweispflicht, weil er:

  • Reale Angriffsbedingungen simuliert: Kein Theorietest, sondern ein kontrollierter Versuch, die physischen Schutzmaßnahmen unter realen Bedingungen zu überwinden – mit denselben Methoden, die ein echter Angreifer nutzen würde.
  • Eine auditfähige Dokumentation liefert: Der Testbericht enthält eine vollständige Aufstellung aller getesteten Angriffsvektoren, gefundener Schwachstellen, ihres Risikopotenzials und konkreter Handlungsempfehlungen. Dieses Format ist direkt als Nachweis gegenüber BSI und BBK verwendbar.
  • Die Grundlage für die Risikoanalyse schafft: Eine physische Risikoanalyse nach § 12 KRITISDachG baut auf dem empirischen Befund auf – was ein Pentest findet, ist keine Theorie, sondern ein gemessenes Risiko. Das macht die Risikoanalyse methodisch belastbar.
  • Investitionen priorisiert: Ohne Pentest wird entweder zu viel in die falschen Bereiche investiert oder zu wenig, ohne es zu wissen. Der Bericht liefert eine priorisierte Maßnahmenliste als direkt verwendbare Investitionsgrundlage.
  • Anlassbezogen wiederholbar ist: Nach baulichen Veränderungen, Dienstleisterwechsel, Personalwechsel im Wachdienst oder nach einem Sicherheitsvorfall – ein aktueller Pentest zeigt den tatsächlichen Stand, nicht den von vor drei Jahren.

Ein dokumentierter Physical Penetration Test belegt, dass die Compliance-Pflicht nicht nur auf dem Papier, sondern unter Realbedingungen erfüllt wurde. Das ist der Unterschied zwischen einer Behauptung und einem Nachweis – und genau das fordern NIS2 und KRITIS-Dachgesetz.

08 // Fazit

Fazit: Die Regulatorik ist da – die Zeit für Abwarten ist vorbei

NIS2 gilt seit Dezember 2025. Das KRITIS-Dachgesetz wurde im Januar 2026 beschlossen. Beide Gesetze bringen erstmals verbindliche physische Sicherheitspflichten mit Nachweischarakter – mit persönlicher Haftung der Geschäftsleitung und Bußgeldern in Millionenhöhe bei Verstößen.

Die Frage ist nicht mehr, ob man handeln muss. Die Frage ist, ob man strukturiert handelt – mit einem klaren Plan, der Registrierung, Risikoanalyse, Maßnahmenumsetzung und Nachweis sauber aufeinander aufbaut. Oder ob man wartet, bis eine Behörde fragt.

Der erste konkrete Schritt ist fast immer derselbe: verstehen, wo die physische Sicherheit heute tatsächlich steht. Nicht in der Dokumentation – sondern in der Realität.

Du weißt, dass du betroffen bist – aber nicht, wo du bei der physischen Sicherheit stehst?

Wir führen strukturierte Physical Penetration Tests durch, die direkt als Nachweis für NIS2 und KRITIS-Dachgesetz verwendbar sind. Dokumentiert, priorisiert, auditfähig.

Kostenloses Erstgespräch anfragen →
Tags // #PhysicalPentest #CER #KRITIS #Resilienz #NIS2 #Compliance

Über Access Granted

Adresse
Albert-Einstein-Straße 1, 95028 Hof
E-Mail
hello@access-granted.de
Telefon
+49 9281 5918506

Nützliche Links

Pentest Portfolio

Think like an Attacker, Act as a Partner

© AccessGranted X GmbH