Viele Organisationen haben umfangreiche Cybersicherheitsmaßnahmen eingeführt und lassen diese regelmäßig testen. Die CER-Richtlinie verlangt exakt dasselbe für die physische Sicherheit. Das Konzept ist identisch – nur die Angriffsvektoren sind andere.
Unternehmen, die NIS2 bereits ernst nehmen, haben gelernt: systematisches Testen ist besser als blindes Vertrauen in Sicherheitsmaßnahmen. CER überträgt dieses Prinzip auf die physische Welt – mit denselben rechtlichen Konsequenzen bei Verstößen.
CER gilt für Betreiber kritischer Einrichtungen in elf Sektoren – mit erheblicher Überschneidung zu NIS2. Viele Betreiber sind von beiden Richtlinien gleichzeitig betroffen und müssen auf beiden Ebenen Nachweise erbringen.
CER überträgt die Verantwortung für physische Resilienz ausdrücklich auf die Leitungsebene. Das bedeutet: Geschäftsführer und Vorstandsmitglieder haften persönlich, wenn Prüfpflichten nicht erfüllt werden. Es reicht nicht, das Thema an die IT oder den Sicherheitsbeauftragten zu delegieren. Die Pflicht zur Nachweisführung liegt beim Management – und damit auch die persönliche Haftung im Schadensfall.
Artikel 13 CER definiert konkrete Maßnahmen zur physischen Resilienz. Ein Physical Penetration Test ist das Prüfinstrument für die wichtigsten davon – und der Nachweis, den Behörden erwarten.
Betreiber müssen sicherstellen, dass nur autorisierte Personen Zugang zu kritischen Bereichen erhalten. Ein Pentest zeigt, ob diese Kontrollen in der Praxis standhalten – oder nur auf dem Papier existieren.
Zäune, Kameras, Beleuchtung und Barrieren müssen effektiv sein. Wir prüfen, ob sie einen entschlossenen Angreifer tatsächlich aufhalten – oder nur abschrecken sollen.
Nicht alle Bedrohungen kommen von außen. Social Engineering und Insider-Szenarien zeigen, wie resilient eure Organisation gegen interne Risiken wirklich ist.
Mitarbeiter sind die erste und letzte Verteidigungslinie. Wir testen, ob sie Tailgating, Vorwände und Manipulationsversuche erkennen – oder bereitwillig die Tür öffnen.
Wie schnell wird ein physischer Eindringling entdeckt und gemeldet? Wir prüfen die Erkennungs- und Reaktionsfähigkeit eurer Organisation unter realistischen Bedingungen.
Server, Steuersysteme, Leitwarten: die sensibelsten Bereiche brauchen den höchsten Schutz. Wir testen gezielt deren Absicherung – und zeigen, wo die Lücken sind.
Systematisch, dokumentiert und CER-konform – unser Vorgehen liefert den Nachweis, den die Richtlinie fordert und den Behörden erwarten.
Welche Bereiche, Gebäude und Szenarien sollen getestet werden? Wir definieren gemeinsam den Scope – unter Berücksichtigung eurer betrieblichen Anforderungen und CER-Pflichten.
Informationssammlung über euren Standort, öffentlich sichtbare Sicherheitsmaßnahmen, Mitarbeiterbewegungen und potenzielle Einstiegspunkte.
Simulierter Einbruchsversuch unter realistischen Bedingungen: Tailgating, Lock Picking, Social Engineering, USB-Drops – je nach vereinbartem Scope.
Lückenlose Protokollierung aller Testhandlungen, Findings und Zeitpunkte. Bewertung nach Schweregrad, Ausnutzbarkeit und regulatorischer Relevanz.
Vollständiger Bericht mit allen Findings, Handlungsempfehlungen und CER-Mapping gemäß Art. 13. Geeignet als Prüfnachweis für Aufsichtsbehörden und die Geschäftsführung.
CER fokussiert auf physische Resilienz. Diese drei Module decken die zentralen Anforderungen der Richtlinie ab – und liefern den Nachweis, den Behörden erwarten.
Simulierter Einbruchsversuch in eure Einrichtungen: Tailgating, Lock Picking, Perimeter-Tests. Das Kernmodul für den CER-Nachweis – wir testen, ob unbefugter Zutritt möglich ist.
Mehr erfahrenPhishing, Vishing, persönliche Manipulation: die meisten physischen Sicherheitslücken entstehen durch den Faktor Mensch. Wir zeigen, wie weit gezielte Täuschung führt.
Mehr erfahrenFür CER reicht der Test allein nicht – der Nachweis muss auch dokumentiert und behördentauglich sein. Wir liefern einen strukturierten Abschlussbericht als vollwertiges Audit-Dokument.
Mehr erfahren
Think like an Attacker, Act as a Partner