Euro Security logo white
ASSA ABLOY: NIS 2 ist in Kraft: Cyber- und physische Sicherheit werden zur Chefsache

Februar 20, 2026

Kritische Infrastrukturen

Am 5. Dezember 2025 wurde das NIS-2-Umsetzungsgesetz im Bundesgesetzblatt verkündet – seit dem 6. Dezember gelten die neuen Vorgaben verbindlich. Damit ist die EU-Richtlinie (EU) 2022/2555 in deutsches Recht überführt. Für Unternehmen bedeutet das: Informationssicherheit ist nicht länger Spezialthema der IT, sondern strategische Führungsaufgabe – mit klarer Verantwortung auch für die physische Umgebung kritischer Systeme.

Vom europäischen Rahmen zur nationalen Verschärfung

Mit der Umsetzung modernisiert Deutschland insbesondere das BSI-Gesetz und weitet den Kreis der Verpflichteten massiv aus. Statt bislang rund 4.500 Organisationen fallen künftig etwa 30.000 „besonders wichtige“ und „wichtige“ Einrichtungen unter die Regulierung. Betroffen sind 18 Sektoren – darunter Energie, Verkehr, Gesundheit, Finanzwesen, Wasser, digitale Infrastruktur und Teile der öffentlichen Verwaltung.

Als Orientierung dienen Schwellenwerte von 50 bzw. 250 Beschäftigten sowie bestimmte Umsatz- oder Bilanzsummen. Betreiber kritischer Infrastrukturen gelten unabhängig von ihrer Größe automatisch als „besonders wichtig“. Neu ist zudem, dass auch Einrichtungen der Bundesverwaltung, bestimmte IT-Dienstleister und öffentlich-rechtliche Körperschaften einbezogen sind.

Unternehmen müssen ihre Betroffenheit eigenständig prüfen und sich – sofern einschlägig – beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Ein zweistufiges Verfahren über das BSI-Portal ist vorgesehen. Bereits seit Januar 2026 steht ein Online-Formular zur Meldung erheblicher Sicherheitsvorfälle zur Verfügung.

Pflichten ohne Schonfrist

NIS 2 kennt faktisch keine großzügigen Übergangsfristen. Gefordert werden unter anderem:

  • ein etabliertes Informationssicherheits-Risikomanagement,
  • technische und organisatorische Maßnahmen nach dem Stand der Technik,
  • klare Incident- und Meldeprozesse,
  • Einbindung und Schulung der Geschäftsleitung,
  • Maßnahmen zum Lieferketten- und Notfallmanagement.

Sicherheitsvorfälle dürfen nicht mehr intern „leise“ abgearbeitet werden. Erhebliche Ereignisse sind innerhalb kurzer Fristen an das BSI zu melden. Das erfordert belastbare Eskalationswege, dokumentierte Zuständigkeiten und eine jederzeit erreichbare Organisation.

Der Sanktionsrahmen ist entsprechend deutlich: Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes. Neben finanziellen Risiken stehen Reputationsschäden und persönliche Haftungsfragen im Raum.

Cyber- und physische Sicherheit zusammendenken

Ein zentraler Aspekt von NIS 2 ist der sogenannte „All-Hazards-Ansatz“. Sicherheit soll ganzheitlich betrachtet werden – nicht nur als Schutz vor Cyberangriffen, sondern auch vor physischen Risiken wie Sabotage, Naturereignissen, technischen Defekten oder menschlichem Fehlverhalten.

Für Unternehmen bedeutet das: Firewalls und Endpoint-Security allein genügen nicht. Ebenso relevant ist die Frage, wer Zugang zu Serverräumen, Leitständen oder Produktionsanlagen hat – und wie dieser Zugang kontrolliert, protokolliert und im Notfall entzogen werden kann.

Moderne Zutrittskontroll- und Schließsysteme werden damit Teil des Informationssicherheitsmanagements. Revisionssichere Protokolle, temporäre Berechtigungen für Dienstleister, schnelle Sperrung verlorener Ausweise oder die Integration physischer Ereignisse in zentrale Sicherheitsleitstände unterstützen den NIS-2-Gedanken einer integrierten Resilienzstrategie.

Konkrete Schritte für Unternehmen

Ein strukturierter Einstieg beginnt mit drei Kernfragen:

  • 1. Sind wir von NIS 2 betroffen – und in welcher Kategorie?
  • 2. Wie ist unser aktueller Reifegrad im Informations- und Zutrittsmanagement?
  • 3. Wo bestehen kurzfristige Lücken mit hohem Risiko- oder Haftungspotenzial?

Auf dieser Basis lässt sich eine Roadmap entwickeln, die IT-Sicherheit, organisatorische Prozesse und physische Schutzmaßnahmen kombiniert. Entscheidend ist die frühzeitige Einbindung der Geschäftsleitung. Ohne klare Priorisierung, Budgetierung und regelmäßige Berichterstattung bleibt NIS 2 ein formales Projekt – statt gelebter Sicherheitskultur.

NIS 2 als Chance zur Modernisierung

So anspruchsvoll die Anforderungen erscheinen mögen: NIS 2 bietet auch eine strategische Chance. Viele Unternehmen nutzen die Umsetzung, um veraltete Strukturen zu modernisieren, Prozesse zu standardisieren und Cyber- sowie physische Sicherheit enger zu verzahnen.

Wer die neuen Pflichten nicht nur als regulatorische Last, sondern als Impuls für mehr Resilienz versteht, stärkt langfristig seine Betriebsfähigkeit, reduziert Haftungsrisiken und erhöht das Vertrauen von Kunden, Partnern und Aufsichtsbehörden. In einer zunehmend vernetzten und geopolitisch angespannten Welt wird Sicherheit damit zum Wettbewerbsfaktor – und zur Grundlage einer stabilen, digitalen Infrastruktur.

Weitere Informationen: https://kommunikation.assaabloy.de/blog/nis2-cybersicherheit

Related Articles

Tröstende Worte von KI kommen oft besser an

Feb. 20, 2026

Wunschpartner in Krisen schneiden in umfangreicher wissenschaftlicher Testreihe schlechter ab Menschen bevorzugen zwar Mitgefühl, das von anderen Menschen kommt, aber die Empathie, die Künstliche Intelligenz (KI) mitteilt, empfinden sie als wirksamer. Das haben...

Kommentar: Sicherheit ist mehr als Statistik – und mehr als Polizei

Feb. 19, 2026

Die Polizeiliche Kriminalstatistik 2025 für Baden-Württemberg ist auf den ersten Blick eine Erfolgsgeschichte: weniger Straftaten, hohe Aufklärungsquoten, rückläufige Gewalt im öffentlichen Raum. Das stärkt Vertrauen und zeigt, dass Investitionen in Polizei,...

Share This