David Moser, Senior Vice President und Leiter Digital & Access Solutions bei ASSA ABLOY Opening Solutions EMEIA, beleuchtet ein zentrales neues Thema in der Compliance-Landschaft des Sicherheitsmanagements: die EU-Richtlinie NIS2.

Während in der aktuellen Umsetzung der NIS2-Richtlinie viel über ihre Auswirkungen auf die Cybersicherheit gesprochen wird, wird der Einfluss auf die physische Sicherheit und Zutrittsstrategien vieler Organisationen oft unterschätzt. Tatsächlich markiert NIS2 den Beginn einer neuen Ära der Cyber-physischen Resilienz – mit deutlichen Konsequenzen für Unternehmen, die den Anforderungen der Richtlinie nicht nachkommen.

Von NIS zu NIS2: Mehr Verantwortung und erweiterter Geltungsbereich

Die NIS2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie von 2016 (Network and Information Security) und verschärft die Mindestanforderungen an die IT-Sicherheit kritischer Infrastrukturen erheblich. Zudem erweitert sie ihren Anwendungsbereich auf zahlreiche neue Branchen. Nach Schätzungen der Europäischen Kommission werden rund 160.000 Organisationen unmittelbar von NIS2 betroffen sein.

Für Sicherheits- und Facility-Manager bedeutet das eine entscheidende Veränderung: den Übergang zu einem „All-Hazards-Ansatz“ in der Regulierung. Dieser Ansatz verpflichtet betroffene Organisationen, ihre digitalen Sicherheitsmaßnahmen durch physische Schutzmechanismen und Prozesse zu ergänzen. Ziel ist es, die Sicherheit digitaler Infrastrukturen auch physisch abzusichern – ein entscheidender Schritt angesichts der wachsenden Zahl und Komplexität hybrider Angriffe, bei denen Cyber- und physische Attacken kombiniert werden.

NIS2 und physische Sicherheit: Geltungsbereich, Compliance und Sanktionen

Der Geltungsbereich der NIS2-Richtlinie umfasst eine deutlich breitere Palette von Branchen. Neben klassischen Sektoren wie Energie, Transport, Telekommunikation, Abfallwirtschaft oder Rechenzentren werden nun auch Bereiche wie Gesundheitswesen (inkl. Forschung), digitale Dienste sowie verschiedene Produktionssektoren – etwa Lebensmittel-, Chemie- oder Automobilindustrie – erfasst. Jede Organisation in diesen Sektoren sollte daher prüfen, ob sie unter die neuen Vorgaben fällt.

Ein zentraler Bestandteil der Richtlinie ist die Verpflichtung zu einem umfassenden Risikomanagement, wie in Artikel 21 festgelegt. Demnach müssen Unternehmen „angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen“ ergreifen, um Risiken für die Sicherheit ihrer Netzwerk- und Informationssysteme zu bewältigen – und um die Auswirkungen möglicher Sicherheitsvorfälle zu minimieren.

Das bedeutet konkret: Jede physische Umgebung, in der ein unbefugter Zugriff auf digitale Systeme möglich ist – etwa auf IoT-Geräte, Serverräume, Zutrittskontrollterminals oder Netzwerkinfrastruktur –, muss wirksam vor digitalen, physischen und hybriden Angriffen geschützt werden. Veraltete Zutrittslösungen stellen in diesem Zusammenhang ein erhebliches Sicherheits- und Haftungsrisiko dar.

Die finanziellen Konsequenzen bei Nichteinhaltung sind gravierend: Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes drohen Unternehmen, die gegen die Richtlinie verstoßen.

Auswirkungen auf Zutrittskontrollprozesse und Sicherheitsmanagement

Die Folgen von NIS2 für das Sicherheitsmanagement sind umfassend. Der geforderte All-Hazards-Ansatz verlangt ein Umdenken in der gesamten Sicherheitsstrategie. Unternehmen müssen:

• ihre Risikobewertungen insbesondere für digitale Geräte und Schnittstellen auf dem Gelände präzisieren,
• die Lieferkettensicherheit stärken – etwa durch sicheres Beschaffungs- und Datenmanagement,
• klare physische Zutrittsrichtlinien für Mitarbeitende und Besucher etablieren,
• Schulungen zur Cyber-Hygiene durchführen,
• und Notfall- sowie Wiederherstellungspläne entwickeln, um den Geschäftsbetrieb nach einem Vorfall aufrechtzuerhalten.

Ein zentraler Bestandteil dieser Maßnahmen ist das Zutrittsmanagement. Intelligente, digital vernetzte Zutrittslösungen tragen entscheidend zur Erhöhung der Cyber-physischen Resilienz bei. Moderne Systeme ermöglichen eine verbesserte Identitätsverwaltung, lückenlose Nachverfolgbarkeit und eine flexible Steuerung von Zutrittsrechten – rund um die Uhr, vor Ort oder aus der Ferne.

Durch den Einsatz von zeitlich begrenzten oder automatisch ablaufenden Berechtigungen lässt sich das Risiko unautorisierter Zugänge deutlich reduzieren. Verlorene oder gestohlene Schlüssel können sofort deaktiviert werden – ein erheblicher Vorteil für die Sicherheit sensibler Infrastrukturen.

Digitale Zutrittslösungen als Schlüssel zur NIS2-Compliance

Die digitalen Zutrittslösungen von ASSA ABLOY unterstützen Unternehmen dabei, ihre Sicherheitsarchitektur an die Anforderungen der NIS2-Richtlinie anzupassen. Sie bieten präzise Kontrolle darüber, wer, wann und wo Zugang erhält, und ermöglichen die Integration von Online- und Offline-Systemen in ein einheitliches Managementkonzept.

Die Produktpalette umfasst sowohl komplette digitale Zutrittsmanagementsysteme als auch Hardwarekomponenten zur Nachrüstung bestehender Anlagen. So lassen sich auch bislang schwer zugängliche Bereiche in ein zentrales Sicherheitskonzept einbinden – bis hin zu Schutzklassen 1 bis 4. Kabellose Lösungen ermöglichen eine einfache Installation ohne strukturelle Veränderungen am Gebäude.

In einer Zeit, in der physischer Zugriff zunehmend als eine der größten Schwachstellen in der Cyberabwehr gilt, wird die Verknüpfung physischer und digitaler Sicherheitssysteme zu einem entscheidenden Erfolgsfaktor. Durch die Aufrüstung mit digitalen Zutrittslösungen schließen Unternehmen potenzielle Sicherheitslücken – und erfüllen zugleich die Compliance-Anforderungen der NIS2-Richtlinie.

Fazit

NIS2 markiert einen Wendepunkt im europäischen Sicherheitsmanagement. Die Richtlinie fordert nicht nur höhere Standards in der IT-Sicherheit, sondern rückt erstmals auch die Verschmelzung von Cyber- und physischer Sicherheit in den Mittelpunkt. Für Unternehmen bedeutet das, ihre bestehenden Strukturen kritisch zu prüfen und ganzheitliche Strategien für Resilienz und Compliance zu entwickeln.

Die Experten von ASSA ABLOY stehen Organisationen dabei beratend zur Seite – mit maßgeschneiderten Lösungen, die sowohl den gesetzlichen Anforderungen entsprechen als auch langfristig die Sicherheit und Handlungsfähigkeit der Unternehmen stärken.