NIS2-Gesetz macht physische Sicherheit zur Chefsache
02.01.2026 - 23:23:12Das neue IT-Sicherheitsgesetz verpflichtet Unternehmen zu einem ganzheitlichen Sicherheitsansatz. Bei Verstößen drohen hohe Bußgelder und persönliche Haftung für Geschäftsführer.
Seit Jahresbeginn müssen deutsche Unternehmen physische und digitale Sicherheit gleichrangig behandeln. Der Grund: Das seit Dezember geltende NIS2-Durchführungsgesetz erweitert die IT-Sicherheitspflichten radikal. Ab nächster Woche startet die Registrierung beim BSI – bei Verstößen drohen Millionenstrafen und persönliche Haftung für Vorstände.
Physische Zugänge werden zum Compliance-Risiko
Die Ära der reinen IT-Sicherheit ist vorbei. Das NIS2UmsuCG verpflichtet rund 29.500 „wesentliche“ und „wichtige“ Unternehmen zu einem „All-Hazards-Ansatz“. Das bedeutet: Ein ungesicherter Serverraum oder lasches Besuchermanagement gilt jetzt als genauso schwerer Verstoß wie eine Softwarelücke. Bisher waren nur 4.500 Firmen betroffen.
„Physische und digitale Sicherheit verschmelzen im Risikomanagement“, erklärt ein Rechtsgutachten der RWT Group vom Freitag. Die Sicherheit von Gebäuden wird damit Teil der Corporate Governance – vergleichbar mit Finanzberichten oder Datenschutz. Für viele Firmen bedeutet das eine schnelle Integration von IT-Abteilung und Gebäudesicherheit.
Die NIS2‑Pflichten machen Geschäftsführung und IT jetzt gleichermaßen verantwortlich. Viele Firmen sind auf physische Zutrittslücken, unsichere Schlüssel und unvollständige Dokumentation nicht vorbereitet. Ein kostenloser Leitfaden für Unternehmen erklärt aktuelle Cyber‑Security-Risiken, wie Sie Ihr Sicherheitskonzept praxisnah anpassen, welche Sofortmaßnahmen Vorstände jetzt umsetzen sollten und bietet eine Checkliste für nachweisbaren Fortschritt. Jetzt kostenlosen Cyber-Security-Leitfaden für Unternehmen herunterladen
BSI-Portal startet unter Zeitdruck
Am Dienstag, dem 6. Januar 2026, geht das Registrierungsportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) online. Alle betroffenen Unternehmen müssen sich dort bis März 2026 eintragen. Doch die Registrierung ist nur der erste Schritt.
Die eigentliche Herausforderung sind die aktivierten „Sorgfaltspflichten“. Geschäftsführer und Vorstände haften persönlich für die Umsetzung aller Sicherheitsmaßnahmen. Diese Haftung ist unabweisbar und kann nicht versichert werden. Führungskräfte müssen selbst prüfen, ob ihr Sicherheitskonzept alle Einfallstore – digital wie physisch – abdeckt.
Ein Token für Gebäude und Netzwerk
Der Markt reagiert bereits auf die neuen Anforderungen. Sicherheitsanbieter entwickeln Lösungen, die physischen und digitalen Zugang vereinen. Ein einziger, verschlüsselter Mitarbeiterausweis soll künftig Zugang zum Bürogebäude und zum Firmennetzwerk gewähren.
Ein Beispiel: Der Sicherheitshardware-Anbieter Swissbit hat seine Strategie 2026 genau auf diese Konvergenz ausgerichtet. Seit dem 1. Januar treibt eine neue Führung den Einsatz von Hardware-Security-Tokens voran. Diese „phishing-resistenten“ Schlüssel gelten als Goldstandard für die NIS2-Compliance, da sie strenge Authentifizierungsvorgaben erfüllen und gleichzeitig physische Zugänge sichern.
Besonders heikel wird die Sicherheit in der Lieferkette. Ein aktueller Report von Validato warnt: Externe Dienstleister wie Reinigungspersonal oder Techniker umgehen oft digitale Kontrollen durch ihre physische Anwesenheit. NIS2 verpflichtet Unternehmen nun, das Sicherheitsniveau ihrer gesamten Lieferkette zu prüfen. Schon unsichere Schlüssel beim Facility-Management-Partner können den Kunden in rechtliche Bedrängnis bringen.
Die menschliche Schwachstelle im Fokus
Die Integration physischer Sicherheit erfordert einen Kulturwandel. Während digitale Systeme remote gepatcht werden können, hängt physischer Schutz stark von menschlichem Verhalten ab. „Tailgating“ – das unerlaubte Mitgehen durch Sicherheitstüren – oder offenstehende Notausgänge sind jetzt signifikante Schwachstellen im BSI-Risikomanagement.
Neue Compliance-Richtlinien empfehlen daher „Red Team“-Übungen, die physische Einbrüche testen. Kann ein Angreifer physisch einen Netzwerkanschluss erreichen oder einen Laptop aus einem unverschlossenen Büro stehlen, nützt die beste Server-Verschlüsselung nichts. Das Gesetz schreibt vor, diese physischen Risiken zu dokumentieren, zu bewerten und zu minimieren.
Die Konsequenzen bei Verstößen sind drastisch: Das BSI kann Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen. Bei anhaltenden Verstößen darf die Behörde sogar Geschäftsführer vorübergehend von ihrer Tätigkeit suspendieren – ein Druckmittel, das garantiert, dass das Thema im Vorstand Gehör findet.
Erste Prüfwellen stehen bevor
Im ersten Quartal 2026 wird sich zeigen, wie die Theorie in der Praxis durchgesetzt wird. Das BSI hat zwar signalisiert, nicht sofort am ersten Tag aggressive Prüfungen zu starten. Dennoch wird „nachweisbarer Fortschritt“ erwartet.
Branchenbeobachter rechnen damit, dass die erste Prüfwelle Unternehmen treffen wird, die die März-Frist verpassen oder Sicherheitsvorfälle melden, die auf eklatante physische Sicherheitslücken zurückgehen. Die „All-Hazards“-Doktrin bedeutet: Ein Cyberangriff, der durch einen physischen Einbruch ermöglicht wurde, könnte zum Musterfall für die neuen Haftungsregeln werden.
Die Botschaft für die deutsche Wirtschaft ist klar: Die Wände des Serverraums sind jetzt genauso wichtig wie die Firewall. Mit dem Start des BSI-Portals nächste Woche endet die Ära, in der physische Sicherheit ein nachrangiges Thema war.
PS: Drohen Ihrem Unternehmen wegen einer physischen Sicherheitslücke bald Millionenbußen? Der Gratis-Report fasst praxisnahe Schutzmaßnahmen gegen Phishing, Tailgating und Lieferketten‑Risiken zusammen, erklärt Risikoklassen und dokumentationspflichtige Schritte – ideal für Geschäftsführer und IT‑Verantwortliche, die NIS2‑konform handeln wollen. Gratis-Download: Cyber-Security-Report & Checkliste für NIS2
