NIS2 in der Praxis – Teil 13: Umwelt- & physische Sicherheit – wenn Gebäude, Strom & Zutritt mitspielen müssen

Einordnung: NIS2 endet nicht an der Tür zum Serverraum

Mit Firewalls, EDR, Backup und Schulungen sind viele NIS2-Projekte schon gut beschäftigt.
Aber: All diese Maßnahmen helfen wenig, wenn

• der Serverraum vollläuft,
• die Klimaanlage ausfällt,
• der Strom weg ist,
• oder jemand „einfach so“ in sensible Bereiche hineinspazieren kann.

Genau deshalb gibt es im Annex der NIS2-Umsetzungsverordnung (NIS2UmsVO) das Kapitel:

13. Sicherheit des Umfelds und physische Sicherheit

mit den Unterpunkten:

• 13.1 Unterstützende Versorgungsleistungen
• 13.2 Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds
• 13.3 Perimeter und physische Zutrittskontrolle

Auf nis2-umsetzung.com sind diese Anforderungen bereits mit Originaltext, vereinfachter Erklärung und Auditfragen aufbereitet:

👉
13. Sicherheit des Umfelds und physische Sicherheit

Der Annex gilt dabei als „Goldstandard“ für Cybersicherheit, da er Art. 21 NIS2 und §30 BSIG in konkrete, prüfbare Maßnahmen übersetzt.

1. Unterstützende Versorgungsleistungen – ohne Strom & Klima keine IT (13.1)

Unter 13.1 fordert die NIS2UmsVO Maßnahmen, um Verluste, Schäden oder Unterbrechungen durch Ausfälle unterstützender Versorgungsleistungen zu verhindern, insbesondere:

• Stromversorgung
• Temperatur- und Feuchtigkeitsregelung
• Internet- und Netzanbindung
• USV, Notstrom, Brandmelde- und Alarmsysteme

Praktisch bedeutet das:

• Analyse kritischer Versorgungsabhängigkeiten
• Redundanzen (USV, Generator, zweite Internetleitung)
• Monitoring von Strom, Klima und Netzverfügbarkeit
• Verträge mit Dienstleistern inkl. SLA und Eskalationswegen
• regelmäßige Tests (Notstrom, Failover, Klima)

👉
Detailseite 13.1 – Unterstützende Versorgungsleistungen

2. Schutz vor physischen Bedrohungen & Bedrohungen des Umfelds (13.2)

Kapitel 13.2 erweitert den Fokus auf physische und umweltbedingte Risiken, darunter:

• Naturereignisse (Hochwasser, Sturm, Hitze, Feuer)
• vorsätzliche Handlungen (Einbruch, Sabotage, Vandalismus)
• unbeabsichtigte Ereignisse (Wasserschäden, Fehlbedienung)

Typische Maßnahmen sind:

• geeignete Standort- und Baukonzepte
• Brand- und Einbruchmeldeanlagen
• Lösch- und Wasserdetektionssysteme
• klare Melde- und Reaktionsprozesse
• regelmäßige Übungen und Tests

👉
Detailseite 13.2 – Schutz vor physischen Bedrohungen

3. Perimeter & physische Zutrittskontrolle – „nicht jeder überall“ (13.3)

Unter 13.3 wird die physische Zugriffskontrolle konkret geregelt:

• Definition von Sicherheitsperimetern
• Schutz sensibler Bereiche durch Zutrittskontrollen
• Überwachung und regelmäßige Überprüfung
• geregeltes Besuchermanagement

Praxisbausteine:

• Sicherheitszonen (öffentlich, intern, sensibel, hochkritisch)
• elektronische Zutrittskontrollen (Karten, Badges)
• Begleitpflicht für Besucher
• Video- und Alarmtechnik unter Beachtung des Datenschutzes

👉
Detailseite 13.3 – Perimeter und physische Zutrittskontrolle

4. Verzahnung mit anderen NIS2-Bausteinen

Kapitel 13 ist eng verzahnt mit:

• Business Continuity (Kapitel 4)
• Risikomanagement (Kapitel 2)
• Asset Management (Kapitel 12)
• Zugriffskontrolle (Kapitel 11)
• Sicherheit des Personals (Kapitel 10)

Physische Sicherheit ist damit ein integraler Bestandteil der Gesamt-Resilienz.

5. Praxisfahrplan: In 5 Schritten zu physischer Sicherheit nach NIS2

1. Kritische Standorte & Versorgungen identifizieren
2. Redundanzen und Versorgungsrisiken bewerten
3. Physische & Umweltbedrohungen in die Risikobewertung integrieren
4. Perimeter & Zutrittskonzepte definieren und testen
5. Dokumentation & Nachweise pflegen

6. Weiterführende Inhalte

• Annex der NIS2UmsVO – Überblick
• NIS2-Checkliste
• NIS2-Coaching & GAP-Analyse

Abschlussfrage

Wenn morgen ein Brand, Wasserschaden oder Einbruch Ihre NIS2-relevanten Systeme trifft – können Sie nachweisen, dass Ihre physische und Umweltsicherheit nach Annex 13 geplant, umgesetzt, getestet und dokumentiert ist?