Zutrittskontrolle im Kontext von NIS2 und KRITIS: Anforderungen an Sicherheit und Resilienz

Mit dem Inkrafttreten der europäischen NIS2-Richtlinie sowie der erweiterten KRITIS-Gesetzgebung in Deutschland rückt die physische Sicherheit von Unternehmen zunehmend in den Fokus regulatorischer Anforderungen. Neben der klassischen IT-Sicherheit gilt der Zugangsschutz zu sensiblen Infrastrukturen als zentrales Element eines wirksamen Cyber-Resilienzkonzepts.

Die physische Zutrittskontrolle bildet eine der ersten Verteidigungslinien gegen sicherheitsrelevante Vorfälle – sei es Sabotage, unautorisierter Zugang zu Serverräumen oder die Manipulation sicherheitskritischer Systeme. Insbesondere in KRITIS-relevanten Branchen, wie Energie, Telekommunikation, Gesundheitswesen oder öffentlicher Verwaltung, ist der Zutrittsschutz nicht nur aus technischer, sondern auch aus regulatorischer Sicht verpflichtend.

Gemäß der Technischen Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03126-5) gelten veraltete Systeme wie Wiegand-Protokolle, unsegmentierte Kartenlösungen oder nicht kryptographisch gesicherte Verbindungen als nicht mehr dem Stand der Technik entsprechend – und damit als nicht konform zu NIS2.

Die NIS2-Richtlinie (EU) 2022/2555 verpflichtet insbesondere „wichtige“ und „besonders wichtige Einrichtungen“ dazu, Maßnahmen zur Vermeidung physischer und digitaler Sicherheitsvorfälle zu implementieren. Hierzu zählen unter anderem:

• Implementierung segmentierbarer Zutrittsmedien (z. B. elektronische Mitarbeiterausweise mit rollenbasierter Berechtigungsvergabe)

• Absicherung kritischer Räume und Anlagen (z. B. Rechenzentren, Schaltschrank-Infrastruktur, Backup-Systeme)

• Dokumentation und Protokollierung von Zutritten (inkl. Audit-Logs und Revisionssicherheit)

• Integration in übergeordnete ISMS (Information Security Management System) sowie Evakuierungs- und Krisenmanagementkonzepte

Diese Maßnahmen sind nicht isoliert zu betrachten, sondern als Teil eines umfassenden Cyber-Resilienzansatzes, der physische, technische, organisatorische und personelle Schutzmaßnahmen gleichermaßen berücksichtigt.

Eine effektive Zutrittskontrolle sollte heute folgende Eigenschaften aufweisen:

• Netzwerkbasierte Architektur mit Unterstützung von Standards wie IEEE 802.1X, TLS 1.2+, AES-128/256

• Integration in vorhandene IT-Security-Architekturen (z. B. über SASE, IDPS, IAM-Systeme)

• Skalierbarkeit und Segmentierung bis auf Raum-, Anlagen- oder Geräteeinheitsebene

• Auditfähigkeit und Berichtswesen gemäß ISO/IEC 27001/27019

• Redundanz und Notfallbetriebsszenarien, etwa für Zutritt im Evakuierungsfall

Zutrittskontrolle wird damit zu einem zentralen Baustein der betrieblichen Sicherheitsarchitektur – insbesondere für Unternehmen, die unter NIS2 oder KRITIS-Regulierung fallen.