Die Sicherheitslage für Unternehmen hat sich grundlegend verändert. Digitale Transformation, vernetzte Produktionsprozesse, globale Lieferketten und geopolitische Spannungen führen dazu, dass Risiken nicht mehr isoliert auftreten. Cyberangriffe, physische Sabotage, Spionage oder Manipulation greifen ineinander. Wer Sicherheit heute noch in einzelnen Gewerken denkt, läuft Gefahr, entscheidende Zusammenhänge zu übersehen.
Die veränderte Bedrohungslage bleibt auch regulatorisch nicht ohne Folgen. Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes im Dezember 2025 sind allein in Deutschland rund 30.000 Unternehmen verpflichtet, ihre Cyberabwehr strukturiert auszubauen. Parallel dazu schafft das KRITIS-Dachgesetz einen verbindlichen Rahmen für den physischen Schutz für rund 2.000 Betreiber kritischer Infrastrukturen. Beide Regelwerke machen deutlich: Sicherheit ist kein isoliertes IT-Thema mehr, sondern eine ganzheitliche Managementaufgabe.
Silodenken als strukturelles Risiko
In vielen Organisationen existieren historisch gewachsene Sicherheitsstrukturen nebeneinander. Die IT-Abteilung verantwortet Firewalls und Patch-Management, der Werkschutz kontrolliert Zutritte, das Facility Management steuert Gebäudetechnik, Instandhaltung und Fremdfirmen, Compliance überwacht regulatorische Vorgaben, das Risikomanagement erstellt Berichte. Jede Einheit erfüllt ihre Aufgabe, jedoch häufig ohne eine ausreichende übergreifende Abstimmung. Gerade an den Schnittstellen zwischen IT, physischer Sicherheit und Gebäudebetrieb entstehen so Risiken, die im Ernstfall erhebliche Auswirkungen haben können.
Dieses Silodenken erzeugt zudem potenziell gefährliche Lücken im Sicherheitsmanagement. Externe Dienstleister erhalten möglicherweise unkontrollierten, physischen Zugang zu sensiblen Bereichen. Gleichzeitig sind Netzwerksegmente nicht ausreichend voneinander getrennt oder mobile Endgeräte unzureichend geschützt. Die physische und die digitale Sicherheit greifen nicht ineinander – und genau dort entstehen Einfallstore.
Wie zuletzt auch mehrfach von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Bundesamts für Verfassungsschutz (BfV) und des Bundesministeriums des Innern und für Heimat (BMI) betont, verlaufen aktuelle Angriffskampagnen zunehmend hybrid. So ist nach einer aktuellen BITKOM-Studie beispielhaft der Anteil der durch ausländische, staatliche Dienste initiierten Angriffe von zuvor sieben Prozent auf zuletzt fast 28 Prozent gestiegen. Diese Angriffe beginnen oftmals mit ganz einfachen ersten Schritten: Social Engineering beginnt mit einer E-Mail, wird über Telefonanrufe vertieft und kann in einem physischen Eindringen in Sicherheitsbereiche münden. Künstliche Intelligenz beschleunigt und automatisiert diese Prozesse zusätzlich. Sicherheitsarchitekturen, die isoliert funktionieren, sind gegen solche kombinierten Szenarien nur begrenzt wirksam.
NIS2 und KRITIS-Dachgesetz: Zwei Seiten derselben Medaille
Die europäische NIS2-Richtlinie adressiert die digitale Dimension. Sie fordert ein strukturiertes, nachweisbares Risikomanagement für Netz- und Informationssysteme, klare Meldeprozesse, technische und organisatorische Schutzmaßnahmen sowie die explizite Verantwortung der Unternehmensleitung. Cybersicherheit wird damit zur Führungsaufgabe.
Das KRITIS-Dachgesetz ergänzt diese Perspektive um die physische Resilienz kritischer Infrastrukturen. Betreiber aus Sektoren wie Energie, Verkehr, Gesundheit, Wasser oder Ernährung müssen ihre Anlagen gegen Sabotage, Naturereignisse und andere physische Gefahren absichern und ihre Widerstandsfähigkeit nachweisen. Ziel ist ein einheitlicher, sektorübergreifender Mindestschutz für besonders versorgungsrelevante Einrichtungen.
Für KRITIS-Unternehmen – und zunehmend auch für Zulieferer in entsprechenden Wertschöpfungsketten – entsteht damit ein doppelter Handlungsdruck. Digitale und physische Sicherheit lassen sich regulatorisch nicht mehr getrennt betrachten. Wer nur eine Seite adressiert, bleibt verwundbar.
Ganzheitliche Sicherheitsarchitektur statt Parallelstrukturen
Die Antwort auf diese Entwicklung kann nur eine integrierte Sicherheitsarchitektur sein. Sie beginnt mit einer umfassenden Analyse: Welche physischen, digitalen und organisatorischen Schutzmechanismen existieren bereits? Welche regulatorischen Anforderungen – etwa aus NIS2 oder dem KRITIS-Dachgesetz – sind konkret einschlägig? Wo bestehen Schnittstellen, wo Lücken? Darauf aufbauend müssen Governance-Strukturen definiert werden. Wer trägt die Gesamtverantwortung für Sicherheit? Wie verlaufen Eskalations- und Meldewege? Wie werden Erkenntnisse aus IT-Sicherheitsvorfällen in das physische Sicherheitskonzept integriert – und umgekehrt?
Eine moderne Sicherheitsleitstelle kann hierbei als Knotenpunkt dienen, indem sie physische Alarme, Zutrittsdaten, Videoüberwachung und IT-Sicherheitsmeldungen zusammenführt. In Verbindung mit einem IT-Sicherheits-SOC (Security Operations Center) können die in beiden Bereichen gewonnenen Daten und Erkenntnisse durch qualifizierte Analysten ausgewertet und zusammengeführt sowie anschließend ganzheitlich betrachtet werden. Entscheidend ist nicht die Technik allein, sondern ihre organisatorische Einbettung in klare Prozesse, Verantwortlichkeiten und Entscheidungsstrukturen.
Ebenso zentral ist die Verzahnung von Prävention und Reaktion. Zutrittskontrollen, Perimeterschutz, Videoüberwachung, Netzwerksegmentierung, Verschlüsselung oder Endpoint-Protection entfalten ihre volle Wirkung erst im Zusammenspiel mit Incident-Response-Prozessen, Krisenstäben und Business-Continuity-Management. Ziel ist es, nicht nur Angriffe abzuwehren, sondern ihre Auswirkungen zu minimieren und die Handlungsfähigkeit auch unter Krisenbedingungen sicherzustellen.
Der Mensch als verbindendes Element
Bei aller Technik bleibt der Mensch ein entscheidender Faktor. Ein Großteil erfolgreicher Angriffe beruht auf menschlichem Fehlverhalten – etwa durch das Öffnen manipulierter E-Mails oder den fahrlässigen Umgang mit Zugangsdaten. Schulungen und Awareness-Programme sind daher integraler Bestandteil einer ganzheitlichen Sicherheitsstrategie.
Gerade im KRITIS-Umfeld ist Sicherheitskultur von zentraler Bedeutung. Mitarbeiter müssen physische Auffälligkeiten ebenso ernst nehmen wie digitale Anomalien. Führungskräfte wiederum müssen Sicherheit vorleben und Investitionen als strategische Notwendigkeit begreifen. Produktionsausfälle, Versorgungsunterbrechungen oder Reputationsschäden sind regelmäßig teurer als präventive Maßnahmen.
Resilienz als strategischer Wettbewerbsvorteil
Unternehmen, die Sicherheit ganzheitlich denken, erfüllen nicht nur regulatorische Vorgaben. Sie stärken ihre Resilienz und erhöhen ihre Stabilität in Krisensituationen. In Ausschreibungen, Lieferketten und Partnerschaften wird ein nachweisbares Sicherheitsniveau zunehmend zum Wettbewerbsfaktor.
NIS2 und das KRITIS-Dachgesetz markieren daher keinen bürokratischen Selbstzweck, sondern einen strategischen Wendepunkt. Sicherheit wird integraler Bestandteil unternehmerischer Steuerung und langfristiger Wertschöpfung.
Integriert oder angreifbar?
Fragmentierte Sicherheitsstrukturen mögen historisch gewachsen sein, zukunftsfähig sind sie nicht. In einer Welt, in der physische und digitale Bedrohungen verschmelzen, kann Sicherheit nur integriert funktionieren. Die regulatorischen Vorgaben durch NIS2 und das KRITIS-Dachgesetz unterstreichen diesen Anspruch. Wer Sicherheit weiterhin getrennt organisiert, bleibt gemeinsam verwundbar. Wer hingegen physische, digitale und organisatorische Schutzmechanismen strategisch verzahnt, schafft einen belastbaren Schutzschild für das eigene Unternehmen und für die Stabilität unserer kritischen Infrastrukturen insgesamt.
Weitere Informationen zum Thema finden Sie auch unter www.koetter.de/nis2