NIS-2 und § 30 BSIG: Warum Zutrittskontrolle für KRITIS-Betreiber zum Audit-Risiko wird

Die meisten KRITIS-Betreiber investieren aktuell in Firewalls, Monitoring und Multi-Faktor-Authentifizierung. Und übersehen genau die Anforderung, die im Audit später unangenehm wird:

Diese Frage steht im Zentrum von § 30 Abs. 2 Nr. 9 BSIG. Und genau dort entstehen aktuell die größten Lücken bei Betreibern kritischer Infrastrukturen.

Was § 30 BSIG für KRITIS-Betreiber vorschreibt

Mit dem neuen BSI-Gesetz wurden die Anforderungen aus der europäischen NIS-2-Richtlinie verbindlich in deutsches Recht überführt. Für KRITIS-Betreiber und besonders wichtige Einrichtungen ist § 30 Abs. 2 BSIG der entscheidende Paragraf.

Er verpflichtet betroffene Einrichtungen, geeignete technische, operative und organisatorische Maßnahmen umzusetzen, um Risiken für ihre Systeme und Prozesse zu minimieren.

Die zehn Pflichtmaßnahmen im Überblick:

Verstöße können mit bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes geahndet werden.

Neun IT-Themen und ein blinder Fleck

Wer die Liste aufmerksam liest, erkennt schnell ein Muster. Die meisten Anforderungen adressieren klassische IT‑Sicherheit. Risikoanalyse, Backup-Management, Schwachstellenmanagement, Kryptografie, Multi-Faktor-Authentifizierung, das sind Themen, die in den Verantwortungsbereich der IT-Abteilung fallen. Genau hier entsteht ein strukturelles Problem.

In vielen KRITIS-Organisationen wird NIS-2 als IT-Projekt aufgesetzt. Das gilt für Energieversorger genauso wie für Krankenhäuser, Wasserversorger, Telekommunikationsanbieter, Logistikunternehmen, Behörden und Finanzdienstleister. Verantwortung wandert in die IT‑Abteilung. Budgets fließen in Netzwerksegmentierung, Endpoint-Security, SIEM-Systeme und Security-Operations.
Das ist richtig. Aber unvollständig.

Eine Firewall schützt nicht, wenn der Serverraum unverschlossen ist.

Punkt 9 lautet: „Konzepte für Personalsicherheit, Zutrittskontrolle und Verwaltung von IKT-Systemen, -Produkten und -Prozessen.“ Diese Anforderung ist nicht rein digital. Sie umfasst die physische und organisatorische Dimension von Sicherheit – und genau hier zeigt sich in der Praxis die größte Lücke.

Was Personalsicherheit und Zutrittskontrolle konkret bedeuten

Personalsicherheit nach § 30 Abs. 2 Nr. 9 BSIG meint mehr als Schulung und Awareness. Sie umfasst alle Prozesse, die sicherstellen, dass Personen nur dann Zugang zu kritischen Systemen, Bereichen und Informationen haben, wenn dies erforderlich, dokumentiert und kontrolliert ist.

In der Praxis entstehen daraus konkrete Pflichten:

Die Realität sieht in vielen Betrieben so aus: Der externe Wartungstechniker trägt sich morgens handschriftlich ins Besucherbuch ein. Danach bewegt er sich allein über das Gelände. Technikräume, Sicherheitsbereiche, Leitstände, sensible Infrastrukturzonen. Welche Bereiche er tatsächlich betreten hat, ist im Nachhinein nicht nachvollziehbar.

Im Alltag fällt das kaum auf. Im Audit sofort.

Warum dieser Punkt in der Umsetzung untergeht

In den vergangenen Monaten haben wir mit zahlreichen KRITIS-Betreibern gesprochen. Aus der Energiewirtschaft, dem Gesundheitswesen, der Wasserversorgung, der Abfallwirtschaft, dem öffentlichen Dienst, der Telekommunikation, dem Verkehrssektor und der Lebensmittelversorgung. Das Bild ist erstaunlich konstant.

Die IT-Abteilung arbeitet konzentriert an den Punkten 1 bis 8 und 10. Firewalls, Backups, Verschlüsselung, MFA, alles auf dem Plan.

Punkt 9 wird hingegen oft delegiert. An die Personalabteilung, an den Werkschutz, an „die Sicherheit“. Es entsteht keine integrierte Verantwortung. Die Folge: Im Audit lassen sich digitale Schutzmaßnahmen sauber nachweisen. Physische und organisatorische Lücken werden sichtbar.

Eine typische Konstellation:

Die Zutrittsverwaltung läuft noch über Schlüssel oder Magnetkarten, oft ohne aktuelle Berechtigungslisten. Fremdfirmen werden am Empfang mit einem Eintrag im Besucherbuch erfasst, ohne Zonenbindung, ohne Dokumentation, ohne Sicherheitsunterweisung. Berechtigungen wurden vor Jahren vergeben und nie überprüft. Sensible Bereiche, von Pumpstationen über Serverräume und Stationsgebäude bis zu Klinikbereichen, Leitwarten oder Verkehrsleitzentralen, sind organisatorisch unterversorgt, obwohl sie zu den sensibelsten Punkten der Infrastruktur gehören.

Solange nichts passiert, fällt das nicht auf. Im Audit oder im Ernstfall hingegen sofort.

Die Verantwortung bleibt bei der Geschäftsführung

§ 30 BSIG delegiert die Verantwortung nicht an die IT‑Abteilung. Sie verbleibt bei der Geschäftsführung. Genau deshalb reicht es nicht aus, wenn physische Zutrittsprozesse „irgendwo im Facility Management“ laufen – ohne klare Nachweisstruktur.

Können Sie im Audit nachweisen, wer wann auf welche Systeme, Räume und Anlagen Zugriff hatte – und warum?

Resilienz entsteht durch Struktur

Die zehn Maßnahmen aus § 30 Abs. 2 BSIG sind nicht voneinander getrennt zu denken. Sie greifen ineinander. Eine Multi-Faktor-Authentifizierung hilft nicht, wenn ein externer Dienstleister unbeaufsichtigt durch sensible Bereiche läuft. Und die beste Firewall schützt nicht, wenn der Zugang zum Serverraum organisatorisch nicht kontrolliert wird.

Wer als KRITIS-Betreiber die Anforderungen heute strukturiert beantwortet, ist morgen gewappnet – für Audits und mögliche Haftungsfragen.

Was Punkt 9 in der Praxis bedeutet

§ 30 BSIG definiert nicht die konkrete Umsetzung, sondern die Pflicht zur Absicherung kritischer Systeme und Prozesse. Für Punkt 9 bedeutet das vorwiegend eines: Betreiber müssen nachvollziehbar steuern, wer Zugang zu sensiblen Bereichen, Anlagen und Systemen erhält.

In der Praxis betrifft das vor allem:

• Sicherheitszonen mit klaren Zutrittsrechten
• revisionssichere Dokumentation aller Zutritte
• professionelles Fremdfirmenmanagement
• geregelte Prozesse für Onboarding, Rollenwechsel und Offboarding
  

Genau hier zeigen sich in Audits häufig organisatorische Lücken.

Die zentrale Frage lautet deshalb:

Können Sie heute lückenlos nachweisen, wer wann Zugriff auf kritische Bereiche und Systeme hatte – und warum?