CER und NIS2 gemeinsam umsetzen: integriertes Resilienzmanagement für physische und Cyber-Risiken
Kernaussage
CER und NIS2 stammen aus zwei EU-Richtlinien, die am selben Tag verabschiedet wurden, aber unterschiedliche Gefahrenwelten adressieren. Die CER-Richtlinie (EU) 2022/2557 zielt auf die physische All-Gefahren-Resilienz kritischer Einrichtungen, also auf Naturgefahren, technisches und menschliches Versagen, Sabotage, Terror und hybride Bedrohungen. NIS2 (Richtlinie (EU) 2022/2555) zielt auf die Cybersicherheit von Netz- und Informationssystemen. Beide Rahmen sind komplementär, nicht deckungsgleich. Viele Betreiber kritischer Anlagen sind von beiden Pflichtenkreisen zugleich erfasst.
Für die Leitungsebene heißt das: CER und NIS2 sollten nicht als zwei getrennte Compliance-Projekte aufgesetzt werden, sondern als ein integriertes Resilienzmanagement mit gemeinsamer Governance, Risikologik und Nachweisbasis. Wo die Gefahren verschieden sind, bleiben die Steuerungsfunktionen weitgehend dieselben. Genau dort liegt der Hebel.
Problem in der Praxis
In vielen Organisationen sind Cyber- und physische Sicherheit historisch getrennt. NIS2 liegt beim CISO und der IT-Sicherheit, der Objekt-, Werks- und Anlagenschutz bei Facility Management, Werkschutz oder Betriebssicherheit; BCM und Krisenmanagement hängen oft an einer dritten Stelle. Treffen zwei Pflichtenkreise auf diese Aufteilung, entstehen zwei parallele Programme: zwei Risikoanalysen, zwei Maßnahmenkataloge, zwei Meldewege, zwei Nachweissammlungen, zwei Reportingstränge an die Geschäftsleitung.
Das ist teuer und widersprüchlich. Dieselbe Anlage wird zweimal bewertet, oft mit unterschiedlichem Ergebnis. Ein Stromausfall, eine Lieferunterbrechung oder ein Brand betrifft beide Welten gleichzeitig, wird aber getrennt behandelt. Fragt dann Aufsicht, Vorstand oder ein realer Vorfall nach einem konsistenten Lagebild, lassen sich die Welten nicht zusammenführen. Der zweite typische Fehler ist die Annahme, ein gutes ISMS oder NIS2-Programm decke die physische Resilienz nach CER bereits ab. Das ist nicht der Fall: Der All-Gefahren-Objektschutz reicht über den Geltungsbereich eines klassischen ISMS hinaus.
CISO-Einordnung
Aus Managementsicht lohnt es sich, die Gemeinsamkeiten und die Unterschiede sauber zu trennen. Gemeinsam sind beiden Rahmen vier Steuerungselemente: eine Verantwortung der Leitungsebene, eine systematische Risikobewertung, ein Katalog technischer und organisatorischer Maßnahmen sowie Melde- und Nachweispflichten gegenüber einer Behörde. Beide arbeiten zudem mit einem gefahrenübergreifenden Ansatz: NIS2 verlangt nach Artikel 21 ein all-hazards orientiertes Risikomanagement für die IT, CER verlangt einen All-Gefahren-Ansatz für die physische Resilienz. Diese strukturelle Ähnlichkeit ist die Grundlage für ein integriertes Modell.
Verschieden ist der Schutzgegenstand. NIS2 schützt Netz- und Informationssysteme, CER die physische Funktionsfähigkeit der Anlage. Daraus folgen unterschiedliche Maßnahmenfelder: Auf der CER-Seite typischerweise Objekt- und Zutrittsschutz, Redundanz und Ersatzversorgung, Notfall- und Krisenmanagement, Personalsicherheit einschließlich Zuverlässigkeitsüberprüfungen für sensibles Personal sowie Wiederanlauf; auf der NIS2-Seite die Bereiche nach Artikel 21, von Risikoanalyse über Incident Handling, Business Continuity und Lieferkettensicherheit bis zu Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Auch die Zuständigkeiten unterscheiden sich: In Deutschland ist für die physische Resilienz das BBK federführend, für die Cyberseite das BSI; eine gemeinsame Registrierungs- und Meldestelle von BBK und BSI ist vorgesehen.
Umsetzungsperspektive
Der praktische Ansatz ist ein gemeinsames Resilienz-Dach über beiden Pflichtenkreisen, das die geteilten Steuerungselemente einmal betreibt und die gefahrenspezifischen Maßnahmen darunter hängt.
Erstens eine integrierte Risikobewertung. Statt zweier getrennter Analysen wird eine All-Gefahren-Risikobewertung je kritischer Anlage geführt, die Cyber- und physische Szenarien in einem Modell betrachtet und ihre Wechselwirkungen sichtbar macht. Aus dieser einen Bewertung werden die jeweils geforderten Sichten abgeleitet.
Zweitens ein gemeinsames Maßnahmen- und Nachweismanagement. BCM, Krisenmanagement sowie Notfall- und Wiederanlaufplanung wirken für beide Welten und sollten nur einmal existieren. Maßnahmen werden mit Owner, Wirksamkeitskriterium und Nachweis verknüpft, sodass Belege wie Risikobewertungen, Notfallübungen, Wiederanlauftests oder Audit-Ergebnisse einmal im Regelbetrieb entstehen und mehrfach verwendet werden. Hier liegt ein konkreter Synergiepunkt: Behörden können auf Teile bereits vorgelegter Cyber-Nachweise zurückgreifen, etwa nach Paragraf 39 BSIG oder über branchenspezifische Sicherheitsstandards (B3S), um Doppelnachweise zu vermeiden.
Drittens ein abgestimmter Meldeprozess. NIS2 verlangt nach Artikel 23 eine dreistufige Meldung mit Frühwarnung binnen 24 Stunden, Vorfallmeldung binnen 72 Stunden und Abschlussbericht binnen eines Monats. Für erhebliche physische Störungen gilt nach dem nationalen Recht eine unverzügliche Meldung, eine Erstmeldung spätestens binnen 24 Stunden und ein ausführlicher Bericht binnen eines Monats. Ein gemeinsamer Incident- und Meldeprozess mit einer einheitlichen Erstmeldung innerhalb von 24 Stunden und getrennten fachlichen Anschlussberichten bedient beide Regime, ohne die Organisation im Ernstfall zu überfordern.
Viertens eine gemeinsame Governance. Die Leitungsebene billigt die Resilienzstrategie, überwacht die Umsetzung und trägt die Verantwortung für beide Welten in einer Managementbewertung statt in zwei.
Als methodische Referenzen für das Wie eignen sich ISO 22301 (Business Continuity), ISO 31000 (Risikomanagement), ISO/IEC 27001 als ISMS-Rückgrat an der Cyberschnittstelle sowie die IT-Grundschutz-Bausteine zu Notfallmanagement und physischer Infrastruktur. Sie liefern das Wie; das Was und Wozu bleibt regulatorisch vorgegeben.
Typische Fehler
- CER und NIS2 werden als zwei getrennte Projekte mit doppelter Risikoanalyse, doppelten Registern und doppeltem Reporting aufgebaut.
- Ein NIS2-Programm oder ISMS wird mit CER-Konformität gleichgesetzt, obwohl der All-Gefahren-Objektschutz darüber hinausreicht.
- Cyber- und physische Sicherheit bleiben organisatorisch getrennt, sodass kein gemeinsames Lagebild entsteht.
- Kursierende Detailfristen werden als gesichert übernommen, statt sie gegen den Gesetzestext zu prüfen.
- BCM und Krisenmanagement werden je Regime dupliziert, statt sie als gemeinsame Funktion einmal zu betreiben.
Risiken und Trade-offs
Der zentrale Trade-off liegt zwischen Integration und fachlicher Tiefe. Ein gemeinsames Resilienz-Dach spart Aufwand und erzeugt Konsistenz, darf aber die gefahrenspezifische Tiefe nicht verwässern: Cyber-Detailmaßnahmen und physischer Objektschutz brauchen jeweils eigenes Fachwissen. Wer zu stark vereinheitlicht, riskiert eine oberflächliche Scheinabdeckung; wer alles trennt, baut teure Doppelstrukturen.
Ein zweites Risiko ist die Zuständigkeitsunschärfe. Mit BBK und BSI sind zwei Behörden im Spiel; intern muss klar sein, wer für welchen Nachweis und welche Meldung verantwortlich ist. Ein drittes Risiko betrifft die Rechtslage: Die nationale Konkretisierung ist maßgeblich, und mehrere Detailpunkte sind noch nicht abschließend gesichert. Schwellen unterhalb des Regelwerts, der exakte Sektorzuschnitt und einzelne Fristen ergeben sich erst aus dem Gesetzestext und der untergesetzlichen Verordnung.
Entscheidungspunkte
- Welche Anlagen sind sowohl CER- als auch NIS2-relevant, und wo überschneiden sich die Geltungsbereiche?
- Wird ein gemeinsames Resilienz-Dach etabliert, und wer verantwortet es auf Leitungsebene?
- Wie weit wird integriert (Risiko, BCM, Meldung, Governance), und wo bleibt fachliche Trennung sinnvoll?
- Wie wird die Nachweissynergie genutzt, etwa die Wiederverwendung von Cyber-Nachweisen nach Paragraf 39 BSIG oder B3S?
- Welche Detailfristen und Schwellen sind vor verbindlichen Festlegungen am Gesetzestext zu prüfen?
Praktische Empfehlungen
- Erstellen Sie eine gemeinsame Betroffenheitsanalyse, die je Anlage CER- und NIS2-Relevanz in einer Sicht zusammenführt.
- Führen Sie eine integrierte All-Gefahren-Risikobewertung je kritischer Anlage, aus der beide regulatorischen Sichten abgeleitet werden.
- Betreiben Sie BCM, Krisenmanagement und Wiederanlaufplanung als gemeinsame Funktion für Cyber- und physische Szenarien.
- Etablieren Sie einen gemeinsamen Incident- und Meldeprozess mit einer einheitlichen 24-Stunden-Erstmeldung und getrennten fachlichen Anschlussberichten.
- Machen Sie Nachweise zum Nebenprodukt des Regelbetriebs; der Inkrafttretensstand des KRITIS-Dachgesetzes ist amtlich belegt (in Kraft seit 17.03.2026, Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66; Ausnahme Paragraf 14 Absatz 3 bis 5 ab 01.01.2030), während nationale Detailfristen und Schwellen weiterhin gegen die amtliche Quelle zu prüfen sind.
Relevante Normreferenzen
- CER-Richtlinie (EU) 2022/2557: rechtsverbindlicher Rahmen für die physische All-Gefahren-Resilienz kritischer Einrichtungen, EU-Recht, mit Quellenangabe zitierbar; hebt die Richtlinie 2008/114/EG auf.
- KRITIS-Dachgesetz (DE): nationale Umsetzung der CER-Richtlinie; geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Ausnahme: Paragraf 14 Absatz 3 bis 5 ab 01.01.2030; amtliche Fundstelle gesetze-im-internet.de/kritisdachg).
- Richtlinie (EU) 2022/2555 (NIS2), insbesondere Artikel 20, 21 und 23: rechtsverbindlicher Rahmen für die Cybersicherheit; nationale Umsetzung (NIS2-Umsetzungsgesetz) maßgeblich, Stand zu prüfen.
- ISO 22301 und ISO 31000: methodische Referenzen für Business Continuity, Krisenmanagement und Risikomanagement.
- ISO/IEC 27001: ISMS-Referenz an der Cyberschnittstelle; deckt den All-Gefahren-Objektschutz nicht vollständig ab.
- NIST Cybersecurity Framework (CSF): konzeptionelle Mapping-Brücke (Govern, Identify, Protect, Detect, Respond, Recover) ohne direkten Rechtsbezug.
Häufige Fragen
Sind CER und NIS2 dasselbe?+
Nein. NIS2 (Richtlinie (EU) 2022/2555) adressiert Cyber-Risiken, CER (Richtlinie (EU) 2022/2557) die physische All-Gefahren-Resilienz. Sie sind komplementär; viele Betreiber sind von beiden Rahmen erfasst.
Kann ich beide Rahmen in einem Programm umsetzen?+
Ja. Governance, Risikobewertung, BCM, Krisenmanagement und der Meldeprozess lassen sich als gemeinsames Resilienz-Dach betreiben. Die gefahrenspezifischen Maßnahmen, also Cyber-Controls und physischer Objektschutz, bleiben fachlich getrennt darunter.
Deckt mein NIS2-Programm CER bereits ab?+
Nein. Ein ISMS oder NIS2-Programm deckt den All-Gefahren-Objektschutz nicht vollständig ab. CER verlangt zusätzlich physische Resilienzmaßnahmen wie Objekt- und Zutrittsschutz, Redundanz und Personalsicherheit.
Wo entstehen die größten Synergien?+
Bei gemeinsamem BCM und Krisenmanagement, einer integrierten Risikobewertung, einem abgestimmten Meldeprozess und der Wiederverwendung von Nachweisen, etwa nach Paragraf 39 BSIG oder B3S, um Doppelnachweise zu vermeiden.
Welche Behörden sind in Deutschland zuständig?+
Für die physische Resilienz ist das BBK federführend, für die Cyberseite das BSI. Eine gemeinsame Registrierungs- und Meldestelle von BBK und BSI ist vorgesehen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen KRITIS & CER prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: kritis-006.
