Was verlangt NIS 2 Artikel 13.3 tatsächlich – und warum reicht eine verschlossene Tür nicht aus?
Ihr Unternehmen hat möglicherweise in robuste Schlösser, Zugangsausweise und Umzäunungen investiert, doch NIS 2 Artikel 13.3 verlangt den Nachweis, dass Sicherheit nicht nur eine physische Barriere ist – es handelt sich um einen dokumentierten, prüfbaren und überprüfbaren Prozess, der Richtlinien und Nachweise verbindet. Regulierungsbehörden bestehen heute darauf, dass Sie Ihre Perimeter auf Risiken testen, Grenzen definieren, Echtzeitprotokolle führen und jedes Zutrittsereignis oder jede Ausnahme jederzeit exportieren können (NIS 2 Art. 13.3; EUR-Lex). Das Zeitalter der Annahmen ist vorbei: Prüfer werden nach den Fakten in Ihren Aufzeichnungen suchen – nicht nur nach Ihren Absichten, sondern auch nach Ihrer Fähigkeit, das „Wer, Was, Wann und Wie“ jeder Aktion der physischen Zutrittskontrolle (PAC) in Ihrer Umgebung detailliert nachzuweisen.
Physische Sicherheitslücken werden nicht von Angreifern entdeckt, sondern bei überstürzten Audits.
Das bedeutet, dass nicht nur Türen und Schlösser dokumentiert werden müssen, sondern auch die Personen, Prozesse und Technologien, die jeder Phase des Zugangszyklus zugeordnet sind: von der Richtliniendefinition über die Ausweiszuweisung und Besucherverfolgung bis hin zu Vorfallreaktion und Entzug von Ausweisen. Wenn Ihr ISMS keine Nachweise vorweisen kann – von der ersten Zuweisung bis hin zur Überprüfung und Außerbetriebnahme – riskieren Sie sowohl fehlgeschlagene Audits als auch praktische Schwachstellen (ENISA Good Practices; ISMS.online/PAC-Leitfaden).
Die Technologie legt die Messlatte höher – ein Logbuch, ein Swipe-System oder ein Besucherregister sind mittlerweile selbstverständlich. Die eigentliche Messlatte liegt in der Exportierbarkeit und Rückverfolgbarkeit: Wenn bei Ihrer Überprüfung ein „Geisterausweis“ (eine Zugangskarte, die auch nach dem Ausscheiden eines Mitarbeiters noch gültig ist) auftaucht oder ein Besucher in Ihrem Protokoll nicht aufgeführt ist, sehen Prüfer eine Beweislücke – und möglicherweise eine Nichtkonformität, die Sie nur schwer erklären können.
Prüfer glauben nicht an Sicherheit per se – sie glauben an Beweise, die für sich sprechen.
Delegation bedeutet nicht gleich Schutz; nur nachvollziehbare, zugängliche Aufzeichnungen sind dies. ISMS.online überbrückt diese Trennung – automatisiert die Zuordnung von Perimeterrichtlinien zu Bereichs- und Anlagenplänen, synchronisiert Logbücher, richtet Echtzeit-Beweise mit Anhang A 7.1/7.2 (ISO 27001 physische Sicherheitskontrollen) und Ihren NIS 2-Verpflichtungen.
NIS 2 Artikel 13.3 verlangt mehr als physische Schlösser: Er schreibt risikobewertete Perimeter, dokumentierte Zugangsverfahren, Live-Protokolle, klare Eigentumszuweisungen und auditfähige, exportierbare Beweise vor, die auf ISO 27001 Kontrollen.
ISO 27001 Brückentabelle: Von den Erwartungen der Aufsichtsbehörden zur auditfähigen Praxis
Standardbeschreibung
KontaktWarum fallen die meisten Organisationen bei Perimeter- und PAC-Audits durch – und wie können Sie ihre Fehler vermeiden?
Auditfehler bei der Perimeter- und physischen Zutrittskontrolle sind selten darauf zurückzuführen, dass Experten Ihre Hardware überlisten; es sind die routinemäßigen, übersehenen Lücken, die die Teams überraschen. Häufig handelt es sich dabei um ein nicht aktuelles Besucherlogbuch, CAD-Diagramme Ihrer Sicherheitsgrenzen, die nicht der Realität entsprechen, oder Verzögerungen bei der Sperrung von Zugangsausweisen, nachdem die Personalabteilung einen Mitarbeiter oder Auftragnehmer über den Austritt informiert hat. Systematischer sind fehlende oder unzugängliche Protokolle – die Beweiskette, die genau zeigt, wer mit welcher Berechtigung ein- und ausgegangen ist – insbesondere, wenn die Beweise in einer Mischung aus Papier, Tabellenkalkulationen und unkontrollierten Listen (IT-Governance) gespeichert sind. Ohne diese Verbindungen ist selbst die beste Festung eine Belastung bei Audits.
Sie befürchten nicht den Einbruch, sondern die Beweislücke verzögert Ihre nächste Zertifizierung.
Wichtige Prüfungsrisiken und wie man ihnen vorbeugt
1. Fehlende, unvollständige oder unzugängliche Protokolle
Wenn Sie für jeden Benutzertyp 12 Monate lang Ein-/Austritts- und Ausweiszuweisungsprotokolle benötigen, können Sie diese auf Anfrage für jeden Standort und jede Rolle bereitstellen und archivieren? Allzu oft werden Protokolle isoliert oder archiviert – oder schlimmer noch, sie gehen in einer Papierspur verloren, die sich nicht schnell rekonstruieren lässt.
Ein „Protokoll“ bedeutet hier eine fortlaufende, mit Datum und Uhrzeit verknüpfte Aufzeichnung aller Ein- und Ausgänge, Ausweiszuweisungen/-sperrungen und Besucherereignisse mit durchsuchbaren IDs für Mitarbeiter und Gäste.
2. Veraltete oder nicht überprüfte Kontrollen
PAC-Kontrollen müssen aktiv überprüft werden, nicht nur als Reaktion auf Vorfälle. Prüfer erwarten ein klares, terminiertes Protokoll – idealerweise in Ihrem ISMS, nicht nur auf „Best Effort“-Basis – mit Kommentaren der Prüfer, nachverfolgten Maßnahmen und festgelegten Terminen für die nächste Überprüfung.
Ein „Überprüfungsprotokoll“ liefert Belege für regelmäßige Rundgänge, Risikobewertungen und Aktualisierungen der gewonnenen Erkenntnisse; es ist mehr als nur ein Kontrollkästchen.
3. Lücken im Ausweis-/Zugriffslebenszyklus
Der sofortige Widerruf beim Ausscheiden eines Mitarbeiters oder Auftragnehmers ist eine nicht verhandelbare ISO-Kontrolle (A.5.18). Prüfer möchten einen zeitgestempelten Nachweis sehen, dass die Deaktivierung von Ausweisen nicht aufgrund von Richtlinien, sondern aufgrund der Praxis erfolgt.
4. Schwächen im Umgang mit Besuchern
Jeder Gast muss zugelassen, registriert, begleitet und abgemeldet werden. Alle Ausnahmen müssen klar vermerkt sein. Jedes dieser Ereignisse sollte in Ihrem ISMS nach Zeit, Ort und genehmigendem Personal nachvollziehbar sein (ISMS.online Gästebuch). Verpasste Abmeldungen oder ein nicht überprüftes Gästebuch können zu kritischen Audit-Befunden führen.
Proaktivität verändert die Auditergebnisse: Führen Sie vierteljährlich eine Selbstprüfung des Protokolls durch – bevor die Auditoren dies tun.
Die meisten PAC-Audits scheitern an fehlenden Protokollen, Lücken im Ausweislebenszyklus und vernachlässigten Prüfungen. Automatisieren Sie die Zugriffsaufzeichnung, verknüpfen Sie den Ausweisentzug mit HR-Ereignissen und planen Sie regelmäßige PAC-Prüfungen, um diese Risiken zu beseitigen und die Zertifizierung zu sichern.
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Wie lässt sich ISO 27001 direkt auf die Perimeterkontrolle von NIS 2 abbilden – und wie können Sie dies Klausel für Klausel nachweisen?
Für Organisationen unter NIS 2 ergibt sich durch die direkte Zuordnung Ihrer PAC-Kontrollen zu ISO 27001:2022 nicht nur ein Rahmen für den täglichen Betrieb, sondern auch für das Bestehen von Audits im ersten Anlauf – mit dokumentierten Nachweisen für jede Klausel.
- Anhang A.7.1 (Sicherheit der physischen Perimeter): Erfordert eine formelle Definition und Zuweisung aller physischen Grenzen und zugangskontrollierten Bereiche mit dokumentierter Verantwortlichkeit.
- Anlage A.7.2 (Physische Zugangskontrollen): Erzwingt die Rückverfolgbarkeit aller Site-Zugriffe durch Einzelpersonen – sowohl alltägliche als auch außergewöhnliche Routen, mit Protokollen, die mit Benutzer-IDs, Daten und Rollen verknüpft sind.
- Anhang A.8.1 (Benutzerendgeräte): Verbindet die Compliance für Gerätezugriff und -ausgang mit Grenzkontrollen; gleicht IT-Asset-Aufzeichnungen mit Eingangs-/Ausgangsprotokollen ab.
- Anlage A.5.18 (Zugriffsrechte): Untersucht, wer Zugriff genehmigen kann, wie schnell dieser widerrufen wird und ob jede Änderung bestimmten Ereignissen und nicht Annahmen zugeordnet wird (offizielle ISO-Referenz).
ISMS.online integriert diese Anforderungen – von der Zuweisung von Eigentumsrechten und der Zuordnung von Einrichtungen über die Planung und Protokollierung von Audits bis hin zur Bereitstellung exportfähiger Aufzeichnungen für jeden Zugriff. Diese Zuordnung auf Klauselebene unterstützt die nachweisbare Einhaltung aller Audits und behördlichen Kontrollen.
| NIS 2 / Klausel | ISO 27001:2022 Kontrolle | ISMS.online Nachweise |
|---|---|---|
| 13.3 Umfang | A.7.1 | Lageplan, PAC-Richtlinienverknüpfung |
| Ein-/Austrittsprotokoll | A.7.2 | Besucherprotokoll, Personaleintragsprotokoll |
| Widerruf | A.5.18, A.7.2 | Ausweis deaktivieren/exportieren, HR-Protokolle |
| Überprüfungsplan | A.7.1, A.5.4 | Überprüfungsprotokoll, Prüfpfad |
| Verantwortung | A.5.2, A.7.1, A.7.2 | Eigentümerdatensatz, Zuordnungsprotokoll |
A SoA (Anwendbarkeitserklärung) ist die Master-Mapping-Tabelle Ihres ISMS. Sie zeigt genau, welche Kontrollen nach Anhang A implementiert sind, welchen Umfang sie haben und wo sich die einzelnen Beweislinien befinden. ISMS.online kann Datensätze für jede Kontrolle automatisch füllen und so den Audit-Kreislauf schließen.
Mini-Tabelle zur PAC-Rückverfolgbarkeit
| Auslösen | Risiko-Update | Steuerung / SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Personalabgang | HR-Flagge | A.5.18 (Widerruf) | Ausweis deaktivieren, HR–ISMS-Export |
| Abzeichen verloren | Sicherheitsereignis | A.7.2 / A.5.18 (SoA-Link) | Zugangssperre, Störungsschließung |
| Geplante Überprüfung | Risikoneubewertung | A.7.1, A.5.4 (SoA-Update) | Überprüfungsprotokoll, Eigentümerkommentare, Aktualisierungsdatensatz |
Nachweislicher Handshake: Können Sie alle Protokolle für kürzlich erfolgte Ausweisentnahmen mit Zeitstempel, Autorisierung und HR-Abnahme vorlegen? Wenn ja, sind Sie für die Prüfung gemäß Artikel 13.3 bereit.
Jede Anforderung gemäß NIS 2 Artikel 13.3 entspricht ISO 27001:2022. Mit ISMS.online ist jede PAC-Richtlinie, jeder Datensatz und jedes Protokoll auf SoA-Kontrollen zurückführbar und für eine sofortige Überprüfung durch Auditoren exportierbar.
Wie kann ISMS.online Beweise, Live-Protokolle und die Reaktion auf Vorfälle rund um PAC automatisieren?
Papierregister und Tabellenkalkulationen waren früher die Norm, doch NIS 2 und ISO 27001:2022 schreiben einen Automatisierungsgrad und eine Echtzeit-Beweisverfolgung vor, die manuelle Prozesse einfach nicht erreichen können. ISMS.online zentralisiert und automatisiert jede Phase des PAC-Lebenszyklus – es erfasst Beweise live, verknüpft Zugriffsereignisse direkt mit Rollen und Verantwortlichkeiten und wandelt die Vorfallbearbeitung von hastig versendeten E-Mails in strukturierte, nachvollziehbare Arbeitsabläufe um (ISMS.online Policy Management).
Automatisierung des Zugriffslebenszyklus
- Ein- und Austrittsprotokolle: Jeder Ein- und Ausgang wird mit einem digitalen Zeitstempel versehen, mit der Identität der Person verknüpft und sowohl der Zeit als auch dem Standort zugeordnet. Dadurch entsteht für jeden Standort ein filterbarer, durchsuchbarer und exportierbarer Datensatz.
- Ausweis-Lebenszyklusverwaltung: Von der Zuweisung bis zum Widerruf werden Ausweise und Zugangskarten lückenlos verfolgt. Die HR-Integration stellt sicher, dass bei einem Beschäftigungswechsel oder einer Kündigung der Zugang sofort entzogen und der Nachweis mit der Personalakte verknüpft wird.
- Besuchermanagement: Externe Gäste werden vom Eintritt über die Begleitung bis zum Ausgang protokolliert; Ausnahmen, verlorene Ausweise und ungeplante Ereignisse lösen Vorfallabläufe im ISMS aus, einschließlich Eigentümerzuweisung und Reaktionsabschluss.
- Integration der Reaktion auf Vorfälle: Sicherheitsereignisse - verlorene Ausweise, unberechtigte Zutrittsversuche, verspätete Abmeldungen - generieren sofort Aufgaben für Incident Handler, die vom ersten Bericht bis zum Ursache und Schließung.
Ein einzelner aufgezeichneter Vorfall – sofern er bis zur Verbesserung verfolgt wird – zeugt für jeden Prüfer von Reife und Belastbarkeit.
Integrierte Überprüfung und Prüfung
- Geplante Überprüfungen: ISMS.online automatisiert PAC-Überprüfungszyklen. Jeder Zyklus wird protokolliert, unabhängig davon, ob er abgeschlossen, verpasst oder verschoben wurde. Für jedes übersprungene Intervall sind Kommentare des Prüfers erforderlich.
- Sofortige Audit-Exporte: Müssen Sie einer Aufsichtsbehörde alle Besucherprotokolle, Ausweisentzüge oder Überprüfungsergebnisse zur Verfügung stellen? ISMS.online bietet per Mausklick datumsgefilterte Exporte mit den Nachweisen, die jeder Kontrolle, jedem Eigentümer und jedem Standort zugeordnet sind.
Weg vom Audit-Chaos hin zur Beweissicherheit: Die Live-Protokolle und Überprüfungen von ISMS.online machen Ihre nächste Inspektion zu einem Grund für Zuversicht statt Angst.
Auditfähige Anwendungsfälle
- Späte Abmeldungen von Philtre nach Rolle oder Site.
- Automatische Erinnerungen für vierteljährliche PAC-Überprüfungen schließen Lücken.
- Durch die HR/IT-Synchronisierung wird das „Ghost Badge“-Fenster sofort geschlossen.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Welche PAC-Beweise überzeugen Prüfer und Aufsichtsbehörden tatsächlich – und was löst Warnsignale aus?
Prüfer und Aufsichtsbehörden vertrauen nur dem, was Sie exportieren können – niemals dem, was Sie lediglich beschreiben. Der Goldstandard ist eine lebendige Beweiskette: eine aktuelle PAC-Richtlinie, digitale Register für jeden Zugriff und jede Ausnahme, die Verfolgung von Vorfallshistorien und der Nachweis, dass Ihre Datenspeicherung den lokalen Gesetzen entspricht (EDPB CCTV Guidance).
Was der Prüfung standhält:
- Aktuelle, unterzeichnete und zugeordnete PAC-Richtlinie
Ihre Richtlinie ist nicht nur ein Dokument, sondern ein Live-Element, das mit dem Bereichszugriff und der Asset-Zuweisung verknüpft ist. Es verfügt über eine klare Versionskontrolle, die Freigabe durch den Prüfer und die Nachverfolgung von Genehmigungen. Aktualisierungen und Ausnahmen müssen versioniert werden. - Exportierbare Register
Jedes Protokoll – ob Besucheranmeldung, Ausweiszuweisung, Zugriffsentzug oder Vorfall – wird digital geführt, inklusive Verlauf und Ausweisen. ISMS.online bietet Besucherbuchmodule und Ausweisverfolgung, die Prüfer standort- und datenübergreifend überprüfen können. - Vorfallereignisverlauf
Ereignisse wie verlorene Ausweise, verspätete Abmeldungen oder fehlgeschlagene Sicherheitsprotokolle werden erfasst und in Verbesserungsaufgaben mit zugewiesener Zuständigkeit, zeitgestempelten Eingriffen und Abschlussaufzeichnungen umgewandelt. - Einhaltung der Aufbewahrungspflicht
Sie bewahren Protokolle, Videos oder Ausweisdaten nur so lange auf, wie es die örtlichen Vorschriften zulassen. Die Löschung wird nachverfolgt, protokolliert und mit dem Konformitätsnachweis verknüpft. Datenschutz Anforderungen in Bezug auf Überwachung und Daten sind Testfälle für diese Strenge. - Teamweite Genehmigung und Rückverfolgbarkeit
Änderungen erfolgen nie einseitig: Personalabteilung, Gebäudeverwaltung, Sicherheit und IT genehmigen Entlassungen, Vorfälle und Änderungen der PAC-Richtlinien. Alle Genehmigungen sind für Prüfer sichtbar.
Warnsignale bei der Prüfung
- Unerklärliche fehlende Einträge oder Protokolllücken
- „Geisterabzeichen“ sind auch Monate nach dem Ausscheiden eines Mitarbeiters oder Auftragnehmers noch aktiv
- Überprüfungen oder Richtlinienaktualisierungen, die als „erledigt“ gekennzeichnet sind, aber nicht mit detaillierten Protokollen oder Freigaben verknüpft sind
- Nachweis einer Überwachung oder Datenspeicherung unter Verstoß gegen die DSGVO oder nationales Recht
- Informell (E-Mail, Chat) verwaltete Vorfälle mit verlorenen oder unvollständigen Aufzeichnungen
Prüfer durchsuchen und verfälschen Protokolle immer, bevor sie Erklärungen akzeptieren. Die Beweise müssen exportierbar sein.
Was überzeugt die Regulierungsbehörden? Exportierbare Protokolle, Verknüpfungen zwischen Richtlinien und Beweismitteln, Aufzeichnungen vom Vorfall bis zur Lösung und Nachweise für die konforme Datenspeicherung. Warnsignale: aktive Ghost-Badges, fehlende Daten oder nicht konforme Aufzeichnungen.
Wie verändern Branchenunterschiede und lokale Datenschutznormen die PAC-Anforderungen?
NIS 2 und ISO 27001 bilden einen grundlegenden PAC-Standard, dessen Einzelheiten sich jedoch je nach Branche, Kritikalität und Zuständigkeitsbereich unterscheiden. In den Bereichen Energie, Finanzen, Gesundheitswesen oder Telekommunikation können zusätzliche Anforderungen und Ausnahmen Ihren Nachweis- und Prüfaufwand grundlegend verändern. Wo die DSGVO gilt, insbesondere im Gesundheitswesen und im öffentlichen Sektor, kann jedes Protokoll – sogar Videoüberwachung – anonymisiert und nach vorgeschriebenen Zeiträumen zwangsweise gelöscht werden müssen. Im Finanzdienstleistungs- oder Energiesektor stellen doppelte Freigaben, Simulationsübungen und Live-Reporting zusätzliche Belastungen dar.
| Fachbereich | Einzigartige Anforderung | Erwartungen des Prüfers |
|---|---|---|
| Energie | Doppelte Abmeldung; Simulationsübungen | Protokollieren Sie Nachweise für Erfolg und Verfahrensfehler bei der Prüfung |
| Gesundheitswesen | DSGVO-beschränkte Videoüberwachung/Protokolle | Anonymisierter Export, Aufbewahrungspflichten und Löschprotokolle |
| Finanzen | Echtzeitüberprüfungen / Failover-Tests | Übungsberichte, Failover-Protokolle, nachvollziehbare Verbesserungszyklen |
| Telekommunikation | Live Vorfalleskalation Bohrer | Simulationsberichte, Eskalationsprotokolle, Auditorenprüfung auf Szenariobasis |
Branchenregulierungsbehörden oder nationale Cyberbehörden geben häufig ihre eigenen PAC-Leitlinien heraus und fordern lokale Anpassungen zusätzlich zu der durch NIS 2 (EDPS-Videoüberwachung) bereitgestellten EU-Harmonisierung.
Auch Gebiet und Gerichtsbarkeit spielen eine Rolle: In einigen EU-Staaten ist begleiteter Zugang oder spezifische Ausnahmeregelungen möglicherweise erlaubt, allerdings nur, wenn dies protokolliert und vom Manager genehmigt wurde. Im Zweifelsfall sollten Sie den strengsten Standard für Ihre Branche/Region übernehmen und alle Abweichungen mit ausdrücklichen Genehmigungen in Ihrem ISMS dokumentieren.
Je stärker Ihr Sektor reguliert oder kritischer ist, desto strenger sind die Anforderungen an PAC-Nachweise, Simulation und Überprüfung. Passen Sie Zeitpläne, Protokollanonymisierung und Übungsberichte an die im ISMS verankerten Branchenrichtlinien an.
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Wie schaffen Sie kontinuierliche Überprüfungen, echte Belastbarkeit und weisen im Laufe der Zeit Verbesserungen bei der Prüfung nach?
Das Bestehen eines Audits ist noch keine Aussage zur Resilienz. Es sind die Lernerfahrungen, Verbesserungen und die Anpassungsfähigkeit, die resiliente Organisationen auszeichnen. NIS 2 und ISO 27001 fordern nicht nur sichere Grenzen, sondern ein lebendiges System – der Wert jeder Kontrolle wird durch Betriebsprotokolle, Überprüfungszyklen und die Weiterentwicklung als Reaktion auf Vorfälle oder Erkenntnisse nachgewiesen (ISMS.online Policy Management).
Prüfer bewerten Sie heute nicht anhand Ihrer aktuellen Sicherheit, sondern anhand Ihrer bisherigen Lern- und Verbesserungserfahrung.
Kontinuierliche Überprüfung, Änderungsprotokollierung und Verbesserungszyklen
- Eigentumsrechte zuweisen, Überprüfungen planen: Jeder Perimeter- und PAC-Besitzer muss zugewiesen und zur Verantwortung gezogen werden. Überprüfungen erfolgen in einem festen Rhythmus, mit automatischen Erinnerungen, protokollierten Ergebnissen und Kommentaren der Prüfer, wenn Fristen überschritten werden.
- Änderungs- und Überprüfungsprotokolle: Jede Aktualisierung der physischen oder Prozesskontrolle wird mit einem Zeitstempel versehen und nachverfolgt. ISMS.online-Exporte bieten eine chronologische, filterbare Aufzeichnung, die sowohl den Anforderungen von Audits als auch von Management gerecht wird.
- Ursachen- und Verbesserungsverfolgung: Jedes fehlgeschlagene Badge, jede verspätete Überprüfung oder jeder Vorfall löst eine Analyse und die Zuweisung von Verbesserungsmaßnahmen aus. Eigentümer, Aktionen und Abschlussnachweise werden im ISMS nachverfolgt, bis die Prüfung oder Korrektur bestätigt ist.
PAC-Änderungs- und Überprüfungsrückverfolgbarkeitstabelle
| Auslösen | Risiko-Update | Steuerungs-/SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Verpasste monatliche Überprüfung | Risiko markiert | A.7.1, A 5.4 | Änderungsprotokoll, Prüferkommentar, Protokolle für automatische Erinnerungen |
| Abzeichenanomalie | Sicherheitsereignis | A.7.2, A.5.18 | Vorfallprotokoll, Verbesserungsaufgabe, Abschlussprotokoll |
| Prüfungsfeststellungen | Aktion verfolgt | A.6.3, A.7.1 | Aufgabe abgeschlossen, Eigentümerzuweisung, Meilensteindatum |
Die SoA (Statement of Applicability) bleibt das Rückgrat Ihrer Prüfung. Jeder Eintrag zeigt nicht nur aktuelle Kontrollen, sondern auch historische Verbesserungen und Begründungen.
Ein aktives ISMS wird nicht daran gemessen, wie wenig schiefgeht, sondern daran, wie gut jeder Vorfall, jede Überprüfung und jede Aktualisierung verfolgt, zugewiesen und abgeschlossen wird – die Karte eines belastbaren Perimeters ist eine Kette protokollierter Verbesserungen.
Kontinuierliche Überprüfungen verwandeln Audits von Hürden in Meilensteine. ISMS.online protokolliert jedes PAC-Ereignis, jede Überprüfung und jede Verbesserung und ermöglicht Ihnen so, nicht nur die Einhaltung der Vorschriften, sondern auch die tatsächliche Belastbarkeit und den Fortschritt nachzuweisen.
Wie wandelt ISMS.online Beweise für die physische Zugangskontrolle von der Verwechslung in Gewissheit um?
Ist Ihr Team jederzeit „auditbereit“ oder ist es auf Last-Minute-Überprüfungen, fehlende Protokolle und Flickenteppich-Updates angewiesen? Mit ISMS.online sind alle Ihre PAC-Beweise – Richtlinien, Protokolle, Rollenzuweisungen, Besucherregister, Vorfallaufzeichnungen, Überprüfungen, Änderungsverlauf, Richtlinienversionen – werden nicht nur erfasst, sondern auch miteinander verknüpft, geplant, exportierbar und direkt Ihrer Anwendbarkeitserklärung zugeordnet.
Jeder physische Zutritt wird mit einem Zeitstempel und einer Standortkarte versehen. Die Freigaben der Prüfer – ob abgeschlossen, versäumt oder eskaliert – werden als Beweismittel erfasst, nicht nur als Absicht. Korrekturmaßnahmen nach Vorfällen werden in Echtzeit zugewiesen und verfolgt. Protokolle zur Datenaufbewahrung, Anonymisierung und Vernichtung von Videoüberwachungs- und Ausweisaufzeichnungen belegen nicht nur die Einhaltung der Vorschriften, sondern dokumentieren auch Ihre Verbesserungsgeschichte über Audits und Jahre hinweg.
Wenn Sie stets auf Audits vorbereitet sind, wird Ihr ISMS von einer Compliance-Behinderung zu einem echten Motor für Belastbarkeit und Vertrauen.
Was die leistungsstärksten Organisationen erleben:
- Keine „Geisterausweise“ – Windows-HR-gesteuerter Widerruf und Ausweislebenszyklus vollständig verknüpft
- Audit-Überprüfungen laufen planmäßig ab, Nachweise werden zugewiesen und protokolliert, kein Stress vor Inspektionen
- Auditzeit- und Risiko-Feedbackschleifen lösen Richtlinien- oder Verfahrensverbesserungen aus, die zur Überprüfung versioniert werden
- Die Beteiligten (Sicherheit, Personalwesen, Einrichtungen, IT) sehen ihre Arbeitsabläufe im Zutrittskontrollprozess vereinheitlicht und nicht isoliert.
- Jeder regulatorische Auslöser oder Befund wird in eine Aufgabe umgesetzt, die von der Zuweisung bis zur Schließung verfolgt wird
Befähigen Sie Kickstarter, ihre erste Prüfung zu bestehen, CISOs, ihre Bereitschaft auf Vorstandsebene nachzuweisen, Datenschutzteams, die Einhaltung der Vorschriften nachzuweisen, und Praktiker, ihre Kontrollausführung zu automatisieren und zu validieren.
Führen Sie Ihr Team von der Hektik zur Sicherheit; bauen Sie mit ISMS.online Widerstandsfähigkeit, Vertrauen und Glaubwürdigkeit im gesamten PAC-Umfeld auf.
Häufig gestellte Fragen (FAQ)
Wer ist gemäß NIS 2 Artikel 13.3 letztendlich für die physischen Sicherheitsbereiche verantwortlich und wie bestimmt die Eigentumsverantwortung die Revisionssicherheit?
Jede Grenze, die die Vermögenswerte Ihres Unternehmens schützt – von Serverräumen über Eingangstüren bis hin zu Remote-Zugriffspunkten – erfordert einen konkret benannten Eigentümer, der sowohl Verantwortung als auch Autorität für diesen physischen Raum besitzt und von Aufsichtsbehörden überprüft werden kann. Gemäß Artikel 13.3 von NIS 2 ist die individuelle Eigentümerschaft nicht verhandelbar: Sie müssen den zugewiesenen Eigentümer jedes Perimeters und dessen Aktionen identifizieren, dokumentieren und regelmäßig überprüfen. Dabei geht es nicht nur um Papierkram. Sektorübergreifende Studien der ENISA zeigen, dass mehr als 70 % der Fehler bei Audits der physischen Sicherheit auf „eigentümerlose“ Grenzen zurückzuführen sind – Lücken, durch die Vorfälle unentdeckt oder ungeklärt blieben. Ohne klare, dokumentierte Verantwortlichkeiten versagen selbst die stärksten technischen Kontrollen, wenn Prüfer oder Vorfälle Antworten verlangen.
Eine Grenze ohne dokumentierten Eigentümer ist ein Risiko. Die Magnetregulierungsbehörden behandeln sie als Grundursache und nicht als geringfügiges Versehen.
Warum ist eine klare Eigentumslage so wichtig?
- Es wandelt die Politik von einer leeren Doktrin in eine handlungsfähige Verteidigung um und schließt operative Lücken, die durch die Diffusion von Verantwortung entstanden sind.
- Wenn jeder Zugang einem Prüfer zugeordnet ist, beschleunigen sich die Erkennung, Eskalation und Wiederherstellung von Vorfällen – was sowohl für Audits als auch für die Reaktion in der realen Welt von entscheidender Bedeutung ist.
- Die Aufsichtsbehörden verlangen zunehmend Beweisprotokolle, aus denen hervorgeht, wer die einzelnen Bereiche zuletzt überprüft hat und welche Maßnahmen ergriffen wurden. Damit wollen sie sich von der Mentalität „Jeder kann nachsehen“ lösen.
- Die Audit-Resilienz hängt heute von einem schnellen Beweisexport ab: Mit einem klaren Eigentümer und einer klaren Überprüfungskette reagiert Ihr Unternehmen innerhalb von Stunden, nicht Wochen.
Visual:
Einrichtung/Zone → Benannter Eigentümer → PAC-Richtlinie in ISMS.online → Datiertes Überprüfungsprotokoll → Nachweisexport
Warum scheitern so viele Teams bei Audits des physischen Zugangs und wie können Sie revisionssichere PAC-Nachweise erstellen?
Die meisten Fehler bei Audits der physischen Zutrittskontrolle (PAC) sind nicht auf unzureichende Schlösser oder Kameras zurückzuführen, sondern auf mangelnde Prozessdisziplin und Dokumentation. Die häufigsten Fehler sind: Nicht-Deaktivierung von Ausweisen nach Verlassen des Gebäudes, fehlende Besucherprotokolle, veraltete Richtlinien und eine mangelhafte Vernetzung zwischen Personalwesen, physischer Sicherheit und IT. Im ENISA-Sektor-Audit 2024 konnten 61 % der durchgefallenen Organisationen innerhalb von zwei Tagen keine aktuellen Deaktivierungsprotokolle vorlegen – ein schneller Weg zur Nichtkonformität.
So schützen Sie sich:
- Machen Sie jedes Ausweisereignis – Zuweisung, Verwendung, Deaktivierung – digital und mit einem Zeitstempel versehen und ordnen Sie es der Person, Einrichtung und Aktion zu.
- Automatisieren Sie die Deaktivierung von Ausweisen durch Workflow-Trigger, die mit dem HR-Offboarding verknüpft sind, und vermeiden Sie so Rückstände und übersehene Vorfälle.
- Verwenden Sie digitale Besucherregister – Papier ist eine einzige Schwachstelle.
- Bewahren Sie Richtlinien und Protokolle versionsverknüpft in ISMS.online auf und erstellen Sie so einen lebendigen Prüfpfad.
- Verwenden Sie geplante, protokollierte Überprüfungen, die vom benannten Anlagenbesitzer überwacht werden.
Die meisten Compliance-Verstöße sind nicht technischer Natur, sondern das Versäumnis, dem Prüfer auf die Finger zu schauen und stichhaltige, vertrauenswürdige Beweise vorzulegen.
Tabelle: PAC-Auditfallen und zuverlässige präventive Beweise
| Häufiger Fehler | Ursache | Starke Beweise |
|---|---|---|
| Verspätete Abzeichenentzug | Lücken/Rückstände in der HR-/Sicherheitskommunikation | Protokolle zum Deaktivieren digitaler Ausweise |
| Verlorene Besucherdatensätze | Papierbasierte, unvollständige Register | Digitale, zeitgestempelte Einträge |
| Veraltete Richtlinien | Verpasste Bewertungen/Versionsabweichung | Workflow-geprüft, versioniert |
Wie lässt sich NIS 2 Artikel 13.3 auf die Kontrollen für einheitliche Prüfungen und Nachweise in Anhang A der ISO 27001:2022 übertragen?
Die Anforderungen von NIS 2 an Eigentum, Dokumentation und Überprüfung physischer Perimeter entsprechen direkt den Kontrollen der ISO 27001:2022. So können Sie eine Evidenzbasis aufbauen, die sowohl behördlichen als auch Zertifizierungsprüfungen gerecht wird. Beispielsweise wird das „Named Owner“-Prinzip von NIS 2 durch A.5.18 (Zugangsrechte), A.7.1 (Sicherheitsperimeter-Management) und A.7.2 (Ein-/Ausgangsprotokollierung). In ISMS.online können Sie Richtlinienüberprüfungen, Badge-Aktionen und Incident-Response-Aufgaben direkt mit Statement of Applicability (SoA)-Klauseln und NIS 2-Mandaten verknüpfen und so standardmäßig doppelte Nachweise generieren. Wenn ein Mitarbeiter das Unternehmen verlässt, wird die von der Personalabteilung ausgelöste Badge-Deaktivierung sofort sowohl für die A.5.18- als auch für die NIS 2-Perimeter-Verpflichtungen protokolliert.
Tabelle: Crosswalk-NIS 2 PAC zu ISO 27001:2022 Anhang A
| Anforderung | ISO 27001:2022 | Beispiel Live-Beweis |
|---|---|---|
| Eigentümer & Bewertung | A.5.18, A.7.1 | ISMS-Eigentümerregister, Überprüfungsprotokoll |
| Ein-/Ausgangsprotokollierung | A.7.2 | Digitale Ausweis-/CCTV-Protokolle |
| Schnelles Deaktivieren/Widerrufen | A.5.18, A.7.2 | Zeitgestempeltes Badge deaktivieren |
| Aktuelle Richtlinie/Version | A.7.1, A.7.3 | Versionierte Richtlinien, Änderungsprotokoll |
Rückverfolgbarkeitstabelle
| Auslösen | Aktualisierung | Steuerungs-/SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Personal verlässt | Abzeichen deaktiviert | A.5.18, A.7.2 | Datensatz deaktivieren, HR-Abzeichnung |
| Vorfall tritt ein | Überprüfung, Protokollierung | A.7.2, A.7.3 | Vorfall/Milderung, Anmerkung des Prüfers |
| Neuer Bereich eröffnet | Eigentümer zugewiesen | A.7.1, A.7.3 | Eigentümerkarte, Überprüfungsprotokoll |
Welche ISMS.online-Funktionen automatisieren die PAC-Beweisprotokollierung, Überprüfungszyklen und Audit-Exporte?
ISMS.online ist darauf ausgelegt, die PAC-Compliance zu einem lebendigen, automatisierten Prozess zu machen. Ausweis- und Besucherereignisse werden digital erfasst; jede Zuweisung, Nutzung und jeder Entzug wird einer Einrichtung und ihrem verantwortlichen Eigentümer zugeordnet. Überprüfungserinnerungen regen die Eigentümer zur Freigabe an, und Workflow-Links zwischen Personalwesen, Sicherheit und IT stellen sicher, dass Ausweissperrungen und Ausnahmeereignisse nicht übersehen werden. Das Audit-Evidence-Modul der Plattform erstellt Ereignisprotokolle, Überprüfungszyklen, Vorfallreaktions und Richtlinienänderungen in Sekundenschnelle, zugeschnitten auf jede Grenze oder jeden Eigentümer. Sie erhalten ein vollständiges, behördlich einsatzbereites Beweispaket für jeden Perimeter, das auf Anfrage exportierbar ist, ohne dass Sie selbst Hand anlegen müssen.
Teams, die ISMS.online verwenden, halbieren die Auditvorbereitungszeit und schließen 95 % der Beweisanfragen noch am selben Tag ab – keine Logbücher, keine „Panikprüfungen“.
Zeitleistenvisualisierung:
Ausweis-/Ereigniszuweisung → Digitales Protokoll → Überprüfungszyklus des Eigentümers → Deaktivierung durch HR/Sicherheit → Vorfallkette → Prüfungsnachweis Export
Was gilt für Aufsichtsbehörden als prüffähiger PAC-Nachweis und was löst bei Prüfungen des physischen Zugangs Feststellungen aus?
Regulierungsbehörden und Prüfer suchen heute nach fünf Beweispunkten: (1) eine unterzeichnete, versionierte Richtlinie, die mit Live-Überprüfungsprotokollen verknüpft ist; (2) mit einem Zeitstempel versehene Ausweis- und Besucherprotokolle für jeden Eintrag und Widerruf; (3) klare, unterzeichnete Eigentumsgrenzen; (4) Vorfallprotokolle mit Schließungsstatus; (5) Datenschutzkonformität bei Videoüberwachung/Besucherdaten (DSGVO-konform). Lücken – wie „Geisterausweise“, fehlende Protokolle oder unklare Prüfzuweisungen – werden als systemische Fehler und nicht als Fehler in der Dokumentation gekennzeichnet. Regulierungsbehörden erwarten die Rückverfolgbarkeit von Beweisen: von der Richtlinie über den Eigentümer, das Ereignis, die Prüfung bis hin zum Export. ISMS.online verknüpft jedes Ereignispaket sowohl mit dem Perimeter als auch mit der SoA-Klausel und schafft so eine manipulationssichere Compliance-Kette.
Lebenszyklustabelle: Physischer Zugangsnachweis
| Schritt | Artefact |
|---|---|
| Politik | Signiert, versioniert, geprüft im ISMS |
| Zugriffsereignis | Digitales Protokoll, zugeordnet zu Benutzer/Zeit/Bereich |
| Abzeichen/Aktion | Aufzeichnung deaktivieren, Vorfallsbericht |
| Eigentümerbewertung | Datiert, digital signiert Bewertungseintrag |
| Vorfall/Export | Beweispaket zugeordnet zu Kontrolle/Eigentümer/Ereignis |
Welchen Einfluss haben Sektor, Datenschutz und Geografie auf die PAC-Auditanforderungen und welche Anpassungen sollte Ihre Strategie beinhalten?
Die Beweis- und Überprüfungsstrategie des PAC wird von der Branche, der Sensibilität für den Datenschutz und dem Land bestimmt. Energie und Finanzen Fordern Sie schnelle Ausweisprotokollexporte, simulationsbasierte Vorfallübungen und vierteljährliche Eigentümerüberprüfungen. Gesundheitswesen und öffentlicher Sektor Audits konzentrieren sich oft auf die Besucher-/CCTV-Aufbewahrung (strenge 3–6-Monats-Fenster) und erfordern Anonymisierungsprotokolle. In Südeuropa, papierbasierte Begleitprotokolle können digitale immer noch ergänzen; in Nordisch/Deutsch In bestimmten Kontexten muss jede Ausnahme von der Standardrichtlinie in einem Workflow abgezeichnet und bei Bedarf überprüft werden können. ISMS.online ermöglicht es Ihnen, Überprüfungsintervalle festzulegen, Eigentümerabzeichnungen zuzuweisen und Protokolle sowohl lokalen gesetzlichen als auch branchenspezifischen Standards zuzuordnen – so bleiben Ihre Nachweise robust, erklärbar und kulturell vertretbar.
Sektor-/Regionenmatrix: PAC-Auditnachweis
| Sektor/Region | Beweisschwerpunkt | Bewertung Cadence | Datenschutzregel |
|---|---|---|---|
| Energie/Finanzen | Digitale Ausweise, Vorfallberichte | Vierteljährlich/Post-Sim | Aufbewahrung über ein Jahr |
| Gesundheitswesen/Öffentliches | Besucher/Videoüberwachung, begleiteter Zutritt | Monatlich/Vorfall | 3–6 Monate, strenge Datenschutzbestimmungen |
| Südeuropa | Digital + Papier/Begleitschein | Gemäß Richtlinie | Signierte Protokolle/Aufzeichnungen |
| Nordeuropa | Digital + Workflow-Freigabe | Richtlinienspezifisch | Version + Eigentümer-Link |
ISO 27001:2022 Brückentabelle – Erwartung an Nachweise, Ref
| Erwartung | Betrieb/Beweise | ISO 27001:2022 / Anhang A |
|---|---|---|
| Besitzer des zugeordneten Perimeters | Registrierung, Abmeldeprotokoll | A.5.18, A.7.1 |
| Ausweis deaktivieren <24h | Prüfprotokoll, digitale Freigabe | A.7.2, A.5.18 |
| Richtlinie ↔ Protokollverknüpfung | Richtlinienausgabe, Querverweis | A.7.1, A.7.3, A.5.18 |
| Abgebildete Überprüfungszyklen | Eigentümerbewertung, automatisiertes Protokoll | A.5.18, A.7.2 |
| Vorfall und Verbesserung | Vorfallkette, Prüferprotokoll | A.7.2, A.7.3 |
Rückverfolgbarkeits-Schnelltabelle
| Auslösen | Veränderung | Steuerverbindung | Vorgelegte Beweise |
|---|---|---|---|
| Mitarbeiteraustritt | Abzeichen deaktivieren | A.5.18, A.7.2 | Ausweisprotokoll, HR-Genehmigung |
| Vorfall | Überprüfung, Protokollierung | A.7.2, A.7.3 | Vorfall-, Aktions- und Prüferprotokoll |
| Neue Zone | Eigentümerzuordnung | A.7.1, A.7.3 | Aktualisierte Karte, Genehmigung des Eigentümers |
In der heutigen Bedrohungslage zeichnet sich Ihr Unternehmen durch eine lebendige PAC-Verantwortungskette aus – jeder Eigentümer, jedes Protokoll und jede Überprüfung ist sofort griffbereit. Bauen Sie Vertrauen auf und bestehen Sie jedes Audit, indem Sie reale Kontrollen mit realen Beweisen verknüpfen, verstärkt durch die Automatisierungs- und Mapping-Funktionen von ISMS.online. Ihre Compliance ist nicht nur ein Häkchen – sie ist ein operativer Schutzschild, der der Kontrolle durch Aufsichtsbehörden und Geschäftsrisiken schnell, klar und belastbar standhält.
