Nationale Sicherheitsstrategie und FM

Deutsche Rahmenbedingungen

Die Nationale Sicherheitsstrategie Deutschlands (2023) betont die Notwendigkeit einer wehrhaften Gesellschaft und benennt den Schutz kritischer Infrastrukturen als prioritäre Aufgabe. Das KRITIS-Dachgesetz und das novellierte BSIG setzen NIS2 in deutsches Recht um und verpflichten wesentliche und wichtige Einrichtungen zu technischen und organisatorischen Sicherheitsmaßnahmen. Das BSI veröffentlicht das IT-Grundschutz-Kompendium sowie branchenspezifische Sicherheitsstandards (B3S). Der Verfassungsschutz-Bericht thematisiert Wirtschaftsspionage und physische Bedrohungen, die für FM-Verantwortliche von Relevanz sind.

Schlüsselbegriffe

NIS2-Richtlinie

Europäische Richtlinie zur Netz- und Informationssicherheit, die auch Anforderungen an die physische Sicherheit wesentlicher und wichtiger Einrichtungen stellt.

Kritische Infrastruktur (KRITIS)

Prozesse und Systeme, die so essenziell sind, dass ihr Ausfall die nationale Sicherheit bedroht: Energie, Wasser, Telekommunikation, Finanzen, Transport.

BSIG (BSI-Gesetz)

Deutsches Gesetz über das Bundesamt für Sicherheit in der Informationstechnik; definiert Pflichten für KRITIS-Betreiber und wichtige Einrichtungen, einschließlich physischer Sicherheitsmaßnahmen.

KRITIS-Dachgesetz

Deutsches Gesetz zur Stärkung der Resilienz kritischer Anlagen; verpflichtet Betreiber zu Risikoanalysen, Sicherheitskonzepten und Meldepflichten.

Verkehrssicherungspflicht

Rechtliche Pflicht einer Organisation, durch angemessene Maßnahmen Schäden für Mitarbeitende, Besucher und Betriebsmittel zu verhindern.

Was das Gesetz fordert

Das BSIG und das KRITIS-Dachgesetz verpflichten wesentliche und wichtige Einrichtungen, angemessene technische und organisatorische Maßnahmen zu ergreifen. Artikel 21 der NIS2-Richtlinie nennt physische Sicherheit und Umgebungsschutz ausdrücklich als geforderte Maßnahmen. Das bedeutet, dass Facility Manager in diesen Organisationen verpflichtet sind, physische Sicherheitsmaßnahmen nachweisbar in Ordnung zu halten.

Das Gesetz verlangt einen risikobasierten Ansatz: Organisationen müssen Bedrohungen und Schwachstellen identifizieren und verhältnismäßige Maßnahmen treffen. Für FM bedeutet das eine aktuelle Risikoanalyse der physischen Umgebung, ein dokumentiertes Sicherheitskonzept, funktionierende Zugangskontrolle und Störfallmanagementverfahren. Bei einem schwerwiegenden Sicherheitsvorfall gilt eine Meldepflicht an das BSI.

Auch Organisationen, die nicht unter NIS2 fallen, haben eine Verkehrssicherungspflicht. Das Arbeitsschutzgesetz (ArbSchG) verpflichtet Arbeitgeber zu einer sicheren Arbeitsumgebung. Bei Vorfällen kann ein Gericht prüfen, ob die Organisation angemessene Sicherheitsmaßnahmen ergriffen hatte. Der Facility Manager, der physische Sicherheit strukturell vernachlässigt, trägt rechtliche und Reputationsrisiken. Die nationale Sicherheitsstrategie ist kein abstraktes Regierungsdokument, sondern ein Rahmen mit direkten Konsequenzen für den FM-Alltag.