Fuhrpark-Sicherheit nach NIS2: Was Fuhrparkmanager, Flottenmanager und Geschäftsführer jetzt wissen müssen

Regulierung & Compliance · März 2026
NIS2 und das KRITIS-Dachgesetz verpflichten Unternehmen zu ganzheitlicher Sicherheit – und die Frist für die Registrierung ist bereits abgelaufen. 

 ~8 Min. Lesezeit

„Wir haben eine Firewall und ein aktuelles Antivirus-Programm – wir sind auf der sicheren Seite." 

Diesen Satz hören Sicherheitsexperten in mittelständischen Unternehmen noch immer regelmäßig. Seit dem 6. Dezember 2025 ist er gesetzlich falsch. Mit dem NIS2-Umsetzungsgesetz und dem unmittelbar darauf folgenden KRITIS-Dachgesetz hat der Gesetzgeber einen neuen, umfassenden Sicherheitsbegriff verankert – einen, der auch die physische Welt einschließt. Und die Uhr tickt bereits.

Die EU-Richtlinie NIS2 (Network and Information Security Directive 2) ist seit Januar 2023 in der EU in Kraft und definiert EU-weit verbindliche Mindeststandards für Cybersicherheit. In Deutschland wurde sie mit dem NIS2-Umsetzungsgesetz am 13. November 2025 vom Bundestag beschlossen und ist seit dem 6. Dezember 2025 geltendes Recht – gut ein Jahr nach der eigentlich vorgeschriebenen EU-Frist vom 17. Oktober 2024, die Deutschland wie viele andere Mitgliedstaaten verpasst hatte.

Ergänzt wird das NIS2-Gesetz durch das KRITIS-Dachgesetz, das der Bundestag am 29. Januar 2026 verabschiedete und das am 17. März 2026 in Kraft getreten ist. Während NIS2 primär die IT-Sicherheit regelt, ist das KRITIS-Dachgesetz die nationale Umsetzung der EU-CER-Richtlinie und adressiert explizit den physischen Schutz kritischer Infrastrukturen. Beide Gesetze zusammen schaffen erstmals einen ganzheitlichen Regulierungsrahmen, der digitale und physische Sicherheit als untrennbare Einheit begreift.

„Klassische Sicherheitskonzepte reichen nicht mehr aus. Wirksame Sicherheitsstrategien entstehen heute durch vernetzte Lösungen, die physische Sicherheit, digitale Systeme und organisatorische Prozesse miteinander verbinden."

Wer ist betroffen?

Die wichtigste Faustregel: Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro, die in einem der 18 regulierten Sektoren tätig sind, fallen unter das Gesetz. Dazu zählen unter anderem Energie, Verkehr, Gesundheitswesen, Lebensmittel, IKT-Dienste und digitale Infrastruktur.

In Deutschland sind insgesamt rund 30.000 Organisationen betroffen – eine dramatische Ausweitung gegenüber den bisher regulierten rund 4.500 Unternehmen. Das Gesetz unterscheidet dabei zwei Kategorien:

• Besonders wichtige Einrichtungen – Unternehmen ab 250 Mitarbeitenden oder über 50 Mio. € Umsatz und 43 Mio. € Bilanz. Für sie gelten die strengsten Anforderungen und Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
• Wichtige Einrichtungen – Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz. Bußgelder betragen bis zu 7 Mio. € oder 1,4 % des Umsatzes.
• Lieferanten und Dienstleister von KRITIS-Unternehmen können indirekt reguliert sein – auch wenn sie selbst die Schwellenwerte nicht erfüllen.

⚠ Achtung: Registrierungsfrist bereits abgelaufen Die gesetzliche Registrierungsfrist endete am 6. März 2026. Betroffene Unternehmen mussten sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim BSI-Portal registrieren. Bis zum Stichtag hatten sich nach Medienberichten erst rund 11.500 von geschätzten 30.000 Einrichtungen registriert. Wer noch nicht registriert ist, handelt ohne Übergangsfrist rechtswidrig.

Persönliche Haftung: Chefsache kraft Gesetz

Eine der einschneidendsten Neuerungen von NIS2 ist die persönliche Haftung der Geschäftsführung. Das ist ein Novum in der europäischen Cybersicherheitsregulierung. Leitungsorgane sind verpflichtet, die Umsetzung von Sicherheitsmaßnahmen aktiv zu überwachen, an Schulungen teilzunehmen und können bei Versäumnissen persönlich haftbar gemacht werden – unabhängig davon, ob das Unternehmen selbst sanktioniert wird.

In der Praxis bedeutet das: Wenn Ihr Fuhrpark ungesichert ist, Schlüssel unkontrolliert weitergegeben werden oder der Zugang zu Firmenfahrzeugen nicht protokolliert wird, liegt die Verantwortung dafür direkt beim Geschäftsführer oder Vorstand. Unwissenheit schützt nicht vor Haftung – gerade weil das Gesetz explizit die Überwachung der Umsetzung zur Pflicht macht.

Wenn Cybersecurity beim Schlüsselbund beginnt

Hier liegt der Kern eines weit verbreiteten Missverständnisses: NIS2 ist kein reines IT-Gesetz. Es fordert umfassende Maßnahmen zum Risikomanagement – und das schließt physische Zugangssicherheit ausdrücklich ein. Das ergänzende KRITIS-Dachgesetz schreibt erstmals vor, dass Betreiber kritischer Anlagen physische Sicherheitsmaßnahmen nicht nur einführen, sondern deren Wirksamkeit auch nachweisen müssen.

Für Unternehmen mit Fuhrpark bedeutet das konkret: Fahrzeugschlüssel sind Zugangsmittel zu Unternehmensressourcen. Wer einen Firmenwagen nutzt, hat Zugang zu Betriebsgelände, Laderampen, Lagerhäusern, Kunden – und in vielen Fällen zu sensiblen Gütern oder kritischen Lieferketten. Ein nicht protokollierter Schlüssel ist ein unkontrollierter Zugangspfad. Und ein unkontrollierter Zugangspfad ist eine Sicherheitslücke – unabhängig davon, wie gut Ihre Firewall konfiguriert ist.

Das Konzept dahinter nennt sich in der Fachsprache Defense in Depth – Sicherheit in Tiefe. Die Idee: Wenn eine Schutzschicht versagt, greifen die nächsten. Digitale Absicherung ist eine Schicht. Physische Schlüsselkontrolle ist eine andere. Beide zusammen ergeben ein compliance-fähiges Gesamtbild.

Wer Firmenschlüssel nicht protokolliert, hat keine lückenlose Dokumentation – und damit keine NIS2-Compliance.

Die gute Nachricht: Für Unternehmen mit Fuhrpark gibt es pragmatische Lösungen, die NIS2-Konformität herstellen, ohne aufwändige IT-Projekte anstoßen zu müssen. Im Kern geht es um zwei Dinge: Registrierung und physische Schlüsselsicherung.

Intelligente Schlüsselkästen – sogenannte Key Management Systeme – protokollieren automatisch, wer wann welchen Schlüssel entnommen und zurückgegeben hat. Das System verknüpft jeden Zugriff mit einer eindeutigen Nutzeridentität (PIN, RFID-Karte oder biometrisch) und erzeugt damit die lückenlose, nachweisbare Dokumentation, die NIS2 fordert. Im Falle einer Prüfung durch das BSI oder eines Sicherheitsvorfalls steht das vollständige Zugriffsprotokoll zur Verfügung.

TRAKA, einer der führenden Anbieter im Bereich elektronisches Schlüsselmanagement, bringt mit März 2026 einen neuen preislich attraktiven Schlüsselkasten für kleinere Flotten auf den Markt -  vollständig NIS2-konform. Erstmalig zu sehen auf dem Flotte! Branchentreff von 25. bis 26. März 2026 in Düsseldorf, Messestand von Rosenberger Telematics 5.C39.

Das System:

• Protokolliert jeden Schlüsselzugriff mit Zeitstempel und Nutzeridentität
• Ermöglicht die digitale Dokumentation für BSI-Prüfungen und interne Audits
• Schränkt den Zugang auf autorisierte Personen ein und macht Schlüssel damit physisch sicher
• Integriert sich in bestehende Flottenmanagementsysteme und ermöglicht die geforderte Digitalisierung des Fuhrparks
• Erzeugt revisionssichere Reports, die als Nachweis der Risikomanagement-Maßnahmen dienen

1) Betroffenheit prüfen: Fallen Sie unter NIS2? Prüfen Sie Mitarbeiterzahl, Umsatz und Sektor. Im Zweifel: ja. Das BSI bietet einen Self-Assessment-Prozess im BSI-Portal an.

2) Sofort registrieren: Falls noch nicht geschehen: Registrierung beim BSI-Portal unverzüglich nachholen. Die Frist ist abgelaufen, Bußgelder drohen.

3) Risikoinventur durchführen: Wo sind physische Zugangspunkte in Ihrem Unternehmen? Schlüssel, Zutrittskarten, Fahrzeuge, Lagerbereiche – alles dokumentieren.

4) Schlüsselmanagement digitalisieren: Elektronische Schlüsselkästen einführen, Fuhrparkzugang protokollieren, Verantwortlichkeiten festlegen. Schon mit kleinen Flotten compliance-fähig.

5) Geschäftsführung schulen: NIS2 verpflichtet die Leitungsebene zur aktiven Überwachung. Schulungen sind keine Empfehlung, sondern gesetzliche Anforderung.

Dieser Blogbeitrag entstand auf Basis eines Gesprächs mit Dipl.-Ing. Friedel Hacker, TRAKA Deutschland. Die rechtlichen Fakten zu NIS2 und dem KRITIS-Dachgesetz wurden anhand öffentlich zugänglicher Quellen verifiziert, darunter das BSI, OpenKRITIS, Wikipedia und Fachquellen wie docusnap.com. Dieser Beitrag stellt keine Rechtsberatung dar.

Veröffentlicht März 2026  ·  NIS2 & Physische Sicherheit  ·  Im Gespräch mit TRAKA Deutschland