NIS-2 (Artikel 21) fordert physische Sicherheit „soweit angemessen“ basierend auf einer Risikoanalyse. Die konkreten Maßnahmen sind risikobasiert und verhältnismäßig – das heißt, Ihre individuelle Risikoanalyse gemäß § 30 BSIG bestimmt, welche Maßnahmen für Ihre spezifische Anlage erforderlich sind.
Für eingegrenzte kritische Anlagen (Umspannwerke, Kraftwerke, Rechenzentren) umfasst dies nach typischer Risikobewertung: Zutrittskontrolle, Perimeterschutz, Objektüberwachung und nachweisbare Dokumentation.