Zurück zur Übersicht

03.03.2026 Ausgabe: 1&2/2026

Cybersicherheit und Aufzugtechnik

Was müssen Betreiber nach der NIS2-Richtlinie beachten?

Cybersicherheit ist längst nicht mehr nur ein Thema für klassische IT-Systeme. Auch für den Betrieb von Aufzügen gewinnt sie an Bedeutung, da moderne Anlagen heute stark digitalisiert und vernetzt sind. Steuerungen, Notrufsysteme oder Fernwartungslösungen schaffen zwar Komfort und Effizienz, bergen aber auch potenzielle Angriffsflächen. Zwar sind bislang kaum konkrete Schadensfälle durch Cyberangriffe in der Branche bekannt, doch Prüforganisationen, Normungsgremien und Gesetzgeber fordern Betreiber und Hersteller auf, diese Risiken frühzeitig zu identifizieren und mit geeigneten Maßnahmen abzusichern.

Was ist NIS2 grundsätzlich?

Die NIS2-Richtlinie (EU 2022/2555) ist ein EU-Rechtsrahmen zur Steigerung der Cyber- und Informationssicherheit von Netz- und Informationssystemen in der EU. Sie ersetzt die ursprüngliche NIS-Richtlinie und gilt seit 18. Oktober 2024. Zentrale Inhalte sind u. a.:

  • technische und organisatorische Maßnahmen zum Risikomanagement#Meldepflichten bei Cyber-Sicherheitsvor-fällen
  • Verantwortlichkeiten der Geschäftsleitung
  • Registrierungs-pflichten bei Behörden1 

In Deutschland ist die Umsetzung inzwischen per nationalem Gesetz erfolgt (z. B. NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-gesetz – Stand Dezember 2025).2 

Trifft NIS2 Aufzuganlagen direkt?

Nicht automatisch. Die Richtlinie adressiert keine technischen Einrichtungen wie Aufzüge per se, sondern Organisationen bzw. Betreiber, die bestimmte Dienstleistungen erbringen oder kritische Infrastrukturen betreiben.1 

Wann könnten Aufzugbetreiber betroffen sein?

Ein Betreiber kann von NIS2 betroffen sein, wenn er als wesentliche oder wichtige Einrichtung oder Organisation klassifiziert wird. Die Größe des jeweiligen Unternehmens spielt dabei eine Rolle. NIS2 gilt – insbesondere für Einrichtungen, die nicht ausschließlich in Sondersektoren fallen – häufig für Unternehmen, die

  • eine bestimmte Mitarbeiterzahl haben, oder
  • bestimmte Umsatz- oder Bilanzgrößen überschreiten.

Diese Rahmenbedingungen werden EU-weit oder national definiert.1 Wenn also ein Unternehmen mittelgroß oder groß ist und damit die NIS2-Schwellenwerte erfüllt, kann es nach NIS2 relevant werden – aber wiederum nicht wegen des Aufzugs selbst, sondern wegen der Unternehmens- bzw. Infrastrukturrolle. Kriterien hierfür sind z. B.:

  • Branche/sektorale Zugehörigkeit, etwa Transport, Energie, digitale Infrastruktur, Gesundheitswesen etc., je nach Anhang der Richtlinie
  • Unternehmensgröße, etwa große Unternehmen bzw. mittlere, die in Annex-Bereiche fallen
  • Bedeutung der Dienstleistung für Gesellschaft und Wirtschaft, etwa kritische Verkehrsinfrastruktur

Wann ist NIS2 für einen Betreiber relevant?

Ein Aufzugbetreiber gehört zu einem in NIS2 gelisteten Sektor. NIS2 unterscheidet zwischen „wesentlichen“ (essential) und „wichtigen“ (important) Einrichtungen in diversen Sektoren. Ein Aufzugbetreiber kann betroffen sein, wenn er Teil eines größeren Unternehmens ist, das in einem dieser kritischen Sektoren tätig ist, z. B.

  • Betreiber eines öffentlichen Verkehrsnetzes (Transport)
  • Betreiber von Gebäuden mit sicherheitskritischen Funktionen, etwa Krankenhäuser, Energieanlagen
  • Großanlagen eines großen Wirtschaftsunternehmens, das Informationen/Dienste anbietet, die unter NIS2 fallen

Hierzu ist jeweils eine Einzelfallprüfung nötig, weil eine Aufzuganlage allein nicht automatisch sektorisiert ist. Ob und inwieweit Betreiber von der Richtlinie betroffen sind, lässt sich anhand des Entscheidungsbaums zur NIS2-Betroffenheitsprüfung eruieren.5 

Fällt ein Betreiber in den Geltungsbereich von NIS2, z. B. als wesentliche oder wichtige Einrichtung, wird Folgendes zur Pflicht:

  • Maßnahmen zu Risiko- und Sicherheitsmanagement implementieren
  • Cyber Incident Reporting an nationale Behörden oder Computer Security Incident Response Team (CSIRT) binnen kurzer Fristen einrichten
  • Managementverantwortung, Dokumentation und Nachweisführung etablieren
  • Überwachung, IT-Security-Kontrollen nachweisen können6 

Fazit

Für Immobilienverwaltungen gilt grundsätzlich, dass sie in der Regel nicht von NIS2 betroffen sind. Sie zählen normalerweise weder zu den „wesentlichen“ noch zu den „wichtigen“ Einrichtungen im Sinne der Richtlinie, da sie keinem der in der Richtlinie genannten kritischen Sektoren, z. B. Energie, Verkehr, Gesundheit, digitale Infrastruktur, angehören und meist auch nicht die erforderliche system­kritische Funktion erfüllen.

NIS2 kann für Immobilienverwaltungen nur dann relevant werden, wenn sie selbst als Betreiber einer kritischen Infrastruktur eingestuft werden, z. B. Betrieb großer KRITIS-Liegenschaften mit eigener IT-/OT-Leitstelle, oder sie Teil eines Konzerns sind, der als wesentliche oder wichtige Einrichtung nach NIS2 klassifiziert ist und die Aufzugsteuerung in zentrale, vernetzte Betriebs- und Leitsysteme eingebunden ist.

Für Wohn- und Gewerbeverwaltungen ohne KRITIS-Bezug gilt: Es besteht keine unmittelbare NIS2-Pflicht, auch nicht für die von ihnen betreuten Aufzuganlagen. Weiter­gehende Fragen zur Cybersicherheit und zur Einordnung im Kontext der NIS2-Richtlinie beantworten Fachleute für Gebäudefördertechnik und Aufzugmanagement wie Micheli Lift Consult.

Referenzen

1 EU-Kommission (o. J.): NIS2-Richtlinie: neue Vorschriften für die Cybersicherheit von Netz- und Informationssystemen. Gestaltung der digitalen Zukunft Europas, Europäische Kommission, www. digital-strategy.ec.europa.eu/de/policies/nis2-directive, Stand 15.1.2026

2 OpenKRITIS (o. J.): EU NIS2 Direktive: Cybersecurity in Kritischen Infrastrukturen. OpenKRITIS, unabhängige Plattform für KRITIS-und NIS2-Regulierung, www.openkritis.de/eu/eu-nis-2-direktive-kritis.html, Stand 15.1.2026

3 Bundesamt für Sicherheit in der Informationstechnik (BSI) (o. J.): Anlage 2: Sektoren wichtiger Einrichtungen (NIS-2), www.bsi.bund. de/SharedDocs/Downloads/DE/BSI/NIS-2/NIS-2-Sektoren_An-lage-2.html, Stand 15.1.2026

4 Bundesamt für Sicherheit in der Informationstechnik (BSI) (o. J.): NIS-2-Sektoren, Anlage 1: Sektoren besonders wichtiger und wich­tiger Einrichtungen. www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/NIS-2/NIS-2-Sektoren_Anlage-1.html, Stand 15.1.2026

5 Bundesamt für Sicherheit in der Informationstechnik (BSI) (o. J.): Entscheidungsbaum zur Betroffenheit nach NIS-2, www.bsi.bund. de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-betroffenheit-entscheidungsbaum.pdf, Stand 15.1.2026

6 NIS-2-Directive.com (o. J.): The NIS 2 Directive – EU-weit aktuali­sierter Rahmen für Cybersicherheit (englisch), www.nis-2-directive. com, Stand 15.1.2026

VDIV Aktuell Autor - Dr. Marcel Micheli
Micheli, Dr. Marcel

Geschäftsführer
Micheli Lift Consult, Augsburg 
www.micheli-lift-consult.com 

Magazin für Immobilienverwalter