NIS2 Chemie: Welche Pflichten Chemie-Unternehmen 2026 erfüllen müssen.

Die Chemie zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit 2025 erweiterten Cybersicherheitspflichten. Für betroffene Chemie-Unternehmen heißt das konkret: Die Umsetzungsfrist der Richtlinie endete am 17. Oktober 2024, in Deutschland gelten die Registrierungs- und Meldepflichten nach dem NIS-2-Umsetzungsgesetz seit dem 6. Dezember 2025, erhebliche Sicherheitsvorfälle lösen eine Frühwarnung innerhalb von 24 Stunden aus, und der unionsrechtliche Bußgeldrahmen reicht je nach Kategorie bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes.

Für das Keyword NIS2 Chemie ist deshalb die zentrale Frage nicht, ob Cybersicherheit allgemein wichtig ist, sondern ob Ihr Chemie-Unternehmen als wichtige oder besonders wichtige Einrichtung einzuordnen ist und wie Sie OT, Produktions-IT, Labor-IT, Lieferkette und Managementpflichten in ein belastbares Betriebsmodell übersetzen. Genau hier setzen die Übersicht zur NIS2-Richtlinie in Deutschland, der Fachbeitrag zu den NIS2-Anforderungen nach Artikel 21, die NIS2-Schulung sowie die Glossareinträge zu NIS2-Richtlinie und KRITIS an.

NIS2 in der Chemie-Branche: Überblick

Die Chemie ist unter NIS2 kein bloßer Unterfall des allgemeinen verarbeitenden Gewerbes, sondern in Deutschland ausdrücklich als eigener Sektor benannt. Anlage 2 BSIG führt die „Produktion, Herstellung und den Handel mit chemischen Stoffen“ als Sektor wichtiger Einrichtungen auf. Das ist für die Praxis entscheidend, weil Chemie-Unternehmen damit nicht nur unter eine abstrakte Technologiepflicht fallen, sondern in einem ausdrücklich geregelten Bereich mit eigener sektoraler Logik stehen.

Die eigentliche Einordnung läuft in der Chemie zweistufig. Zuerst müssen Sie prüfen, ob Ihre Tätigkeit unter die Einrichtungsart in Anlage 2 BSIG fällt. Dort sind Hersteller und Importeure chemischer Stoffe und Gemische genannt, sofern sie in NACE-Kategorie 20 fallen und der Registrierungspflicht nach Art. 6 REACH unterliegen. Erst danach folgt die Größenprüfung. Für viele Unternehmen ist genau diese Reihenfolge der Unterschied zwischen belastbarer Betroffenheitsanalyse und bloßer Vorsichtsannahme.

Die Chemie ist unter NIS2 außerdem besonders deshalb relevant, weil Cybervorfälle hier schnell physische Folgen haben können. Ein Angriff auf Rezepturverwaltung, Prozessleittechnik, Chargendokumentation, Laboranalytik oder Gefahrstofflogistik kann nicht nur Office-Prozesse stören, sondern Produktion, Qualitätssicherung, Auslieferung und gegebenenfalls Umwelt- und Sicherheitsmaßnahmen beeinträchtigen. NIS2 betrachtet deshalb nicht nur klassische Büro-IT, sondern die Systeme und Prozesse, die für die Erbringung Ihrer Dienste tatsächlich kritisch sind.

Die Chemie braucht unter NIS2 deshalb ein integriertes Sicherheitsmodell. § 30 BSIG und Art. 21 NIS2 verlangen dokumentierte, verhältnismäßige und wirksame technische und organisatorische Maßnahmen. Dazu gehören Risikoanalyse, Vorfallbewältigung, Betriebsfortführung, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitsprüfung, Schulungen, Kryptografie, Zugriffskontrollen und Multi-Faktor-Authentifizierung. Für Chemie-Unternehmen heißt das praktisch: Die Sicherheitsorganisation muss Technik, Produktion, Labor, Einkauf, Compliance und Geschäftsleitung zusammenführen.

Welche Chemie-Unternehmen sind betroffen?

Betroffen sind in Deutschland vor allem solche Chemie-Unternehmen, die ausdrücklich in Anlage 2 BSIG genannt sind. Der Gesetzestext erfasst Hersteller und Importeure chemischer Stoffe und Gemische nach REACH, sofern sie in NACE Rev. 2 Kategorie 20 fallen und einer Registrierungspflicht nach Art. 6 REACH unterliegen. Damit ist der gesetzliche Zuschnitt enger und zugleich präziser als eine bloße Branchenüberschrift wie „Chemie“.

Betroffen sein können daher insbesondere klassische Chemiehersteller, Produzenten von Basischemikalien, Spezialchemie-Unternehmen, Hersteller von Lacken, Farben, Klebstoffen, Beschichtungen, Additiven oder industriellen Vorprodukten sowie Importeure entsprechender Stoffe und Gemische. Entscheidend ist nicht nur die Fabrik oder das Werk an sich, sondern die rechtliche Rolle in der Stoff- und Lieferkette. Wer Stoffe herstellt oder importiert, bewegt sich regulatorisch an einer anderen Stelle als ein reiner Distributor ohne eigene registrierungspflichtige Funktion.

Nicht automatisch betroffen sind dagegen alle Unternehmen mit irgendeinem Chemiebezug. Ein kleines Labor, ein reiner Händler ohne die erfasste Einrichtungsart, ein Speziallogistiker oder ein Hersteller chemienaher Endprodukte fällt nicht allein deshalb unter NIS2, weil im Alltag mit Chemikalien gearbeitet wird. Gerade in Konzernstrukturen, ausgelagerten Produktionsmodellen oder gemischten Geschäftsmodellen ist deshalb die juristische Person entscheidend, die die konkrete Tätigkeit erbringt.

Für die Praxis hilft diese Einteilung:

Die Chemie sollte ihre Betroffenheit außerdem nicht isoliert von der Lieferkette prüfen. Viele mittelgroße Chemie-Unternehmen sind kritische Zulieferer für Pharma, Lebensmittel, Wasser, Energie, Medizintechnik, Automobil oder industrielle Produktion. Auch wenn die eigene NIS2-Einstufung formal vom Gesetz abhängt und nicht von der Kundenerwartung, steigt in der Praxis der Druck auf Dokumentation, Auditfähigkeit und Schulung häufig zuerst über Kundenanforderungen und nicht über Behördenkontakt.

Spezifische NIS2-Anforderungen für Chemie

Für Chemie-Unternehmen sind die allgemeinen NIS2-Maßnahmen nicht abstrakt, sondern operativ sehr konkret. § 30 Abs. 2 BSIG verlangt mindestens Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Betriebsfortführung, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitsbewertung, grundlegende Schulungen, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. In der Chemie müssen diese Anforderungen auf Produktions- und Gefahrstoffrealitäten übersetzt werden.

Die erste chemiespezifische Pflicht ist die gemeinsame Betrachtung von IT und OT. Chemieunternehmen betreiben häufig Prozessleitsysteme, SCADA-nahe Umgebungen, SPS-Steuerungen, Laborinformationssysteme, Rezeptur- und Batch-Systeme, Qualitätsmanagementplattformen sowie ERP- und Logistiksysteme. Wenn diese Systeme organisatorisch getrennt gesteuert werden, entstehen blinde Flecken. Ein sauberes NIS2-Programm verbindet deshalb Produktionssteuerung, Fernwartung, Segmentierung, Identitäten, Backups und Wiederanlaufplanung.

Die zweite chemiespezifische Pflicht ist belastbare Betriebsfortführung. In der Chemie kann ein Cybervorfall nicht nur Büroprozesse blockieren, sondern Chargen stoppen, Freigaben verzögern, Laborergebnisse unzugänglich machen, Liefertermine verschieben und sicherheitsrelevante Betriebsabläufe beeinträchtigen. Business Continuity nach § 30 Abs. 2 Nr. 3 BSIG bedeutet hier deshalb nicht nur Datensicherung, sondern Wiederherstellung kritischer Produktions- und Analytikprozesse in einer Reihenfolge, die technisch und regulatorisch funktioniert.

Die dritte chemiespezifische Pflicht ist Lieferkettensicherheit. Chemie-Unternehmen arbeiten mit Rohstofflieferanten, Lohnherstellern, externen Laboren, Instandhaltern, Gefahrgutlogistik, Anlagenherstellern, Fernwartungspartnern und spezialisierten Software-Anbietern. § 30 Abs. 2 Nr. 4 BSIG nennt die Sicherheit der Lieferkette ausdrücklich. In der Chemie reicht es daher nicht, nur den Haupt-IT-Dienstleister zu prüfen. Auch Anlagenzugänge, Rezepturschnittstellen, Dienstleisterkonten und produktionsnahe Wartungsleistungen müssen kontrolliert werden.

Die vierte chemiespezifische Pflicht ist Managementfähigkeit im Vorfall. § 32 BSIG verlangt bei erheblichen Sicherheitsvorfällen eine Erstmeldung binnen 24 Stunden, eine Meldung binnen 72 Stunden und grundsätzlich eine Abschlussmeldung binnen eines Monats. Für Chemie-Unternehmen ist das besonders anspruchsvoll, weil bei Vorfällen oft Technik, Produktion, EHS, Qualität, Recht, Kommunikation und Geschäftsleitung parallel entscheiden müssen. Eine gezielte NIS2-Schulung ist deshalb kein Zusatz, sondern ein Mittel, um diese Entscheidungswege vor dem Ernstfall zu synchronisieren.

Die folgende Gegenüberstellung ist für Chemie-Unternehmen besonders hilfreich:

Branchenspezifische Herausforderungen

Die Chemie hat unter NIS2 vor allem ein OT-Problem, kein reines Office-IT-Problem. Viele Werke arbeiten mit gewachsenen Anlagen, spezialisierten Steuerungen, langen Lebenszyklen und eng getakteten Produktionsfenstern. Genau deshalb kollidieren Patchmanagement, Härtung und Segmentierung oft mit Verfügbarkeitsanforderungen. Ein Chemie-Unternehmen kann auf dem Papier Sicherheitsrichtlinien besitzen und operativ trotzdem verwundbar sein, wenn Altanlagen, Fernwartungszugänge oder nicht dokumentierte Schnittstellen unkontrolliert bleiben.

Die Chemie hat zweitens ein Rezeptur- und Qualitätsproblem. Rezepturen, Spezifikationen, Sicherheitsdaten, Laboranalysen, Freigaben und Chargendokumentation sind nicht nur kaufmännische Informationen, sondern oft Kern des Geschäftsmodells. Ein Angriff auf diese Daten kann Produktionsstillstand, Fehlchargen, Rückrufe oder regulatorische Folgefragen auslösen. Deshalb ist Integrität in der Chemie genauso wichtig wie Verfügbarkeit. NIS2 wird häufig verkürzt als Ausfallthema verstanden, in der Chemie ist Manipulationsschutz aber mindestens ebenso kritisch.

Die Chemie hat drittens ein Lieferkettenproblem. Viele Unternehmen hängen von wenigen Rohstoffen, Spezialanlagen, proprietären Laborgeräten, Rezeptursoftware oder externen Instandhaltern ab. Wenn ein Fernwartungszugang kompromittiert wird oder ein Partner nur unzureichend gesichert ist, trifft der Vorfall schnell mehrere Werke oder Produktionslinien. Die Chemie ähnelt hier eher kritischen Produktionsketten als einem klassischen Bürodienstleister. Gerade deshalb sollten Sie Lieferanten nicht nur nach Einkaufskonditionen, sondern nach Zugriffsrechten, Kritikalität und Incident-Fähigkeit priorisieren.

Die Chemie hat viertens ein Verzahnungsproblem zwischen Cybersecurity und Anlagensicherheit. In Betrieben mit gefährlichen Stoffen, Störfallrisiken oder wassergefährdenden Stoffen reichen isolierte IT-Maßnahmen nicht aus. Cybersecurity muss mit Notfallorganisation, Werkschutz, Umwelt- und Arbeitsschutz, Alarmierung und Behördenkommunikation zusammenpassen. NIS2 ersetzt diese Pflichten nicht, macht aber sichtbar, dass Cybervorfälle auch physische Sicherheitslagen auslösen oder verschärfen können.

Praxisbeispiel: Hubergroup als Lehrstück für Chemie-Unternehmen

Der Fall Hubergroup aus dem Research ist für die Chemie besonders lehrreich. Das Unternehmen, ein großer Hersteller von Druckfarben und chemienahen Produkten, war 2024 von einem Malware-Angriff betroffen, der SAP-Systeme und die Internetanbindung beeinträchtigte und die Produktion für rund zwei Wochen einschränkte. Das Beispiel zeigt, dass in der Chemie nicht nur die klassische OT angegriffen werden muss, damit ein Werk operativ unter Druck gerät. Schon Störungen in ERP-, Rezeptur-, Beschaffungs- oder Freigabeumgebungen können die Produktion wirksam bremsen.

Das Praxisproblem liegt dabei in der Kopplung von Geschäfts- und Produktionsprozessen. Wenn regionale IT-Systeme mit zentralen ERP- oder SAP-Landschaften eng verbunden sind, kann ein Vorfall weit über einzelne Standorte hinauswirken. Für Chemie-Unternehmen ist das besonders riskant, weil Produktionsplanung, Rohstoffverfügbarkeit, Qualitätsfreigaben, Sicherheitsdatenblätter, Versand und Kundenkommunikation oft auf denselben Kernsystemen aufsetzen. NIS2 verlangt daher nicht nur Schutz einzelner Server, sondern ein Verständnis dafür, welche Abhängigkeiten im Ernstfall den größten Schaden erzeugen.

Übertragen auf ein mittelgroßes deutsches Chemie-Unternehmen würde ein ähnlicher Vorfall heute mehrere Pflichten gleichzeitig aktivieren. Zuerst müssten Technik und Werkbetrieb bewerten, ob Verfügbarkeit, Integrität oder Vertraulichkeit kritischer Systeme beeinträchtigt sind. Danach müsste die Einrichtung die Erheblichkeit einordnen, die 24-Stunden-Erstmeldung vorbereiten, Lieferanten- und Kundenabhängigkeiten prüfen und die Geschäftsleitung einbinden. Parallel wären Fragen zu Chargenstatus, Produktionsfortführung, Datenintegrität und physischer Sicherheit zu klären. Genau diese Gleichzeitigkeit macht die Chemie unter NIS2 anspruchsvoll.

Das Beispiel zeigt außerdem, warum Chemie-Unternehmen keine generische Awareness-Schulung brauchen. Werksleitung, IT, OT, Labor, Einkauf, Qualitätsmanagement und Geschäftsführung sehen denselben Vorfall aus unterschiedlichen Perspektiven. Eine spezialisierte NIS2-Schulung bringt diese Perspektiven auf einen gemeinsamen Entscheidungsrahmen: Was ist meldepflichtig, welche Systeme sind kritisch, welche Partner müssen eingebunden werden und wer entscheidet wann über Abschaltung, Wiederanlauf oder externe Kommunikation?

Zusätzliche branchenspezifische Regulierungen

NIS2 ist in der Chemie regelmäßig nur die Cyber-Basisschicht. Hinzu kommt fast immer REACH. Die REACH-Verordnung regelt Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe und ist für Hersteller, Importeure und nachgelagerte Anwender strukturbildend. Für NIS2 ist REACH deshalb nicht nur ein chemikalienrechtlicher Hintergrund, sondern Teil der Betroffenheitslogik. Anlage 2 BSIG verweist ausdrücklich auf Hersteller und Importeure im REACH-Kontext.

Zusätzlich ist die CLP-Verordnung für viele Chemie-Unternehmen praktisch unverzichtbar. Einstufung, Kennzeichnung und Verpackung gefährlicher Stoffe erzeugen eigene Daten-, Prozess- und Dokumentationsabhängigkeiten. Cybervorfälle können deshalb mittelbar auch Kennzeichnungs-, Sicherheitsdaten- oder Freigabeprozesse stören. NIS2 ersetzt CLP nicht, aber eine robuste Cyberorganisation schützt genau jene Systeme, über die CLP-Pflichten praktisch erfüllt werden.

Für störfallrelevante Betriebe ist die Störfall-Verordnung besonders wichtig. Die 12. BImSchV verlangt vom Betreiber Vorkehrungen, um Störfälle zu verhindern, deren Auswirkungen zu begrenzen und Eingriffe Unbefugter zu berücksichtigen. Gerade für Chemie-Unternehmen mit größeren Mengen gefährlicher Stoffe ist das eine offensichtliche Schnittstelle zu NIS2: Cyberangriffe auf Warn-, Alarm-, Steuer- oder Sicherheitseinrichtungen sind nicht nur IT-Sicherheitsereignisse, sondern können Teil einer weiterreichenden Sicherheitslage werden.

Für Anlagen mit wassergefährdenden Stoffen kommt häufig die AwSV hinzu. Auch diese Verordnung ist kein Cybergesetz, aber sie macht deutlich, wie stark Anlagensicherheit, Umweltschutz und Betriebssicherheit in der Chemie miteinander verknüpft sind. Wer NIS2 in der Chemie sauber umsetzen will, sollte deshalb keine Parallelwelten aufbauen. Besser ist ein gemeinsames Modell aus Cybersecurity, Notfallorganisation, Umwelt- und Gefahrstoffprozessen, das Rollen, Eskalationen und Dokumentation zusammenführt.

Checkliste für Chemie-Unternehmen

Chemie-Unternehmen sollten NIS2 nicht als einmaliges Rechtsprojekt behandeln, sondern als operatives Umsetzungsprogramm. Diese sieben Schritte sind in der Praxis die sinnvollste Reihenfolge:

1. Betroffenheit juristisch prüfen: Klären Sie, ob Ihre juristische Person als Hersteller oder Importeur chemischer Stoffe und Gemische unter Anlage 2 BSIG fällt und ob die Größenkriterien erreicht werden.
2. Kritische Dienste definieren: Listen Sie auf, welche Produktions-, Labor-, Qualitäts-, Logistik- und Freigabeprozesse im Ausfallfall geschäfts- oder sicherheitskritisch wären.
3. IT- und OT-Landkarte zusammenführen: Verbinden Sie Office-IT, ERP, LIMS, Prozessleitsysteme, Fernwartung, Identitäten und Backups in einem gemeinsamen Inventar.
4. Lieferkette priorisieren: Bewerten Sie Rohstofflieferanten, Anlagenwartung, Spezialsoftware, Laborpartner und Logistik nach Zugriff, Kritikalität und Ausfallwirkung.
5. Meldeprozess festlegen: Definieren Sie vorab, wer erhebliche Sicherheitsvorfälle erkennt, bewertet, an das BSI meldet und intern an Werk, EHS und Geschäftsleitung eskaliert.
6. Schlüsselrollen schulen: Schulen Sie Geschäftsführung, Werksleitung, OT, IT, Qualitätsmanagement, Einkauf und Compliance rollenbezogen statt mit einer allgemeinen Präsentation.
7. Nachweise dokumentieren: Halten Sie Risikoanalysen, Maßnahmen, Übungen, Verantwortlichkeiten und Schulungen so fest, dass sie in Audits, Kundenprüfungen und behördlichen Rückfragen belastbar sind.

Wenn Sie diese Schritte nicht über verstreute Excel-Listen, Einzeltermine und unklare Zuständigkeiten organisieren wollen, ist unsere NIS2-Schulung der schnellste Einstieg. Für die Chemie ist besonders wichtig, dass das Branchenmodul OT-Risiken, Lieferkette, Meldewege und Managementpflichten gemeinsam behandelt und nicht nur allgemeine Cyberhygiene erklärt.

FAQ

Ist mein Chemie-Unternehmen von NIS2 betroffen?

Betroffen sind in Deutschland vor allem Hersteller und Importeure chemischer Stoffe und Gemische, sofern sie unter Anlage 2 BSIG fallen und die Größenkriterien erfüllen. Maßgeblich sind die konkrete Tätigkeit, die REACH-Einordnung und die Unternehmensgröße. Die bloße Branchenbezeichnung „Chemie“ reicht für eine belastbare Aussage nicht aus.

Welche NIS2-Maßnahmen gelten für die Chemie?

Für betroffene Chemie-Unternehmen gelten die allgemeinen Risikomanagementpflichten aus Art. 21 NIS2 und § 30 BSIG. Dazu gehören Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitsprüfungen, Schulungen, Kryptografie, Zugriffskontrollen und Multi-Faktor-Authentifizierung. In der Chemie müssen diese Maßnahmen ausdrücklich auf OT, Labor-IT und produktionsnahe Prozesse angewendet werden.

Wie hoch sind NIS2-Strafen in der Chemie?

Der unionsrechtliche Rahmen reicht für bestimmte Kategorien bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen ist der Höchstrahmen niedriger, aber weiterhin erheblich. Für Chemie-Unternehmen ist deshalb nicht nur die technische Umsetzung wichtig, sondern auch die saubere Einstufung und Dokumentation.

Welche Schulungspflichten hat die Chemie unter NIS2?

Geschäftsleitungen betroffener Einrichtungen müssen nach § 38 Abs. 3 BSIG regelmäßig an Schulungen teilnehmen. Zusätzlich verlangt § 30 Abs. 2 Nr. 7 BSIG grundlegende Schulungen und Sensibilisierungsmaßnahmen in der Organisation. In der Chemie sollten diese Schulungen Produktions- und OT-Risiken, Lieferkettenzugriffe, Meldewege und die Zusammenarbeit zwischen Werk, IT und Leitung abdecken.

Bis wann muss die Chemie NIS2 umsetzen?

Die EU-Umsetzungsfrist endete am 17. Oktober 2024. In Deutschland gelten die Registrierungs- und Meldepflichten seit dem 6. Dezember 2025. Die Registrierung nach § 33 BSIG musste grundsätzlich innerhalb von drei Monaten nach erstmaliger Betroffenheit erfolgen. Unternehmen sollten deshalb nicht auf weitere Detailklarstellungen warten, sondern ihre Prozesse bereits belastbar dokumentiert haben.

Welche zusätzlichen Regulierungen sind in der Chemie neben NIS2 wichtig?

Besonders wichtig sind REACH, CLP, die Störfall-Verordnung und je nach Anlagenstruktur die AwSV. Diese Regelwerke ersetzen NIS2 nicht, erzeugen aber zusätzliche Prozess-, Dokumentations- und Sicherheitsanforderungen. Genau deshalb ist für Chemie-Unternehmen ein integrierter Ansatz aus Cybersecurity, Anlagensicherheit und Compliance sinnvoller als isolierte Einzelprojekte.

Fazit für Chemie-Unternehmen

NIS2 ist für die Chemie kein abstraktes Cyberthema, sondern eine Management- und Betriebsfrage. Die Branche ist in Deutschland ausdrücklich als eigener Sektor erfasst, und die eigentliche Herausforderung liegt in der Übersetzung von Risikoanalyse, Lieferkette, Betriebsfortführung, Meldewegen und Schulung auf Werke, Labore und produktionsnahe Systeme.

Die pragmatische Reihenfolge lautet deshalb: Betroffenheit prüfen, kritische Dienste und Systeme identifizieren, Eskalations- und Meldewege festlegen und die Schlüsselrollen auf einen gemeinsamen Mindeststandard bringen. Wenn Sie das für Geschäftsführung, Werk, OT, IT und Compliance belastbar aufsetzen wollen, ist unsere NIS2-Schulung der passende nächste Schritt.