NIS2 Verarbeitendes Gewerbe: Welche Pflichten Hersteller, Produktionsbetriebe und Zulieferer 2026 erfüllen müssen.

Die Verarbeitendes Gewerbe zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit 2025 erweiterten Cybersicherheitspflichten. Für betroffene Hersteller und Produktionsunternehmen sind vor allem vier Punkte entscheidend: Bußgelder können je nach Einordnung bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes erreichen, erhebliche Sicherheitsvorfälle lösen eine Frühwarnung innerhalb von 24 Stunden und eine Meldung binnen 72 Stunden aus, die EU-Umsetzungsfrist endete am 17. Oktober 2024, und in Deutschland gelten Registrierungs- und Meldepflichten nach Angaben des BSI seit dem 6. Dezember 2025.

Für das verarbeitende Gewerbe reicht deshalb kein allgemeines IT-Sicherheitskonzept mehr aus. Wer Maschinen, Elektronik, Chemieprodukte, Medizintechnik oder Fahrzeugkomponenten herstellt, muss NIS2 in den Produktionsalltag übersetzen: OT und IT sauber abgrenzen, Lieferketten kontrollieren, Wiederanlaufpläne testen und Verantwortlichkeiten zwischen Management, Werkleitung, Instandhaltung und Security dokumentieren. Wenn Sie zuerst den Rechtsrahmen einordnen möchten, finden Sie auf der Seite zur NIS2-Richtlinie in Deutschland den passenden Einstieg; die operativen Mindestmaßnahmen vertieft der Beitrag zu den NIS2-Anforderungen nach Artikel 21.

NIS2 in der Verarbeitendes Gewerbe / Herstellung-Branche: Überblick

Das verarbeitende Gewerbe ist unter NIS2 kein Randbereich, sondern ein ausdrücklich genannter Sektor nach Anhang II der Richtlinie (EU) 2022/2555. Erfasst sind insbesondere Unternehmen aus Maschinen- und Anlagenbau, Elektronik- und Computerfertigung, Medizintechnik, Fahrzeugbau und chemischer Produktion, sofern die maßgeblichen Größenkriterien erreicht werden. Für viele mittelständische Hersteller ist das neu, weil sie bisher nicht im klassischen KRITIS-Regime verortet waren und Cybersicherheit eher als IT-Thema denn als Produktions- und Vorstandsthema behandelt haben.

Der branchenspezifische Unterschied liegt in der Verbindung von Unternehmens-IT und operativer Produktion. Ein Sicherheitsvorfall betrifft in einem Fertigungsbetrieb nicht nur E-Mail, ERP oder Dateiserver, sondern häufig auch Leitstände, SPS, SCADA-Umgebungen, Qualitätsprüfstände, Roboterzellen, Rezeptursteuerungen oder Wartungszugänge. Genau deshalb verschiebt NIS2 in der Fertigung den Fokus von allgemeiner Office-Sicherheit auf Produktionsresilienz. Entscheidend ist nicht nur, ob Systeme geschützt sind, sondern ob ein Werk trotz Cybervorfall sicher weiterproduzieren, geordnet herunterfahren oder schnell wieder anlaufen kann.

Hinzu kommt die Lieferkette als eigentlicher Risikomultiplikator. Produktionsunternehmen arbeiten regelmäßig mit Integratoren, Maschinenherstellern, externen Instandhaltern, Softwarelieferanten, Komponentenherstellern und Remote-Service-Partnern. Jeder dieser Zugänge kann ein Einfallstor oder ein Ausfallrisiko darstellen. Art. 21 NIS2 spricht deshalb ausdrücklich die Sicherheit der Lieferkette und die Sicherheit in den Beziehungen zwischen Einrichtungen und unmittelbaren Anbietern an. Für das verarbeitende Gewerbe ist das keine abstrakte Rechtsformel, sondern die regulatorische Bestätigung einer Realität, die viele Werke aus dem Alltag kennen: Ein einziger kompromittierter Wartungszugang kann eine komplette Produktionslinie stilllegen.

Für die Praxis ist außerdem wichtig, dass NIS2 kein pauschales „Industriegesetz“ ist. Betroffen ist nicht jede kleine Werkstatt und nicht jeder Zulieferer automatisch. Die Einordnung hängt von Sektor, Größenkriterien und Unternehmensstruktur ab. Der vom BSI veröffentlichte Entscheidungsbaum ist deshalb für viele Hersteller der erste sinnvolle Prüfschritt. Ergänzend hilft es, die Grundbegriffe NIS2-Richtlinie und KRITIS sauber zu trennen: NIS2 erweitert den Kreis der regulierten Unternehmen deutlich über die traditionelle KRITIS-Welt hinaus, ohne beide Begriffe gleichzusetzen.

Welche Verarbeitendes Gewerbe / Herstellung-Unternehmen sind betroffen?

Betroffen sind Hersteller nicht aufgrund eines Schlagworts wie „Industrie 4.0“, sondern aufgrund der konkreten Sektorzuordnung und der Unternehmensgröße. Nach dem Research umfasst der betroffene Teil des verarbeitenden Gewerbes in Deutschland ungefähr 3.500 bis 4.000 Unternehmen. Typischerweise relevant sind Unternehmen ab mindestens 50 Beschäftigten oder mit mehr als 10 Mio. EUR Jahresumsatz, wenn sie in den von Anhang II erfassten Herstellungsbereichen tätig sind. Größere Unternehmen mit mindestens 250 Beschäftigten und höheren Finanzkennzahlen geraten noch deutlicher in den Fokus von Aufsicht und Governance-Anforderungen.

In der Praxis gehören vor allem diese Untersektoren zum typischen NIS2-Raster:

Nicht automatisch betroffen sind dagegen viele kleine Zulieferer unterhalb der Schwellenwerte. Das bedeutet aber nicht, dass sie NIS2 ignorieren können. Gerade im Maschinenbau und in der Automobilindustrie entsteht erheblicher Druck entlang der Lieferkette. Ein kleinerer Zulieferer kann zwar formal nicht direkt unter NIS2 fallen, aber dennoch von OEMs, Tier-1-Kunden oder großen Industriekunden vertraglich auf Sicherheitsmaßnahmen, Auditnachweise, Meldepflichten und bestimmte Reaktionszeiten verpflichtet werden. Diese mittelbare Wirkung ist im verarbeitenden Gewerbe oft fast genauso relevant wie die unmittelbare gesetzliche Pflicht.

Besonders sorgfältig sollten Unternehmen prüfen, wenn sie mehrere Rollen gleichzeitig ausfüllen. Ein Hersteller kann zugleich Produktionsbetrieb, Softwareentwickler für eigene Steuerungstechnik, Remote-Service-Anbieter und Betreiber vernetzter Kundenportale sein. Dann greifen die NIS2-Pflichten nicht nur auf der Ebene des Werks, sondern auch für Entwicklungsprozesse, Drittzugriffe und digitale Services. Genau hier entstehen in der Praxis häufig Fehleinschätzungen, weil das Unternehmen sich selbst nur als „klassischer Hersteller“ beschreibt, seine digitale Angriffsfläche aber längst deutlich größer geworden ist.

Für Management und Vertrieb ist diese Klärung auch deshalb wichtig, weil Kundenanfragen, Ausschreibungen und Sicherheitsfragebögen seit 2025 deutlich häufiger nach NIS2-Bezug, Meldewegen und Lieferkettensteuerung fragen. Wer an dieser Stelle nicht belastbar erklären kann, ob und warum das eigene Unternehmen als betroffene oder mittelbar eingebundene Einrichtung einzustufen ist, verliert nicht nur Compliance-Sicherheit, sondern häufig auch Verhandlungssicherheit.

Spezifische NIS2-Anforderungen für Verarbeitendes Gewerbe / Herstellung

Hersteller müssen die allgemeinen Maßnahmen aus Art. 21 NIS2 in eine industrielle Betriebsrealität übersetzen. Dazu gehören Risikoanalyse, Incident Handling, Business Continuity, Backup- und Krisenmanagement, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitsprüfung, Cyberhygiene, Kryptografie, Personalsicherheit, Zugriffskonzepte und gegebenenfalls Multi-Faktor-Authentifizierung. Im verarbeitenden Gewerbe werden diese Pflichten aber anders konkret als in einem reinen Büro- oder Plattformumfeld, weil Produktionssysteme nicht beliebig gepatcht, neu gestartet oder vom Netz genommen werden können.

Der erste Schwerpunkt ist OT-Sicherheit. Das Research benennt für die Fertigung ausdrücklich den Schutz von ICS- und SCADA-Systemen, Segmentierung von Produktionsnetzen, Schwachstellenmanagement für industrielle Steuerungen und Echtzeitüberwachung produktionskritischer Umgebungen. Für viele Werke ist das die eigentliche Lücke: Die klassische IT hat bereits gewisse Sicherheitsprozesse, die OT ist dagegen historisch auf Verfügbarkeit und Betriebssicherheit ausgerichtet. NIS2 verlangt hier keine theoretische Perfektion, aber eine dokumentierte und risikoorientierte Steuerung. Ein Werk muss also erklären können, welche Produktionssysteme kritisch sind, wie sie vom Office-Netz getrennt werden, welche Fernzugänge erlaubt sind, wie Anomalien erkannt werden und wie Wiederanlauf und Fallback organisiert sind.

Der zweite Schwerpunkt ist Lieferketten- und Dienstleistersteuerung. Hersteller sind in der Regel von einer Vielzahl direkter Anbieter abhängig: Maschinenbauer, externe Instandhaltung, Softwarehäuser, ERP-Integratoren, Sensorik-Lieferanten, Cloud-Anbieter, Elektronikzulieferer und Logistikpartner. NIS2 erwartet deshalb nicht nur eine Lieferantenliste, sondern eine echte Risikobewertung der direkten Lieferanten und Dienstleister. In der Fertigung bedeutet das praktisch: vertragliche Meldepflichten, dokumentierte Wartungszugänge, Audit- oder Prüfungsrechte, Nachweise über Sicherheitsmaßnahmen und klare Regeln für kritische Komponenten. Besonders relevant ist das dort, wo Drittanbieter direkten Zugriff auf Steuerungstechnik oder produktionsnahe Systeme erhalten.

Der dritte Schwerpunkt ist Produktionsresilienz. Anders als bei vielen Dienstleistungsunternehmen ist die wirtschaftliche Wirkung eines Cybervorfalls in der Herstellung oft unmittelbar messbar: Stillstand einer Linie, Ausschuss, nicht ausgelieferte Komponenten, Vertragsstrafen, Sicherheitsrisiken in der Anlage und Folgeschäden bei Kunden. Das Research betont deshalb Disaster-Recovery-Pläne mit kurzen Recovery-Zielen, redundante Systeme für kritische Prozesse und Failover-Mechanismen für Produktionssteuerungen. NIS2 verlangt nicht, dass jede Fabrik hochverfügbar wie ein Hyperscaler arbeitet. Es verlangt aber, dass Wiederanlaufziele, Prioritäten und Mindestprozesse realistisch definiert und geübt sind.

Der vierte Schwerpunkt ist Software- und Firmware-Sicherheit. Viele Hersteller entwickeln oder konfigurieren Steuerungslogik, Produktionssoftware, eingebettete Systeme oder kundenspezifische Erweiterungen. Damit rücken Secure Software Development Lifecycle, Drittkomponentenprüfung und Integritätskontrollen für Firmware in den Vordergrund. Für Elektronik- und Maschinenbauer ist das besonders wichtig, weil Angriffsflächen längst nicht mehr nur in Windows-Servern oder Office-Anwendungen liegen, sondern in Engineering-Workstations, HMI-Komponenten, Update-Paketen und eingebetteter Software.

Diese branchenspezifischen Punkte lassen sich von den allgemeinen NIS2-Pflichten gut abgrenzen:

Wenn Sie diese Pflichten in Trainings übersetzen, sollte der Fokus nicht auf abstrakten Definitionen liegen, sondern auf konkreten Rollenbildern. Werkleitung braucht eine andere NIS2-Schulung als Instandhaltung oder IT-Security. Genau deshalb ist eine praxisnahe NIS2-Schulung für Hersteller nur dann sinnvoll, wenn sie Vorfallwege, Lieferkettenentscheidungen, Produktionsstillstände und Managementpflichten gemeinsam adressiert.

Branchenspezifische Herausforderungen

Die größte Herausforderung im verarbeitenden Gewerbe ist der Zielkonflikt zwischen Produktionsverfügbarkeit und Sicherheitsmaßnahmen. Viele Produktionssysteme laufen rund um die Uhr, sind eng auf Taktzeiten abgestimmt und vertragen keine spontanen Wartungsfenster. Das Research nennt als typische Schwäche Patching-Zyklen von mehr als sechs Monaten für produktionsnahe Systeme. Genau hier reicht eine IT-Standardantwort nicht aus. Hersteller müssen klären, welche Anlagen im laufenden Betrieb abgesichert, welche segmentiert, welche nur in geplanten Fenstern aktualisiert und welche über Redundanz oder Fallbacks geschützt werden können.

Die zweite Herausforderung ist die OT/IT-Konvergenz. In vielen mittelständischen Werken sind Office-IT, ERP, Produktionsleittechnik, Wartungszugänge und externe Service-Verbindungen historisch gewachsen. Legacy-Systeme von zehn bis zwanzig Jahren Alter sind keine Ausnahme. Solche Umgebungen wurden selten mit moderner Segmentierung, Protokollierung oder starken Identitätskonzepten geplant. NIS2 zwingt Unternehmen deshalb nicht nur zu mehr Technik, sondern zu einem ehrlichen Architektur-Blick: Welche Verbindung ist wirklich nötig, welche nur bequem, und welche stellt inzwischen ein nicht mehr vertretbares Risiko dar?

Die dritte Herausforderung ist der Fachkräftemangel. Das Research beziffert die durchschnittliche dedizierte IT-Sicherheitskapazität in einem produzierenden KMU auf nur 0,3 Vollzeitstellen. Viele Werke haben also weder ein großes Security-Team noch tiefe OT-Sicherheitskompetenz im Haus. Gleichzeitig kann die Verantwortung nicht vollständig an einen externen Dienstleister ausgelagert werden, weil Management, Werkleitung und operative Verantwortliche die eigenen Prozesse, Anlagen und Prioritäten kennen müssen. Daraus folgt unmittelbar eine Schulungsanforderung: NIS2-Kompetenz muss in der Linie und im Management verankert werden, nicht nur im kleinen IT-Team.

Die vierte Herausforderung ist die Kaskade in der Lieferkette. Der Automotive-Bereich zeigt dieses Muster besonders deutlich, aber es gilt auch im Maschinenbau und in der Elektronikfertigung: Große Kunden geben Sicherheitsanforderungen entlang der Lieferkette weiter. Ein mittelständischer Zulieferer kann dadurch gleichzeitig aus drei Richtungen Druck bekommen, nämlich von NIS2, von Kundenverträgen und von branchenspezifischen Standards. Unternehmen, die nur auf das Gesetz schauen und die vertragliche Realität ignorieren, unterschätzen ihr tatsächliches Risiko.

Die fünfte Herausforderung ist die Budgetlogik. Das Research schätzt den einmaligen Implementierungsaufwand für Hersteller auf etwa 50.000 bis 300.000 EUR, ergänzt um laufende jährliche Kosten. Für viele mittelständische Werke ist das erheblich, zumal Sicherheitsinvestitionen historisch oft hinter Produktionsinvestitionen zurückstehen. Trotzdem ist das kein tragfähiges Argument für Abwarten. Ein mehrwöchiger Produktionsstillstand, wie ihn die Fallbeispiele aus dem Research zeigen, übersteigt diese Budgets schnell deutlich.

Praxisbeispiel: Ransomware und Produktionsstillstand bei Kreisel GmbH & Co.

Das Research nennt den Angriff auf Kreisel GmbH & Co. aus Februar 2024 als besonders eindrückliches Beispiel für die Realität im verarbeitenden Gewerbe. Betroffen war ein mittelständischer Hersteller für Schüttguthandling, also kein globaler Hyperscaler und kein klassischer KRITIS-Gigant, sondern ein industrielles Unternehmen mit typischer Mittelstandsstruktur. Der Vorfall wird im Research als Ransomware-Angriff beschrieben; die wirtschaftlichen Folgen waren so gravierend, dass das Unternehmen im November 2024 Insolvenz anmeldete. Die zentrale Lehre daraus ist klar: Für Hersteller können Cybervorfälle existenzbedrohend sein, selbst wenn keine spektakuläre geopolitische Bedrohungslage vorliegt.

Für NIS2 ist dieser Fall lehrreich, weil er die Schwäche vieler mittelständischer Produktionsunternehmen offenlegt. Wenn Sicherheitsmaßnahmen, Wiederanlaufplanung und Management-Eskalation nicht belastbar vorbereitet sind, eskaliert ein technischer Angriff sehr schnell zu einem Liquiditäts- und Lieferproblem. Eine Ransomware betrifft in der Fertigung eben nicht nur Dateien, sondern auch Fertigungssteuerung, Auftragslage, Lagerbewegungen, Qualitätssicherung und Kundenkommunikation. Genau deshalb muss das Management erhebliche Sicherheitsvorfälle nicht nur technisch, sondern betriebswirtschaftlich und regulatorisch beherrschen.

Übertragen auf ein heutiges NIS2-Programm im verarbeitenden Gewerbe ergeben sich daraus vier praktische Konsequenzen. Erstens müssen kritische Produktions- und ERP-Abhängigkeiten inventarisiert sein. Zweitens braucht es Melde- und Entscheidungswege, die innerhalb von 24 Stunden tatsächlich funktionieren. Drittens müssen Backups, Fallbacks und Wiederanlaufpläne nicht nur vorhanden, sondern für die wichtigsten Werke, Linien oder Systeme realistisch geprüft sein. Viertens müssen Einkauf und Lieferkette eingebunden sein, weil Ausfälle häufig auf Partner, OEMs oder Großkunden durchschlagen.

Auch das Beispiel Hubergroup aus dem Research bestätigt diese Logik. Dort führte ein Malware-Angriff auf SAP-nahe Systeme zu etwa zwei Wochen Produktionsbeeinträchtigung. Die Lehre ist nicht, dass jedes Unternehmen sofort denselben Architekturaufwand treiben muss wie ein Großkonzern. Die Lehre ist vielmehr, dass Segmentierungsfehler zwischen regionalen IT-Systemen, zentralem ERP und produktionskritischen Prozessen in der Fertigung besonders teuer werden. NIS2 verlangt deshalb zu Recht einen stärkeren Fokus auf Resilienz, nicht nur auf formale Policies.

Zusätzliche branchenspezifische Regulierungen

NIS2 ist für Hersteller häufig nur die Basisschicht. Je nach Teilsektor kommen weitere Vorgaben hinzu, die zwar nicht dieselbe Stoßrichtung haben, aber operativ eng mit NIS2 zusammenhängen. Besonders deutlich ist das in der Automobil- und Zulieferindustrie. Das Research zu sektorspezifischen Sicherheitsregeln nennt hier vor allem die UNECE-Regelungen Nr. 155 und Nr. 156, die seit 2024 für neue Fahrzeuge beziehungsweise Software-Update-Management verbindlich sind. Diese Regeln verlangen unter anderem Bedrohungs- und Schwachstellenbewertungen, sichere Update-Mechanismen, Integritätsschutz und fortlaufende Überwachung nach Markteintritt.

Für Hersteller und Zulieferer mit Bezug zur Fahrzeugentwicklung oder zu vernetzten Komponenten bedeutet das: NIS2 und UNECE R155/R156 greifen nebeneinander. NIS2 adressiert vor allem die organisatorische Cybersicherheitssteuerung des Unternehmens, seine Meldewege, Risikoprozesse und Lieferkettensicherheit. UNECE R155 und R156 adressieren stärker die Produkt- und Update-Sicherheit des Fahrzeugs. Wer beide Ebenen vermischt, riskiert Lücken. Wer nur eine davon betrachtet, baut kein vollständiges Compliance-Bild auf.

Hinzu kommt im Automotive-Bereich häufig TISAX. TISAX ist kein Gesetz, aber für viele OEM-Lieferbeziehungen faktisch vertraglich zwingend. Das Research beschreibt TISAX als branchenweiten Sicherheitsstandard mit Anforderungen an Informationssicherheitsmanagement, Patch-Zyklen, Lieferkettenprüfung, Personalsicherheit und Incident Management. Für mittelständische Zulieferer ist deshalb entscheidend, TISAX nicht als Ersatz für NIS2 zu missverstehen. TISAX kann Kundenanforderungen strukturieren, NIS2 bleibt aber für betroffene Unternehmen der regulatorische Rahmen auf Unternehmensebene.

Auch außerhalb des Automotive-Teilsektors gilt: Produkt- und Qualitätsregeln bleiben bestehen. Medizintechnikhersteller, Elektronikhersteller oder Chemieunternehmen müssen brancheneigene Sicherheits-, Qualitäts- oder Zulassungspflichten weiterhin separat erfüllen. NIS2 hebt diese Pflichten nicht auf und ersetzt keine produktrechtlichen Sicherheitsnachweise. Es ergänzt sie um Anforderungen an Governance, Vorfallmeldung, Lieferkette, Krisenmanagement und Unternehmensresilienz. Wer diese Logik früh sauber dokumentiert, erspart sich spätere Konflikte zwischen Compliance, Engineering, Einkauf und Vertrieb.

Checkliste für Verarbeitendes Gewerbe / Herstellung-Unternehmen

Hersteller sollten NIS2 nicht als reines Rechtsprojekt, sondern als Produktions- und Führungsprogramm aufsetzen. Diese Checkliste ist für den Start in mittelgroßen und großen Produktionsunternehmen besonders hilfreich:

1. Prüfen Sie Ihre Betroffenheit anhand von Teilsektor, Beschäftigtenzahl, Umsatz und Bilanzsumme und dokumentieren Sie die Einordnung schriftlich.
2. Erfassen Sie kritische IT-, OT-, ICS- und SCADA-Systeme einschließlich Fernwartung, ERP, Engineering-Workstations und produktionsnaher Admin-Zugänge.
3. Segmentieren Sie Office-IT, Produktionsnetze und externe Zugänge risikoorientiert und überprüfen Sie alte Vertrauensstellungen zwischen IT und OT.
4. Legen Sie fest, welche Produktionsprozesse, Linien und Werke bei einem Cybervorfall Vorrang für Wiederanlauf, Ersatzbetrieb oder sichere Abschaltung haben.
5. Bewerten Sie direkte Lieferanten, Integratoren, Servicepartner und Softwareanbieter nach Kritikalität und ergänzen Sie Verträge um Melde- und Sicherheitsklauseln.
6. Definieren Sie einen 24-Stunden-Prozess für die Frühwarnung mit klaren Rollen für Management, Werkleitung, IT, OT, Recht und Kommunikation.
7. Prüfen Sie Backups, Recovery-Ziele, Notfallkommunikation und Krisenübungen speziell für produktionsnahe Systeme statt nur für Office-IT.
8. Schulen Sie Geschäftsführung, Werkleitung, Instandhaltung, OT, IT, Einkauf und Compliance rollenbasiert zu NIS2-Pflichten, Lieferkettenrisiken und Vorfallentscheidungen.
9. Ordnen Sie zusätzliche Regelwerke wie UNECE R155/R156 oder vertragliche TISAX-Vorgaben den betroffenen Produkt- und Lieferbereichen separat zu.
10. Überprüfen Sie regelmäßig, ob Ihre Dokumentation zu NIS2-Richtlinie, Meldeschwellen und Maßnahmenplan noch zum tatsächlichen Produktionsbetrieb passt.

Wer diese Punkte schrittweise umsetzt, schafft nicht nur formale Compliance, sondern verringert das Risiko kostspieliger Produktionsausfälle. Für die praktische Befähigung von Management und Fachbereichen ist ein strukturiertes Branchenmodul zur NIS2-Schulung meist der schnellste Weg, um dieselbe Begriffs- und Entscheidungssprache im Unternehmen zu etablieren.

FAQ

Ist mein Verarbeitendes-Gewerbe-Unternehmen von NIS2 betroffen?

Betroffen sind Unternehmen des verarbeitenden Gewerbes insbesondere dann, wenn sie in einen von Anhang II der NIS2-Richtlinie erfassten Herstellungssektor fallen und die maßgeblichen Größenkriterien erreichen. Typisch relevant sind Maschinenbau, Elektronik, Chemie, Medizintechnik sowie Fahrzeug- und Komponentenhersteller ab etwa 50 Mitarbeitenden und über 10 Mio. EUR Umsatz oder Bilanzsumme. Kleinere Zulieferer können zusätzlich mittelbar über Kundenanforderungen unter Druck geraten.

Welche NIS2-Maßnahmen gelten für die Verarbeitendes Gewerbe?

Hersteller müssen die Maßnahmen aus Art. 21 NIS2 praktisch auf Produktion und Lieferkette anwenden. Dazu gehören Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Wartung und Entwicklung, Wirksamkeitsprüfung, Cyberhygiene, Kryptografie, Zugriffskonzepte und Personalsicherheit. Branchenspezifisch wichtig sind OT-Segmentierung, Schutz von Fernwartung, Produktions-Backups und Wiederanlaufplanung.

Wie hoch sind NIS2-Strafen in der Verarbeitendes Gewerbe?

Die Richtlinie sieht je nach Kategorie der Einrichtung Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vor. In der Fertigung können jedoch die wirtschaftlichen Folgekosten eines Vorfalls noch schwerer wiegen: Produktionsstillstand, Lieferausfälle, Vertragsstrafen, Qualitätsprobleme und Vertrauensverlust bei OEMs oder Großkunden.

Welche Schulungspflichten hat die Verarbeitendes Gewerbe unter NIS2?

NIS2 verlangt keine isolierte Einmal-Schulung, aber eine organisatorisch belastbare Befähigung. Im verarbeitenden Gewerbe sollten Management, Werkleitung, OT, IT, Instandhaltung, Einkauf und Krisenteam auf Meldewege, Lieferkettenrisiken, Vorfallklassifikation und Wiederanlaufentscheidungen vorbereitet sein. Eine pauschale Awareness-Präsentation reicht dafür regelmäßig nicht aus.

Bis wann muss die Verarbeitendes Gewerbe NIS2 umsetzen?

Die europäische Umsetzungsfrist endete am 17. Oktober 2024. In Deutschland gelten Registrierungs- und Meldepflichten nach BSI-Angaben seit dem 6. Dezember 2025. Unternehmen im verarbeitenden Gewerbe sollten ihre Prozesse deshalb bereits jetzt an den geltenden Melde- und Governance-Anforderungen ausrichten und die Registrierungspflichten prüfen.

Welche zusätzlichen Regeln gelten für Automobilzulieferer und Fahrzeughersteller?

Für diese Teilbranche können zusätzlich UNECE R155 und R156 sowie in vielen Kundenbeziehungen TISAX-Anforderungen relevant werden. Während NIS2 die organisatorische Cybersicherheit des Unternehmens adressiert, fokussieren UNECE-Regeln stärker die Produkt- und Update-Sicherheit von Fahrzeugen. In der Praxis müssen betroffene Unternehmen beide Ebenen parallel steuern.