Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 ChemiebrancheNIS2 ChemieindustrieCybersecurity Chemie

NIS2 in der Chemiebranche: Neue Cybersecurity-Pflichten

Was NIS2 für die Chemieindustrie bedeutet: OT-Sicherheit, Seveso-Zusammenspiel, Meldepflichten und Schulungsanforderungen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 202612 Min. Lesezeit

NIS2 in der Chemiebranche: Neue Cybersecurity-Pflichten

Chemieunternehmen mit mindestens 50 Mitarbeitenden oder mehr als 10 Mio. EUR Umsatz fallen seit dem 6. Dezember 2025 in Deutschland regelmäßig unter das NIS2-Regime und müssen OT-Sicherheit, Vorfallmeldung, Management-Verantwortung und Schulungen strukturiert nachweisen. Für die Chemiebranche ist das besonders relevant, weil Cyberrisiken hier nicht nur Daten oder Büro-IT betreffen, sondern Prozesssicherheit, Anlagenschutz, Gefahrstoffmanagement und im Ernstfall die öffentliche Sicherheit.

Letzte Aktualisierung: 23. März 2026

Die präzise Einordnung ist wichtig: Chemieunternehmen werden nach Anhang II der Richtlinie (EU) 2022/2555 grundsätzlich als wichtige Einrichtungen erfasst, nicht automatisch als besonders wichtige Einrichtungen. Besonders hohe Anforderungen entstehen aber oft faktisch trotzdem, weil Chemiebetriebe parallel unter die Seveso-III-Richtlinie 2012/18/EU, die deutsche Störfall-Verordnung oder KRITIS-nahe Lieferkettenanforderungen fallen können. Wer NIS2 in der Chemiebranche nur als klassisches IT-Thema behandelt, unterschätzt die operative Reichweite der Richtlinie.

Wenn Sie den industriellen Kontext vertiefen möchten, lesen Sie ergänzend unseren Beitrag zu NIS2 im verarbeitenden Gewerbe, den Branchenvergleich zur NIS2 in der Energiewirtschaft und unsere NIS2 Online-Schulung. Für eine erste Selbsteinschätzung kann außerdem der NIS2-Compliance-Rechner sinnvoll sein.

Warum die Chemieindustrie besonders betroffen ist

Die Chemieindustrie ist unter NIS2 besonders betroffen, weil sie drei Risikowelten gleichzeitig zusammenführt: industrielle Produktion, gefährliche Stoffe und vernetzte Betriebsprozesse. Anhang II NIS2 nennt ausdrücklich die Herstellung, Produktion und Distribution von Chemikalien. Damit sind nicht nur große Konzerne gemeint, sondern auch mittelständische Chemieunternehmen, Spezialchemie, Zwischenprodukt-Hersteller, Mischer, Abfüller und Distributoren, sofern die Größenschwellen erreicht werden.

Die zusätzliche Schärfe entsteht durch die Nähe zu KRITIS und Störfallrecht. Viele Chemieunternehmen sind Teil kritischer Lieferketten für Wasser, Pharma, Lebensmittel, Energie, Gesundheitswesen oder industrielle Grundstoffe. Selbst wenn ein Werk formal keine klassische KRITIS-Anlage ist, kann sein Ausfall erhebliche volkswirtschaftliche Folgewirkungen haben. Genau dieser Domino-Effekt ist auch aus dem Seveso-Kontext bekannt, in dem Art. 9 der Richtlinie 2012/18/EU die Berücksichtigung benachbarter Anlagen und verstärkter Unfallfolgen ausdrücklich aufgreift.

Die Chemiebranche ist außerdem ein bevorzugtes Ziel für Angriffe auf OT-Umgebungen. Rezepturen, Produktionsparameter, Batch-Steuerungen, Laborinformationen, Tanklager, Pumpen, Ventile und Sicherheitslogiken sind heute digital eingebunden. Ein Cyberangriff kann deshalb gleichzeitig drei Schäden auslösen: Produktionsausfall, Qualitätsverlust und Sicherheitsrisiko. Das unterscheidet Chemieunternehmen deutlich von vielen klassischen Office- oder Dienstleistungsumgebungen.

Die Leitungsorgane müssen diese Lage selbst verstehen. Art. 20 Abs. 1 NIS2 verpflichtet die Geschäftsleitung, Cyber-Risikomaßnahmen zu billigen, ihre Umsetzung zu überwachen und sich nicht hinter der IT-Abteilung zu verstecken. Für Chemieunternehmen bedeutet das: Geschäftsführung, Werkleitung, HSE, Instandhaltung, OT-Verantwortliche und Compliance müssen dieselbe Risikolandkarte teilen.

Pflicht-Tabelle: Allgemeine NIS2-Anforderungen und Chemie-Spezifika

Die Unterschiede zwischen allgemeiner NIS2-Compliance und branchenspezifischer Umsetzung in der Chemie lassen sich am besten in einer Tabelle darstellen.

AspektAllgemeine NIS2Spezifisch Chemiebranche
RegulierungNIS2-Richtlinie, deutsches BSIGZusätzlich Seveso-III-Richtlinie, 12. BImSchV, teils KRITIS-nahe Vorgaben
FokusSicherheit von Netz- und InformationssystemenSchutz von Prozessleittechnik, Chargensteuerung, Tanklager, Labor- und Safety-Schnittstellen
Kritische SystemeOffice-IT, Server, Cloud, ERP, IdentitätenDCS, PLS, SCADA, Engineering-Stationen, OT-Fernwartung, SIS-Anbindung, Historian
RisikologikCyber-Risiken und DienstkontinuitätCyber-Risiken mit möglicher Auswirkung auf Stofffreisetzung, Anlagensicherheit und Umweltschäden
MeldepflichtArt. 23 NIS2 mit 24h, 72h und 1 MonatZusätzlich Abstimmung mit Störfall-, Krisen- und Behördenkommunikation
LieferketteDirekte Lieferanten und Dienstleister sind einzubeziehenBesonders kritisch bei Wartungsfirmen, Integratoren, Leitsystem-Lieferanten und Chemielogistik
SchulungManagement und relevante Beschäftigte schulenZusätzlich Werkpersonal, Instandhaltung, Leitwarte, Labor und Fremdfirmen koordinieren

Die Chemiebranche braucht daher kein separates Parallelprogramm neben NIS2, sondern ein integriertes Governance-Modell. Sinnvoll ist ein gemeinsamer Steuerungsrahmen, in dem Cybersecurity, Safety, Umwelt- und Notfallmanagement aufeinander verweisen, statt voneinander getrennt zu laufen.

OT-Sicherheit in der Chemie: Prozessleittechnik und Safety

OT-Sicherheit ist in der Chemiebranche der Kern der NIS2-Umsetzung, weil die höchsten Schadenspotenziale meist nicht im E-Mail-Postfach, sondern im Produktionsnetz liegen. Prozessleitsysteme, Distributed Control Systems, Batch-Systeme, Laboranbindungen, Remote-I/O, Rezepturverwaltung und Engineering-Workstations sind oft über Jahre gewachsen und wurden primär auf Verfügbarkeit und Prozessstabilität ausgelegt, nicht auf moderne Bedrohungslagen.

Art. 21 Abs. 1 und 2 NIS2 verlangt angemessene technische, operative und organisatorische Maßnahmen. Für Chemiebetriebe lässt sich das in sechs OT-nahe Pflichtfelder übersetzen:

  1. Netz- und Zonenarchitektur zwischen Office-IT, Produktions-IT und sicherheitsrelevanter OT.
  2. Zugriffsschutz für Leitwarten, Administratoren, Integratoren und Fernwartung.
  3. Backup-, Wiederanlauf- und Notbetriebsfähigkeit für kritische Produktionsschritte.
  4. Erkennung und Behandlung von Vorfällen in OT, nicht nur in klassischer IT.
  5. Lieferantensteuerung für Hersteller, Wartungsfirmen und Serviceprovider.
  6. Schulung der Personen, die tatsächlich an den Anlagen arbeiten.

Die Grenzlinie zwischen OT und Safety darf dabei weder verwischt noch künstlich getrennt werden. NIS2 ist kein Safety-Gesetz, aber ein Cybervorfall kann direkt Safety-Funktionen beeinträchtigen. Wenn etwa ein Angreifer Rezepturen manipuliert, Alarme unterdrückt, historische Prozessdaten verfälscht oder Fernwartungszugänge missbraucht, entsteht kein reiner IT-Schaden. Es entsteht eine Lage, in der Bediener falsche Entscheidungen treffen oder Sicherheitsmechanismen zu spät wirken.

Seveso III zwingt diese Perspektive zusätzlich in den Anlagenbetrieb hinein. Art. 10 der Richtlinie 2012/18/EU verlangt für obere Betriebsbereiche einen Sicherheitsbericht, der nachweist, dass schwere Unfälle identifiziert und geeignete Maßnahmen zur Verhinderung und Begrenzung ihrer Folgen getroffen wurden. Wer in einem solchen Bericht technische Zuverlässigkeit, Wartung, organisatorische Abläufe und Notfallplanung beschreibt, muss heute auch cyberbedingte Ausfall- und Manipulationsszenarien mitdenken. Nicht jede Behörde verlangt dafür dieselbe Formulierung, aber fachlich ist die Verbindung zwingend.

In der Praxis beginnt OT-Sicherheit in der Chemie häufig mit drei unangenehmen Fragen:

  1. Welche Anlagen laufen noch mit nicht unterstützten Betriebssystemen oder Altprotokollen?
  2. Welche externen Dienstleister können per Fernwartung direkt auf Produktionssysteme zugreifen?
  3. Welche Produktionsschritte lassen sich bei Ausfall digitaler Systeme überhaupt noch sicher manuell fahren?

Wer diese Fragen nicht belastbar beantworten kann, hat unter NIS2 fast immer eine echte Umsetzungsbaustelle. Besonders kritisch ist das in Werken mit kontinuierlichen Prozessen, Ex-Zonen, hohem Automatisierungsgrad oder eng gekoppelten Vor- und Nachstufen. Dort reicht kein allgemeines ISO- oder Office-Sicherheitsprogramm; dort braucht es ein explizites OT-Risikomodell.

NAMUR-orientierte Betriebsrealität spricht dabei für einen pragmatischen Ansatz. Chemieunternehmen sollten keine generischen IT-Policies in die Leitwarte kopieren, sondern für OT eigene Regeln formulieren: kontrollierte Fernwartung, dokumentierte Change-Freigaben, abgesicherte Wartungsfenster, rollenbasierte Zugriffe, Offline-fähige Wiederanlaufverfahren und klare Handlungsanweisungen für den Notbetrieb. Genau solche Maßnahmen lassen sich unter Art. 21 NIS2 sauber begründen.

Seveso-III-Richtlinie und NIS2: Zusammenspiel

Seveso III und NIS2 überschneiden sich in Chemiebetrieben nicht im Wortlaut, aber sehr deutlich in ihren Wirkungen. NIS2 adressiert Cyberresilienz von Netz- und Informationssystemen, während Seveso III die Verhinderung schwerer Unfälle mit gefährlichen Stoffen regelt. In Chemieanlagen sind diese Ebenen praktisch miteinander verknüpft, weil dieselben Systeme oft zugleich für Produktion, Überwachung, Alarmierung und Notfallreaktion relevant sind.

Art. 8 Seveso III verlangt eine schriftliche Störfallverhütungspolitik mit klarer Management-Verantwortung und kontinuierlicher Verbesserung. Art. 10 verlangt für obere Betriebsbereiche einen Sicherheitsbericht. Art. 12 verlangt interne Notfallpläne, Informationen für externe Notfallpläne und regelmäßige Überprüfung. Diese Pflichten sehen auf den ersten Blick nicht nach Cyberrecht aus, erzeugen aber faktisch dieselbe Frage: Welche technischen und organisatorischen Schwachstellen können eine schwere Gefahrenlage auslösen oder verschärfen?

Art. 21 Abs. 2 NIS2 ergänzt genau an dieser Stelle die Cyberdimension. Die Norm nennt unter anderem Risikoanalyse, Incident Handling, Business Continuity, Krisenmanagement, Lieferkettensicherheit, Sicherheitsmaßnahmen bei Entwicklung und Wartung, Cyberhygiene und Schulungen. Für Seveso-Betriebe ist die richtige Schlussfolgerung daher nicht, zwei getrennte Systeme zu bauen, sondern die vorhandenen Safety- und Notfallprozesse um Cyberauslöser zu ergänzen.

Ein praxisnahes Zusammenspiel sieht so aus:

  • Die Störfallverhütungspolitik erfasst auch cyberbedingte Ursachen schwerer Betriebsstörungen.
  • Der Sicherheitsbericht berücksichtigt Manipulation oder Ausfall digitaler Steuerungs- und Überwachungssysteme.
  • Interne Notfallpläne enthalten Eskalationspfade für Cyberangriffe auf Leitwarte, Fernwartung oder Mess- und Regeltechnik.
  • Externe Behördenkommunikation ist mit NIS2-Meldungen und klassischer Krisenkommunikation abgestimmt.
  • Regelmäßige Reviews aus Seveso und NIS2 werden organisatorisch zusammengeführt.

Besonders wichtig ist die Rollenabgrenzung. NIS2 macht die Geschäftsleitung cyberrechtlich verantwortlich, Seveso verlangt ebenfalls klare Management-Zuständigkeit für Störfallverhütung und Sicherheitsmanagement. In Chemieunternehmen sollten deshalb CISO, Werkleiter, HSE-Leitung, Produktionsleitung und Instandhaltung nicht nacheinander, sondern gemeinsam entscheiden. Sonst entstehen typische Brüche zwischen Cyber-Risiko, Betriebsrealität und behördlicher Nachweisführung.

Meldepflichten bei Cyberangriffen

Meldepflichten sind in der Chemiebranche besonders sensibel, weil ein Vorfall oft gleichzeitig Cyber-, Betriebs- und Sicherheitsereignis ist. Art. 23 Abs. 3 und 4 NIS2 verlangt bei erheblichen Sicherheitsvorfällen eine Frühwarnung binnen 24 Stunden, eine Vorfallmeldung binnen 72 Stunden und einen Abschlussbericht grundsätzlich binnen eines Monats. Seit Inkrafttreten des deutschen Umsetzungsgesetzes am 6. Dezember 2025 läuft dieser Meldeweg in Deutschland grundsätzlich über das BSI-Portal.

Die erste Herausforderung ist die richtige Bewertung der Erheblichkeit. Ein Chemieunternehmen sollte nicht erst melden, wenn eine Anlage bereits vollständig stillsteht oder ein Störfall eingetreten ist. Meldepflichtig kann ein Vorfall schon vorher sein, wenn er schwere Betriebsunterbrechungen auslöst oder auslösen kann, erhebliche finanzielle Verluste erwarten lässt oder andere Personen erheblich beeinträchtigt. Genau diese Schwelle nennt Art. 23 Abs. 3 NIS2.

Die zweite Herausforderung ist die Parallelität anderer Pflichten. Ein Cyberangriff auf ein Chemiewerk kann gleichzeitig folgende Prozesse auslösen:

  1. NIS2-Meldung an das BSI.
  2. Interne Eskalation an Werkleitung, Geschäftsführung und Krisenstab.
  3. Bewertung von Auswirkungen auf Umwelt-, Störfall- oder Immissionsschutzpflichten.
  4. Mögliche Meldungen nach Datenschutzrecht, Vertragsrecht oder Versicherungsbedingungen.
  5. Gegebenenfalls Abstimmung mit Feuerwehr, Katastrophenschutz oder anderen Behörden.

Gerade deshalb brauchen Chemieunternehmen keine rein juristische Meldeanweisung, sondern einen getesteten Krisenprozess. In oberen Betriebsbereichen nach Seveso III verlangt Art. 12 interne und externe Notfallplanung. Diese Struktur sollte unter NIS2 nicht neu erfunden, sondern um Cyberauslöser ergänzt werden. Ein Angriff auf Leitsysteme, Tanklagersteuerung oder Messketten muss denselben Krisenapparat in Gang setzen können wie ein technischer Ausfall.

Ein realistisches Mindestmodell für Chemieunternehmen sieht so aus:

ZeitpunktWas intern passieren sollteRechtsbezug
0 bis 4 StundenVorfall klassifizieren, OT-Betroffenheit prüfen, Krisenteam aktivierenArt. 23 NIS2
bis 24 StundenFrühwarnung an BSI, erste Betriebs- und SicherheitsbewertungArt. 23 Abs. 4 lit. a NIS2
bis 72 Stundenbelastbare Vorfallmeldung mit Auswirkungen, Schweregrad, GegenmaßnahmenArt. 23 Abs. 4 lit. b NIS2
bis 1 MonatAbschlussbericht oder Fortschrittsbericht, Lessons Learned, MaßnahmenplanArt. 23 Abs. 4 lit. d NIS2

Die häufigste Fehlannahme lautet, dass ein reiner OT-Vorfall zunächst „intern“ bleibe, solange keine personenbezogenen Daten betroffen sind. Das ist falsch. NIS2 fragt zuerst nach erheblicher Beeinträchtigung von Diensten und Betriebsfähigkeit, nicht nach Datenschutz. Für Chemieunternehmen ist das ein entscheidender Unterschied.

Schulungspflichten für Chemie-Mitarbeiter

Schulungspflichten sind in der Chemiebranche keine Nebenpflicht, sondern ein Haupthebel für wirksame NIS2-Umsetzung. Art. 20 Abs. 2 NIS2 verlangt Schulung der Leitungsorgane und fördert regelmäßige Schulung der Beschäftigten. Art. 21 Abs. 2 lit. g ergänzt ausdrücklich grundlegende Cyberhygiene und Cybersicherheitsschulungen. Für Chemiebetriebe reicht deshalb keine jährliche Standard-E-Learning-Folie für alle.

Chemieunternehmen brauchen rollenbezogene Schulungen, weil die Risikolagen sehr unterschiedlich sind. Die Leitwarte muss andere Angriffsmuster erkennen als der Einkauf, die Instandhaltung andere Freigabeprozesse kennen als das Labor, und die Geschäftsführung andere Melde- und Haftungsfragen verstehen als externe Servicefirmen. Genau hier entsteht in vielen Unternehmen die größte Lücke: Die Technik wird gehärtet, aber die handelnden Personen üben die kritischen Abläufe nicht.

Ein belastbares Schulungskonzept in der Chemie umfasst mindestens fünf Zielgruppen:

  1. Geschäftsführung und Werkleitung mit Fokus auf Art. 20, Haftung, Meldewege und Krisenentscheidungen.
  2. OT- und IT-Verantwortliche mit Fokus auf Segmentierung, Fernwartung, Backup und Incident Handling.
  3. Leitwarte, Produktion und Instandhaltung mit Fokus auf Manipulationsindikatoren und Notbetrieb.
  4. Einkauf und Lieferantenmanagement mit Fokus auf Dienstleister, Wartungsverträge und Zugriffsrechte.
  5. Fremdfirmen und Integratoren mit Fokus auf Zugang, Freigabe, Logging und Eskalation.

Seveso und NIS2 verstärken sich hier gegenseitig. Art. 12 Abs. 4 Seveso III verlangt, dass interne Notfallpläne unter Einbeziehung des Personals, einschließlich relevanter langfristig eingesetzter Fremdfirmen, erstellt werden. Wer das mit NIS2 zusammendenkt, kommt fast zwangsläufig zu einem erweiterten Schulungsprogramm für internes Personal und zentrale Dienstleister. Gerade in Chemiewerken mit regelmäßigen Shutdowns, Turnarounds und Fremdfirmen-Einsätzen ist das zentral.

Praxisnah ist ein gestuftes Trainingsmodell:

  • Management-Workshop zu Governance, Meldepflichten und Entscheidungslogik.
  • OT-Praxistraining für Leitwarte und Instandhaltung.
  • Tabletop-Übung zu Cyberangriff plus Safety-Auswirkung.
  • Lieferantenbriefing für Fernwartung und temporäre Zugriffe.
  • Jährliche Wiederholung mit dokumentierter Teilnahme und Verbesserungsmaßnahmen.

Wenn Sie diese Schulungspflichten systematisch aufbauen wollen, ist unsere NIS2 Online-Schulung der passende nächste Schritt. Sie hilft dabei, Management, Fachbereiche und operative Teams auf einen gemeinsamen regulatorischen Stand zu bringen und Nachweise sauber zu dokumentieren.

Handlungsempfehlung mit Zeitplan

Chemieunternehmen sollten NIS2 nicht als isoliertes IT-Projekt starten, sondern als integriertes Werk- und Governance-Programm. Der schnellste Weg ist ein Vier-Stufen-Modell, das Cyber, OT und Störfallmanagement zusammenführt.

1. In den nächsten 30 Tagen: Betroffenheit und Rollen klären

Die erste Priorität ist eine belastbare Scope-Entscheidung. Prüfen Sie Sektorzuordnung, Unternehmensgröße, Betriebsstätten, Gruppenzugehörigkeit und besondere Kritikalität. Legen Sie gleichzeitig fest, wer für NIS2, OT, HSE, Störfallrecht und Vorfallmeldung verantwortlich ist. Ohne klare Governance laufen spätere Maßnahmen ins Leere.

2. In den nächsten 60 Tagen: OT- und Seveso-Schnittstellen erfassen

Die zweite Priorität ist Transparenz. Dokumentieren Sie kritische OT-Systeme, Fernwartungszugänge, abhängige Dienstleister, manuelle Rückfallebenen und vorhandene Notfallpläne. Prüfen Sie anschließend, wo Cyberrisiken in Sicherheitsbericht, Störfallverhütungspolitik oder internen Notfallplänen bislang gar nicht sichtbar sind.

3. In den nächsten 90 Tagen: Melde- und Krisenfähigkeit testen

Die dritte Priorität ist Reaktionsfähigkeit. Definieren Sie eine 24-Stunden-Lagebewertung, eine 72-Stunden-Meldelogik und einen Krisenprozess, der IT, OT, HSE, Recht und Kommunikation verbindet. Führen Sie mindestens eine Tabletop-Übung durch, in der ein Cyberangriff auf Produktionssysteme zugleich Safety- und Behördenfragen auslöst.

4. Bis zur vollständigen Umsetzung: Schulung und Lieferkette nachziehen

Die vierte Priorität ist Dauerhaftigkeit. Schulen Sie Management und Schlüsselrollen wiederkehrend, verankern Sie OT-Sicherheitsstandards in Wartungs- und Serviceverträgen und dokumentieren Sie jede Verbesserung. Art. 21 Abs. 2 lit. d und g NIS2 macht gerade Lieferkette und Schulung zu dauerhaften, nicht einmaligen Pflichten.

Fazit

NIS2 in der Chemiebranche bedeutet vor allem dies: Cybersecurity wird zum Teil der Anlagensicherheit, nicht nur zum Thema der Büro-IT. Chemieunternehmen müssen seit dem 6. Dezember 2025 OT-Risiken, Management-Verantwortung, Lieferantensteuerung, Vorfallmeldung und Schulung formal so organisieren, dass digitale Störungen nicht zu Produktions-, Sicherheits- oder Umweltschäden eskalieren.

Das Zusammenspiel mit Seveso III und der Störfall-Verordnung verschärft die Anforderungen, macht die Umsetzung aber auch klarer. Wer bereits Sicherheitsbericht, Notfallplanung und Störfallverhütungspolitik ernsthaft betreibt, hat einen belastbaren Ausgangspunkt. Entscheidend ist jetzt, Cyberauslöser systematisch in diese Strukturen einzubauen, statt ein separates Papierprogramm daneben zu setzen.

Wenn Sie NIS2-Pflichten in Ihrem Chemieunternehmen strukturiert bewerten, Verantwortlichkeiten im Management schärfen und ein praxistaugliches Schulungsprogramm für Werk, OT und Compliance aufbauen möchten, nutzen Sie unsere NIS2 Online-Schulung oder lassen Sie sich zu Ihrer Ausgangslage beraten.

FAQ: NIS2 Chemiebranche

Fallen alle Chemieunternehmen unter NIS2?

Nein, nicht alle Chemieunternehmen fallen automatisch unter NIS2. Erfasst sind Chemieunternehmen regelmäßig dann, wenn sie dem Chemiesektor nach Anhang II NIS2 zuzuordnen sind und mindestens 50 Mitarbeitende oder mehr als 10 Mio. EUR Umsatz beziehungsweise Bilanzsumme haben. Kleinere Unternehmen können mittelbar über Kundenanforderungen oder Lieferkettenpflichten betroffen sein, ohne selbst unmittelbar reguliert zu sein.

Wie überschneiden sich NIS2 und Seveso-III-Richtlinie?

NIS2 und Seveso III überschneiden sich vor allem operativ. NIS2 verlangt Cyber-Risikomanagement, Management-Verantwortung und Vorfallmeldung nach Art. 20, 21 und 23. Seveso III verlangt Störfallverhütungspolitik, Sicherheitsbericht und Notfallplanung nach Art. 8, 10 und 12. In Chemiebetrieben betreffen beide Regime oft dieselben Anlagen, Personen und Krisenprozesse.

Was bedeutet NIS2 für Prozessleitsysteme in der Chemie?

NIS2 bedeutet für Prozessleitsysteme, dass sie ausdrücklich Teil des formalen Sicherheitsprogramms sein müssen. Chemieunternehmen müssen also nicht nur Office-IT, sondern auch DCS, PLS, Fernwartung, Historian, Engineering-Zugänge und kritische Schnittstellen absichern, überwachen und in Notfall- und Wiederanlaufpläne einbeziehen.

Welche OT-Sicherheitsanforderungen stellt NIS2 an die Chemieindustrie?

NIS2 fordert keine starre Produktliste, aber angemessene Maßnahmen nach Risiko. In der Chemie sind das typischerweise Segmentierung, Härtung kritischer Systeme, abgesicherte Fernwartung, Multi-Faktor-Authentifizierung, Ersatz- und Wiederanlaufkonzepte, Dienstleisterkontrollen, getestete Notfallprozesse und spezifische Schulungen für OT-nahe Rollen.

Müssen Chemie-Zulieferer NIS2 umsetzen?

Nicht jeder Chemie-Zulieferer ist unmittelbar NIS2-pflichtig. Regulierte Chemieunternehmen müssen aber nach Art. 21 Abs. 2 lit. d NIS2 Sicherheitsaspekte ihrer direkten Lieferanten und Dienstleister berücksichtigen. Dadurch können auch kleinere Integratoren, Wartungsfirmen oder Logistikpartner vertraglich erhebliche Anforderungen spüren.

Welche Meldefristen gelten bei Cyberangriffen?

Bei einem erheblichen Sicherheitsvorfall gilt eine gestufte Meldepflicht: Frühwarnung innerhalb von 24 Stunden, Vorfallmeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Für Chemieunternehmen ist entscheidend, diese Fristen mit interner Krisenbewertung, OT-Sicherheitsanalyse und möglicher Behördenkommunikation außerhalb von NIS2 zu verzahnen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →