Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 Verarbeitendes GewerbeNIS2 OT-SicherheitNIS2 Industrie 4.0

NIS2 im Verarbeitenden Gewerbe: Industrie 4.0 und OT-Sicherheit

Was NIS2 für produzierende Unternehmen bedeutet: OT-Sicherheit, IT/OT-Konvergenz, Lieferketten und Schulungspflichten erklärt.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20269 Min. Lesezeit

NIS2 im Verarbeitenden Gewerbe: Industrie 4.0 und OT-Sicherheit

Produzierende Unternehmen müssen NIS2 jetzt entlang ihrer vernetzten Produktion prüfen, weil nicht nur klassische IT, sondern auch SPS, SCADA, Fernwartung und Industrial IoT in das Cyberrisiko fallen. Für das verarbeitende Gewerbe entscheidet die Richtlinie (EU) 2022/2555 damit über Governance, Meldewege, Lieferketten und Schulungspflichten in einer Umgebung, in der jeder Produktionsausfall unmittelbare operative und wirtschaftliche Folgen hat.

Letzte Aktualisierung: 23. März 2026

Für viele Werke ist der eigentliche Wendepunkt nicht ein neues Einzeltool, sondern die Erkenntnis, dass OT-Sicherheit nicht mehr nur Aufgabe der Automatisierungstechnik ist. Sobald Produktionsanlagen mit ERP, MES, Cloud-Plattformen, Remote-Service oder Lieferantenportalen verbunden sind, entsteht eine IT/OT-Konvergenz mit rechtlicher Relevanz. Genau deshalb sollten Sie NIS2 im verarbeitenden Gewerbe nicht isoliert als Compliance-Thema behandeln, sondern als Management-, Betriebs- und Lieferkettenfrage.

Wenn Sie die Umsetzung einordnen wollen, helfen parallel unsere Seiten zur NIS2-Online-Schulung, zur branchennahen Perspektive in der Chemiebranche und zur Verantwortlichkeit des Top-Managements in der NIS2-Geschäftsleitungsschulung. Für eine erste Standortbestimmung ist außerdem das NIS2-Reifegrad-Assessment sinnvoll.

Warum produzierende Unternehmen betroffen sind

Produzierende Unternehmen sind betroffen, weil NIS2 nicht nur Rechenzentren und klassische Digitalanbieter adressiert, sondern überall dort greift, wo erhebliche Cyberrisiken Versorgung, Sicherheit, Produktion oder kritische Wertschöpfung beeinträchtigen können. Ob ein Betrieb im Einzelfall unmittelbar in den Anwendungsbereich fällt, hängt von Sektorzuordnung, Unternehmensgröße und Rolle in der Lieferkette ab. Eine pauschale Aussage allein über die Beschäftigtenzahl wäre deshalb rechtlich zu ungenau.

Für das verarbeitende Gewerbe ist besonders relevant, dass moderne Fertigungsumgebungen heute selten isoliert laufen. Produktionslinien tauschen Daten mit MES- und ERP-Systemen aus, Zustandsdaten wandern in Analytics-Plattformen, Maschinenbauer erhalten Fernwartungszugänge und externe Dienstleister administrieren OT-nahe Systeme. Damit verschiebt sich das Risikoprofil von lokal beherrschbarer Anlagentechnik hin zu einer vernetzten Angriffsfläche mit Drittparteienbezug.

NIS2 verlangt nach Art. 21 der Richtlinie (EU) 2022/2555 risikobasierte Cybersecurity-Maßnahmen. Dazu gehören unter anderem Risikoanalyse, Incident Handling, Business Continuity, Supply-Chain-Security, Sicherheit bei Entwicklung und Beschaffung, Wirksamkeitsprüfungen sowie Cyberhygiene und Schulungen. Genau diese Liste passt auf die Realität produzierender Unternehmen: Ein Angriff trifft nicht nur Büro-IT, sondern kann Linie, Qualitätssicherung, Lagerlogistik und Auslieferung gleichzeitig beeinträchtigen.

Für Geschäftsführungen im Maschinenbau, in der Automobilzulieferung, im Anlagenbau, in der Prozessindustrie oder in der diskreten Fertigung ist deshalb eine einfache Frage entscheidend: Welche Produktions- und Unterstützungsprozesse wären bei einem kompromittierten OT-Netz, einer manipulierten Fernwartung oder einem Ausfall zentraler Zulieferer erheblich gestört? Aus dieser Antwort leitet sich in der Praxis ab, wie tief NIS2-Risikomanagement, Meldewege und Verantwortlichkeiten aufgebaut werden müssen.

OT-Sicherheit: SPS, SCADA und Industrial IoT

OT-Sicherheit im verarbeitenden Gewerbe bedeutet unter NIS2 vor allem, die Verwundbarkeit von SPS, SCADA, HMI, Engineering-Workstations und IIoT-Gateways systematisch zu beherrschen. Anders als klassische Office-IT sind viele dieser Systeme auf lange Laufzeiten, hohe Verfügbarkeit und geringe Änderungsfrequenz ausgelegt. Genau daraus entsteht die typische Spannung zwischen Betriebssicherheit und Cybersecurity.

SPS und SCADA stehen im Zentrum vieler Fertigungslinien, weil sie Steuerungslogik, Visualisierung und Eingriffe in Echtzeit verbinden. Wenn Angreifer hier über unsichere Fernwartung, kompromittierte Engineering-Rechner oder schwache Segmentierung eindringen, kann das direkte Auswirkungen auf Produktionsabläufe, Sicherheitsfunktionen und Produktqualität haben. NIS2 verlangt keine einzelne Technologie, aber eine belastbare Kombination aus Erkennung, Härtung, Segmentierung, Zugangskontrolle und Wiederanlaufplanung.

Industrial IoT verschärft die Lage, weil Sensorik, Edge-Systeme, Cloud-Anbindungen und Zustandsüberwachung neue Schnittstellen schaffen. Viele Unternehmen gewinnen dadurch berechtigterweise Transparenz, OEE-Daten und Predictive-Maintenance-Vorteile. Gleichzeitig steigt aber die Zahl der Geräte, Kommunikationspfade und Softwareabhängigkeiten. Wer IIoT ohne Sicherheitsarchitektur einführt, baut häufig ein paralleles Produktionsnetz auf, das betrieblich wertvoll, regulatorisch aber schlecht beherrschbar ist.

In der Praxis orientieren sich viele Unternehmen bei OT-Sicherheitsarchitekturen an IEC 62443. Dieser Standard ist nicht identisch mit NIS2, wird aber im Industrieumfeld als zentraler Referenzrahmen für Zonen, Conduits, Rollen, Härtung und Security-Level genutzt. Für das verarbeitende Gewerbe ist das wichtig, weil NIS2 eher die Pflicht zur Risikosteuerung vorgibt, während IEC 62443 die technische Übersetzung in industrielle Umgebungen erleichtert.

IT/OT-Konvergenz: Neue Angriffsflächen

IT/OT-Konvergenz ist der eigentliche Risikotreiber im verarbeitenden Gewerbe, weil sie Produktionsanlagen enger mit Unternehmens-IT, Cloud-Diensten und externen Partnern verbindet. Genau dieser Fortschritt macht Industrie 4.0 produktiver, aber zugleich regulatorisch anspruchsvoller.

Die typische Angriffsfläche entsteht an Übergängen. Ein MES spricht mit Produktionszellen, ein Historian repliziert Daten in die Zentrale, ein Dienstleister erhält VPN-Zugang für Fernwartung, ein Patch-Server bedient Engineering-Stationen, und ein IIoT-Gateway überträgt Zustandsdaten an einen externen Analytics-Dienst. Jeder dieser Übergänge ist fachlich oft gerechtfertigt. NIS2 verlangt jedoch, dass aus berechtigter Konnektivität keine unkontrollierte Risikokette wird.

Art. 21 Abs. 2 der Richtlinie (EU) 2022/2555 nennt ausdrücklich Maßnahmen zu Incident Handling, Business Continuity, Supply-Chain-Security, Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen sowie Wirksamkeitsbewertung. Für die Fertigung bedeutet das konkret:

AspektAllgemeine NIS2Spezifisch Verarbeitendes Gewerbe
RegulierungRichtlinie (EU) 2022/2555 und nationales Umsetzungsgesetzzusätzlich häufig IEC 62443, BSI-Orientierung, produktbezogen auch CRA oder Maschinenverordnung
FokusIT-Sicherheit, Governance, Melde- und NachweispflichtenIT/OT-Konvergenz, SPS- und SCADA-Sicherheit, Produktionskontinuität
Kritische AssetsServer, Clients, Cloud, Identitäten, DatenProduktionslinien, HMI, Engineering-Stationen, Remote Access, IIoT-Gateways
VorfallfolgenDatenverlust, Betriebsunterbrechung, ReputationsschadenProduktionsstopp, Qualitätsmängel, Sicherheitsrisiken, hoher Ausschuss, Lieferverzug
LieferketteDrittanbieter und Dienstleisterzusätzlich Maschinenbauer, Integratoren, Fernwartung, Ersatzteil- und Softwareketten
SchulungsbedarfCyberhygiene und Management Awarenesszusätzlich Schichtbetrieb, Instandhaltung, OT-Engineering und externe Servicepartner

Die zentrale Konsequenz lautet: Ein IT-Sicherheitsprogramm allein reicht in der Produktion oft nicht aus. Wenn EDR, SIEM, IAM und Patch-Management nicht mit Wartungsfenstern, Safety-Anforderungen, Lieferantenlogik und Anlagenverfügbarkeit abgestimmt sind, entsteht entweder eine Scheinsicherheit oder ein Konflikt mit dem Betrieb. NIS2 verlangt deshalb funktionierende Governance über beide Welten hinweg.

Viele Unternehmen unterschätzen an dieser Stelle den Faktor Zeit. In Office-IT können Änderungen oft innerhalb von Tagen geplant werden. In OT hängen Eingriffe an Produktionsstillständen, Validierungen, Ersatzteilverfügbarkeit und Freigaben des Herstellers. Wer diese Realität nicht in sein NIS2-Programm integriert, formuliert Kontrollen, die im Werk nie umgesetzt werden.

Lieferketten-Sicherheit in der Fertigung

Lieferketten-Sicherheit ist für Hersteller unter NIS2 besonders wichtig, weil Produktionsumgebungen in hohem Maß von externen Komponenten, Softwareständen und Serviceleistungen abhängen. Art. 21 Abs. 2 Buchst. d der Richtlinie (EU) 2022/2555 verlangt ausdrücklich die Berücksichtigung sicherheitsbezogener Aspekte in den Beziehungen zu direkten Lieferanten und Diensteanbietern.

Im verarbeitenden Gewerbe betrifft das nicht nur klassische IT-Dienstleister. Kritisch sind vor allem Maschinenbauer, Integratoren, SPS-Programmierer, Remote-Service-Partner, Wartungsunternehmen, Cloud-Anbieter für Produktionsdaten, Lieferanten von IIoT-Plattformen und Betreiber externer Monitoring-Lösungen. Ein Sicherheitsproblem in dieser Kette kann Produktionsstillstände verursachen, ohne dass der Angriff unmittelbar beim Hersteller begonnen hat.

Besonders heikel ist Fernwartung. Sie ist für viele Werke unverzichtbar, weil Spezialwissen, Störungsbeseitigung und Softwarepflege nicht dauerhaft vor Ort verfügbar sind. Gleichzeitig ist Fernwartung einer der sensibelsten Zugänge zur Produktion. NIS2 verlangt deshalb nicht nur Verträge, sondern einen steuerbaren Prozess: eindeutige Verantwortlichkeiten, zeitlich begrenzte Zugänge, Protokollierung, Freigabeprozesse und klare Incident-Meldewege.

Hinzu kommt die Software-Lieferkette. In Industrie-4.0-Architekturen stammen Komponenten oft von mehreren Herstellern, werden durch Integratoren angepasst und in kundenspezifische Betriebsmodelle eingebettet. Dadurch wird es schwieriger, Patches, Schwachstellenhinweise und Verantwortlichkeiten sauber zuzuordnen. Für regulierte oder regulierungsnahe Hersteller ist ein Lieferantenregister mit Kritikalitätsbewertung daher keine bürokratische Kür, sondern betriebliche Notwendigkeit.

Wenn Sie diesen Aspekt vertiefen wollen, ist unser Beitrag zur NIS2 in der Energiewirtschaft als Vergleich hilfreich, weil dort ebenfalls hohe Abhängigkeiten von OT, Fernzugriffen und kritischen Dienstleistern bestehen. Für die Management-Perspektive auf Haftung und Aufsichtspflichten ergänzt die NIS2-Geschäftsleitungsschulung die operative Sicht dieses Artikels.

Schulungspflichten für Produktionsmitarbeiter

NIS2 verlangt Schulungen und Cyberhygiene nicht nur für die IT, sondern für alle relevanten Rollen, die Risiken beeinflussen. Art. 20 verpflichtet Leitungsorgane zur Genehmigung und Überwachung der Maßnahmen und nennt ausdrücklich Schulungen für das Management. Art. 21 Abs. 2 Buchst. g verlangt außerdem grundlegende Cyberhygiene und Schulungen.

Für das verarbeitende Gewerbe bedeutet das: Produktionsmitarbeiter brauchen keine abstrakte Theorie, sondern rollenspezifische Praxisanweisungen. Schichtleitungen müssen wissen, wie Auffälligkeiten an HMIs, Steuerungen oder Bedienplätzen eskaliert werden. Instandhaltungsteams müssen verstehen, welche Risiken USB-Medien, Engineering-Laptops, Remote-Sessions und nicht freigegebene Softwarestände erzeugen. OT-Engineers und Automatisierungsteams benötigen vertiefte Kenntnisse zu Segmentierung, Identitäten, Backup-Logik, Wiederanlauf und Lieferantensteuerung.

Auch externe Servicepartner sollten in die Schulungslogik einbezogen werden, jedenfalls soweit sie privilegierte Zugriffe, Wartungsfenster oder Änderungen an produktionsrelevanten Systemen vornehmen. Ein Unternehmen erfüllt seine NIS2-Pflichten nicht überzeugend, wenn interne Teams sensibilisiert sind, aber kritische Dienstleister ohne dokumentierte Sicherheitsanforderungen arbeiten.

Bewährt hat sich in der Produktion ein dreistufiges Modell:

  1. Management-Schulung: Verantwortung, Genehmigungspflichten, Meldewege, Haftungsbezug und Priorisierung von Investitionen.
  2. Rollenbasierte OT-Schulung: Schichtbetrieb, Instandhaltung, OT-Engineering, Fernwartung, Leitstand und Produktionsplanung.
  3. Wiederkehrende Cyberhygiene: Passwort- und Zugangsdisziplin, Umgang mit Wechselmedien, Störungsmeldung, Social Engineering, sichere Eskalation.

Entscheidend ist der Nachweis. NIS2 bewertet in der Praxis nicht nur, ob ein Unternehmen „schon einmal geschult“ hat, sondern ob Maßnahmen wiederholbar, adressatengerecht und in die Organisation eingebettet sind. Gerade im Schichtbetrieb braucht es deshalb Dokumentation, Auffrischungen und klare Verantwortliche.

Handlungsempfehlung mit Zeitplan für Hersteller

Hersteller und andere Unternehmen des verarbeitenden Gewerbes sollten NIS2 in einem abgestuften Umsetzungsplan angehen, damit Governance, OT-Sicherheit und Lieferkette gleichzeitig reifen. Der größte Fehler ist, erst bei einem Audit, Kundenfragebogen oder Vorfall mit der Strukturierung zu beginnen.

In den ersten 30 Tagen sollten Sie Scope und Kritikalität klären: betroffene Gesellschaften, relevante Produktionsstandorte, kritische OT-Systeme, Fernwartungswege, zentrale Dienstleister und bestehende Melde- oder Eskalationsketten. Ohne diese Basis bleibt jede Maßnahme zu generisch.

In 30 bis 90 Tagen sollten Sie die Kernkontrollen priorisieren: Netzsegmentierung, privilegierte Zugänge, Remote-Access-Regeln, Asset-Transparenz, Backup- und Wiederanlaufplanung, Lieferantenklassifizierung sowie Schulungskonzept für Management und Produktion. In dieser Phase zeigt sich meist auch, welche Altanlagen nur mit Kompensationsmaßnahmen abgesichert werden können.

In 90 bis 180 Tagen sollten Sie Nachweisfähigkeit aufbauen: Richtlinien, Rollen, Protokollierung, Test- und Übungskonzepte, dokumentierte Lieferantenanforderungen, Vorfallkommunikation und regelmäßige Reviews. Erst dann wird aus einer technischen Einzelmaßnahme ein NIS2-fähiges Governance-System.

Wenn Sie ein pragmatisches Einstiegsformat suchen, ist die NIS2-Online-Schulung der sinnvollste erste Schritt für Geschäftsführung, IT, OT und Compliance. Kombinieren Sie das mit dem NIS2-Reifegrad-Assessment und der Vertiefung zur NIS2-Geschäftsleitungsschulung, damit Verantwortlichkeiten, Produktionsrealität und Schulungsnachweise zusammenpassen.

FAQ: NIS2 im verarbeitenden Gewerbe

Welche Fertigungsunternehmen fallen unter NIS2?

Betroffen sind nicht automatisch alle Hersteller, sondern vor allem mittlere und große Unternehmen, die in erfassten Sektoren oder wichtigen Teilsektoren tätig sind und dabei die NIS2-Schwellenwerte erreichen. Maßgeblich sind deshalb nicht nur Mitarbeiterzahlen, sondern auch Sektorzuordnung, Unternehmensgröße und die konkrete Rolle in der Wertschöpfung.

Was bedeutet NIS2 für OT-Sicherheit in der Produktion?

NIS2 macht OT-Sicherheit zu einer Governance- und Nachweispflicht. Unternehmen müssen Risiken in SPS-, SCADA-, HMI-, Fernwartungs- und IIoT-Umgebungen systematisch identifizieren, absichern, überwachen und bei erheblichen Vorfällen meldefähig sein.

Wie betrifft NIS2 Industrie-4.0-Anlagen?

Industrie-4.0-Anlagen erhöhen die Angriffsfläche, weil Produktionsnetzwerke, Cloud-Plattformen, Fernzugriffe und Lieferantenanbindungen stärker verknüpft sind. NIS2 verlangt deshalb technische, organisatorische und vertragliche Schutzmaßnahmen für die gesamte IT/OT-Konvergenz.

Müssen Maschinenbauer NIS2 umsetzen?

Maschinenbauer müssen NIS2 jedenfalls dann prüfen, wenn sie selbst als erfasste Einrichtung gelten oder sicherheitsrelevante Leistungen für regulierte Kunden erbringen. Zusätzlich steigt ihr Druck durch IEC 62443, den Cyber Resilience Act und die Maschinenverordnung, auch wenn diese Regelwerke nicht identisch sind.

Welche Lieferketten-Anforderungen stellt NIS2 an Hersteller?

NIS2 verlangt gemäß Art. 21 Abs. 2 Buchst. d der Richtlinie (EU) 2022/2555, dass Lieferketten- und Anbieterbeziehungen in das Risikomanagement einbezogen werden. Hersteller müssen daher kritische Zulieferer, Fernwartungspartner, Softwarelieferanten und OT-Dienstleister risikobasiert steuern und vertraglich absichern.

Welche Schulungspflichten gibt es für Produktionsmitarbeiter?

NIS2 verlangt keine einzelne Kursform, aber nach Art. 20 und Art. 21 ausdrücklich Management-Schulungen sowie Cyberhygiene- und Security-Awareness-Maßnahmen. In der Produktion müssen deshalb insbesondere Schichtleitung, Instandhaltung, OT-Engineering und Fernwartungs-Verantwortliche rollenbezogen geschult werden.

Der nächste Schritt für Ihr Unternehmen

Wenn Ihr Unternehmen NIS2 im verarbeitenden Gewerbe belastbar umsetzen will, sollten Sie Produktion, OT, IT, Einkauf und Geschäftsleitung in ein gemeinsames Schulungs- und Governance-Modell bringen. Für genau diesen Einstieg ist unsere NIS2-Online-Schulung geeignet, weil sie Verantwortlichkeiten, Pflichten und Nachweise so strukturiert, dass daraus ein umsetzbares Programm für Werk, Management und Lieferkette entsteht.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →