NIS2 Produktion: Anforderungen, Fristen & OT-Strategien (2026)

NIS2 in der Produktion: Vom Compliance-Druck zur resilienten OT-Infrastruktur

Wer heute eine durchschnittliche deutsche Werkshalle betritt, sieht oft ein digitales Museum: Da steht die hochmoderne 5-Achs-Fräse direkt neben einer Anlage, deren Steuerung noch auf Windows XP basiert. Dazwischen hängen unmanaged Switches, und für die Fernwartung nutzen Dienstleister oft Zugänge, von denen die interne IT nichts weiß. Die Vernetzung (OT/IT-Konvergenz) ist in den letzten Jahren rasant gewachsen – aber sie wurde selten unter Security-Aspekten „designt“, sondern ist organisch gewuchert.

Mit dem NIS2-Umsetzungsgesetz, das in Deutschland seit dem 6. Dezember 2025 in Kraft ist, endet die Zeit der „Security by Hope“. Für viele Fertigungsunternehmen im Mittelstand und im KRITIS-nahen Umfeld ist Cybersicherheit nun keine freiwillige Option mehr, sondern eine gesetzliche Pflicht mit klaren Fristen. Besonders kritisch: Die Registrierung beim BSI muss für viele betroffene Unternehmen bis zum 6. März 2026 erfolgen.

In diesem Beitrag erfahren Sie, wie Sie die Anforderungen der NIS2 in der Produktion (OT) pragmatisch umsetzen, ohne den Betrieb lahmzulegen.

Was NIS2 für Fertiger konkret bedeutet

NIS2 zielt darauf ab, die Resilienz der europäischen Wirtschaft zu stärken. In der Produktion verschiebt sich der Fokus dabei massiv: Weg von der reinen Office-IT, hin zur OT (Operational Technology). Wenn die IT ausfällt, kann man keine E-Mails schreiben; wenn die OT gehackt wird, steht das Band still, oder es entstehen physische Schäden an Mensch und Maschine.

Das Gesetz unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Doch unabhängig von der Einstufung müssen Unternehmen ein Risikomanagement implementieren, das folgende Bereiche abdeckt:

• Sicherheit der Lieferkette
• Kryptografie und Verschlüsselung
• Konzepte zur Zugriffskontrolle (Asset Management)
• Bewältigung von Sicherheitsvorfällen (Incident Response)

Wichtiger Hinweis zur aktuellen Lage: Die EU-Kommission hat am 20. Januar 2026 Präzisierungen vorgeschlagen, die mehr Klarheit bei der Schwellenwert-Berechnung und vereinfachte Compliance-Verfahren für bestimmte Sektoren in Aussicht stellen. Das bietet Orientierung, entbindet aber nicht von der Pflicht, die nationalen Vorgaben des BSI und des NIS2UmsuCG zeitnah umzusetzen. Prüfen Sie Details immer mit Ihrer Rechtsabteilung oder den offiziellen Quellen des BSI.

Die typischen Stolpersteine in der Fertigung

Warum ist NIS2 in der Produktion schwieriger als im Rechenzentrum? Weil die Realität in der Werkshalle oft so aussieht:

1. Mangelnde Asset-Transparenz: Viele Unternehmen wissen nicht einmal genau, welche Geräte (SPS, HMI, Industrie-PCs) in ihren Netzen hängen. Wer seine Assets nicht kennt, kann sie nicht schützen.
2. Fehlende Netzwerk-Segmentierung: Oft existiert ein „flaches Netz“. Wer einmal drin ist (z. B. über ein infiziertes Notebook eines Technikers), hat Zugriff auf die gesamte Steuerungsebene.
3. Unkontrollierte Fernzugriffe: Dienstleister haben oft Dauerzugänge über veraltete VPN-Lösungen. Hier fehlt die Kontrolle, wer wann was an welcher Maschine geändert hat.
4. Verantwortungs-Vakuum: Die IT kümmert sich um Server, die Instandhaltung um die Maschinen. Dazwischen liegt eine Grauzone, in der sich niemand für die Cybersicherheit der Steuerungsebene verantwortlich fühlt.

IEC 62443: Der Praxis-Rahmen für die NIS2-Anforderungen in der OT

Während die ISO 27001 den Rahmen für das Informationssicherheits-Managementsystem (ISMS) vorgibt, liefert die IEC 62443 die technischen und prozessualen Antworten für die Automatisierungswelt.

Sie ist zwar unter NIS2 nicht explizit als Gesetz vorgeschrieben, gilt aber in der Industrie als „Stand der Technik“. Wer sich an der IEC 62443 orientiert – insbesondere bei der Segmentierung in Zones (Zonen) und Conduits (Verbindungskanäle) – erfüllt automatisch einen Großteil der OT Cybersecurity NIS2-Anforderungen.

Roadmap: In 8 Schritten zur NIS2-Compliance

Ein pragmatischer Ansatz ist entscheidend. Niemand kann eine gewachsene Produktion über Nacht absichern. Wir empfehlen eine Staffelung nach Dringlichkeit:

Phase 1: Die ersten 30 Tage (Quick Wins & Pflicht)

• Schritt 1: Betroffenheitsanalyse & Registrierung. Klären Sie den Status (Wesentlich/Wichtig). Ziel: Rechtssicherheit. Output: BSI-Registrierung.
• Schritt 2: OT-Asset-Inventur (Quick Scan). Erfassen Sie die wichtigsten Netzwerkknoten. Output: Vorläufige Asset-Liste.

Phase 2: Tag 31 bis 90 (Risikominimierung)

• Schritt 3: Absicherung der Fernwartung. Ersetzen Sie unsichere VPN-Dauerzugänge durch „Privileged Remote Access“-Lösungen mit Genehmigungs-Workflow. Output: Remote-Access-Policy.
• Schritt 4: Logische Segmentierung. Trennen Sie IT und OT durch eine industrielle Firewall. Output: Netzwerkzonenplan.
• Schritt 5: Incident-Basisprozess. Was tun, wenn eine SPS seltsame Befehle sendet? Output: Notfall-Kontaktliste & Meldeplan.

Phase 3: 6 bis 12 Monate (Nachhaltigkeit)

• Schritt 6: Schwachstellenmanagement. Regelmäßiges Scannen der OT-Assets auf bekannte Sicherheitslücken (CVEs). Verantwortlich: OT-Security-Officer.
• Schritt 7: Lieferketten-Check. Auditieren Sie die Sicherheitsstandards Ihrer wichtigsten Maschinenbauer und Software-Zulieferer. Output: Supplier Code of Conduct.
• Schritt 8: Kontinuierliches Monitoring. Implementierung von Intrusion Detection Systemen (IDS) in der OT. Methoden: Anomalieerkennung.

Praxisbeispiel: Mittelständischer Automobilzulieferer

Ein mittelständischer Zulieferer (800 Mitarbeiter) stand vor dem Problem, dass Kunden (OEMs) im Rahmen von NIS2 strengere Sicherheitsnachweise forderten.

• Status Quo: Ein flaches Netzwerk, 400 unbekannte OT-Assets, unverschlüsselte Passwörter an den Terminals.
• Die Umsetzung: Gemeinsam mit MHV Systems wurde zuerst eine automatisierte Asset-Erkennung implementiert. Danach wurde das Netz in drei Sicherheitszonen unterteilt. Die Fernwartung wurde auf ein Zero-Trust-Modell umgestellt.
• Das Ergebnis: Heute kann das Unternehmen Audits auf Knopfdruck bestehen. Ein wichtiger Nebeneffekt: Durch die Transparenz wurden veraltete Firmware-Stände entdeckt, die zuvor regelmäßig für ungeplante Stillstände gesorgt hatten. Die Ausfallsicherheit der Produktion stieg spürbar.

FAQ: Häufige Fragen zu NIS2 in der Produktion

Bin ich betroffen? In der Regel sind Unternehmen ab 50 Mitarbeitern und 10 Mio. € Umsatz in Sektoren wie Energie, Verkehr, Banken, aber eben auch im verarbeitenden Gewerbe (Maschinenbau, Chemie, Lebensmittel) betroffen. Nutzen Sie offizielle Tools zur Selbsteinschätzung.

Was ist der größte Unterschied zwischen IT- und OT-Security? In der IT gilt „Confidentiality“ (Vertraulichkeit) als höchstes Gut. In der OT ist es die „Availability“ (Verfügbarkeit) und „Safety“ (Sicherheit von Mensch und Umwelt). Ein System-Reboot während eines Gießvorgangs kann katastrophal sein.

Wie hängt NIS2 mit IEC 62443 zusammen? NIS2 sagt „Was“ zu tun ist (Ziele), die IEC 62443 beschreibt das „Wie“ für die Automatisierungsebene.

Was bedeutet Lieferkettensicherheit konkret? Sie müssen sicherstellen, dass Ihre Dienstleister (z. B. für die Wartung der Roboter) die gleichen Sicherheitsstandards einhalten wie Sie selbst. Das umfasst vertragliche Regelungen und technische Zugangsbeschränkungen.

Was kann ich in 30 Tagen realistisch schaffen? Sie können Ihre Betroffenheit final klären, die Registrierung beim BSI einleiten und eine erste Bestandsaufnahme Ihrer kritischsten OT-Systeme durchführen.

‍

Fazit: NIS2 als Chance für die digitale Exzellenz

NIS2 sollte nicht als reines „Verhinderungsgesetz“ gesehen werden. In der Praxis führt die Umsetzung der Anforderungen fast immer zu einer höheren Transparenz und Stabilität der Produktion. Wer seine OT im Griff hat, reduziert ungeplante Stillstände und sichert seine Position als zuverlässiger Partner in der globalen Lieferkette.

‍

‍