NIS2 Maschinenbau: Pflichten für Hersteller und OT-Sicherheit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
Der deutsche Maschinen- und Anlagenbau ist mit über 1 Mio. Beschäftigten und 270 Mrd. EUR Umsatz (VDMA-Jahreszahlen 2024) eine Schlüsselindustrie — und nach Anhang II der NIS-2-Richtlinie als „sonstiger kritischer Sektor" eingestuft. Hinzu kommen Sektor-Überschneidungen: Hersteller von Medizintechnik fallen unter Gesundheitswesen, Hersteller von Stromversorgungs-Komponenten unter Energie, Anbieter cloudbasierter Maschinendaten unter Cloud-Computing. Dieser Leitfaden zeigt die Anwendungsfälle, OT-Spezifika und Maßnahmen für Maschinenbauer und Industrieausrüster.
TL;DR
- Maschinenbau ist als „Herstellung" im Anhang II der NIS-2-Richtlinie als sonstiger kritischer Sektor erfasst (NACE C26–C28)
- Schwellenwert „wichtige Einrichtung": >50 Mitarbeiter oder >10 Mio. EUR Umsatz und Bilanzsumme
- OT ist Teil des Pflicht-Bereichs: SPS, SCADA, MES, Industrial IoT
- CRA-Wechselwirkung: Hersteller vernetzter Produkte sind zusätzlich Cyber-Resilience-Act-pflichtig (ab 11.12.2027)
- Lieferketten-Pflichten gelten besonders bei globalen Komponenten-Sourcing-Strukturen
1. Ist Maschinenbau NIS2-pflichtig?
Die NIS-2-Richtlinie listet in Anhang II (sonstige kritische Sektoren) den Sektor „Herstellung" mit drei Teilsektoren auf:
- Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen (NACE C26): Hersteller von Computern, Steuerungen, Messgeräten, optischen Instrumenten
- Herstellung von elektrischen Ausrüstungen (NACE C27): Schaltanlagen, Elektromotoren, Generatoren, Stromversorgung
- Herstellung von Maschinen und Ausrüstungen a. n. g. (NACE C28): klassischer Maschinen- und Anlagenbau, Werkzeugmaschinen, Sondermaschinen
Weitere relevante Anhang-II-Teilsektoren: Herstellung von Kraftwagen und Kraftwagenteilen (NACE C29), Sonstiger Fahrzeugbau (NACE C30) und Herstellung von Medizinprodukten und In-vitro-Diagnostika (überschneidend mit Sektor Gesundheit).
Schwellenwerte: wann gilt die NIS-2-Pflicht?
| Unternehmensgröße | Mitarbeiter | Umsatz / Bilanz | NIS2-Status |
|---|---|---|---|
| Klein | < 50 | < 10 Mio. EUR | Nicht betroffen (vorbehaltlich Sektor-Sonderregeln) |
| Mittel | 50–249 | 10–50 Mio. EUR / < 43 Mio. Bilanz | Wichtige Einrichtung (Anhang II) |
| Groß | > 250 | > 50 Mio. EUR / > 43 Mio. Bilanz | Wichtige Einrichtung, bei KRITIS-Status auch wesentliche |
Schwellenwerte gelten auf Konzernebene (verbundene und Partnerunternehmen werden addiert). Sektor-spezifische Sonderregeln können auch kleinere Unternehmen einschließen.
Klassifizierung im Detail: NIS2 für Unternehmen mit 50–100 Mitarbeitern und NIS2-Umsetzung Deutschland.
2. OT-Security-Besonderheiten: SPS, SCADA, Industrial IoT
Anders als Office-IT haben OT-Systeme im Maschinenbau spezifische Eigenschaften, die die NIS2-Umsetzung beeinflussen:
| Eigenschaft | IT | OT |
|---|---|---|
| Schutzziel-Priorität | Vertraulichkeit > Integrität > Verfügbarkeit | Verfügbarkeit > Integrität > Vertraulichkeit |
| Lebenszyklus | 3–5 Jahre | 15–30 Jahre |
| Patch-Fenster | monatlich/wöchentlich | jährlich, geplante Wartung |
| Echtzeit-Anforderungen | selten kritisch | oft < 10 ms (Safety-relevant) |
| Beispiel-Systeme | ERP, CRM, Office | SPS (Siemens S7, Beckhoff TwinCAT, Rockwell), SCADA (WinCC, iFix), MES, Edge-Devices |
Typische OT-Schwachstellen im Maschinenbau
- SPS mit Default-Passwörtern oder unverschlüsselten Engineering-Protokollen (Profinet, EtherNet/IP)
- Fernwartungszugänge ohne MFA, oft mit Klartext-VPN
- Flache Netze ohne Segmentierung (IT/OT-Konvergenz ohne Firewalls)
- End-of-Life-Betriebssysteme auf HMIs (Windows 7/XP-Embedded)
- USB-Sticks als Vektoren für Patches und Konfiguration
- OT-Geräte ohne Logging/Monitoring
Empfohlene OT-Sicherheitsmaßnahmen
- Netz-Segmentierung nach IEC 62443-3-3: Zonen und Conduits zwischen Office-IT, MES, Produktions-OT
- OT-spezifische Firewalls: z. B. Industrial Next-Gen Firewalls mit DPI für Profinet, OPC-UA
- Zentrales OT-Inventar: Erfassung aller SPS, HMI, Sensoren mit Firmware-Stand
- Vulnerability-Management: Abonnement BSI Industrial-CSAF, Hersteller-Advisories (Siemens ProductCERT, Rockwell, Beckhoff)
- OT-SOC oder Hybrid-SOC: Anomalie-Erkennung über passive Sensoren (z. B. Claroty, Nozomi, Dragos)
- Wartungs-/Fernzugriffs-Konzept: Jump-Server, MFA, Session-Recording
- Sichere Inbetriebnahme: Hardening-Checklisten pro Maschinen-Typ
3. Cyber Resilience Act + NIS2: Wechselwirkung
Maschinenbauer mit vernetzten Produkten (Industrie 4.0, IoT-fähige Anlagen, Software-as-a-Service-Komponenten) sind doppelt reguliert:
| Aspekt | NIS2-Richtlinie | Cyber Resilience Act |
|---|---|---|
| Regulierungs-Objekt | Cybersecurity des Unternehmens | Cybersecurity des Produkts |
| Geltungsbeginn | In DE: 06.12.2025 (BSIG) | 11.12.2027 (Verordnung (EU) 2024/2847) |
| Kern-Pflichten | ISMS, Risikomanagement, Incident-Response, Lieferkette | Sicheres Design, SBOM, Schwachstellen-Handhabung, 5 Jahre Patch-Support |
| Konformitätsbewertung | BSI-Audit (KRITIS) / Selbst-Deklaration | CE-Konformitätsbewertung mit benannter Stelle (kritische Produkte) |
| Bußgeld-Rahmen | bis 10 Mio. EUR / 2 % Umsatz | bis 15 Mio. EUR / 2,5 % Umsatz |
Praxis-Empfehlung: Secure-SDLC und SBOM-Prozesse synchron mit NIS2-ISMS aufbauen. Vulnerability-Management deckt beide Regelwerke ab. Patch-Support-Verpflichtungen aus CRA fließen in das NIS2-Lieferketten-Konzept ein.
4. Lieferanten-Audit-Pflichten
Der deutsche Maschinenbau ist eine globale Branche. Komponenten kommen aus China (Elektronik, Halbleiter), Taiwan (Sensorik, Chips), USA (Software, Steuerungen), Italien/Schweiz (Präzisionsmechanik). Das macht die NIS2-Lieferketten-Pflicht (Art. 21 Abs. 2 Buchst. d, § 30 Abs. 2 Nr. 4 BSIG) besonders herausfordernd.
Konkretes Vorgehen für Maschinenbauer
- Lieferanten-Inventar: alle Lieferanten von Hard- und Software, Cloud-Diensten, Wartungs-Dienstleistern erfassen
- Kritikalitäts-Klassifikation: Top-20 nach Kritikalität (Ausfallfolgen, Substituierbarkeit, Zugriff auf eigene Systeme)
- Vertragliche Anforderungen: Cybersecurity-Anhang (basierend auf VDMA-Mustervertrag), 24h-Vorfall-Meldung, Audit-Recht, Subunternehmer-Genehmigung
- Initial-Audit für Top-Lieferanten: ISO 27001-Zertifikat, IEC 62443-Zertifizierung, SOC 2 Type II, eigene Fragebögen (z. B. nach VDMA 66415)
- Jährliches Re-Assessment: Re-Validierung der Sicherheitsmaßnahmen, neue Bedrohungslage
- Exit-Strategie: Multi-Sourcing, Bevorratung kritischer Komponenten, alternative Lieferanten qualifiziert
- EU-Lieferketten-Schwerpunkt: bei kritischen Komponenten EU-/EWR-Lieferanten bevorzugen (Resilienz, Reisemöglichkeit für Audits)
Tiefergehend: NIS2 Lieferkette absichern.
5. Konkrete Maßnahmen-Liste für Maschinenbauer
Phase 1: Bestandsaufnahme (Monate 1–2)
- NIS2-Selbsteinschätzung: Sektor + Schwellenwerte
- BSI-Registrierung (sofern erforderlich nach § 33 BSIG)
- Asset-Inventar IT + OT (CMDB-Erweiterung)
- Lieferanten-Inventar mit Kritikalitäts-Klassifikation
- Bestehende Audits sichten (ISO 27001, IEC 62443, TISAX)
Phase 2: Risikomanagement (Monate 3–4)
- Risikoanalyse nach BSI 200-3 oder ISO 27005 (IT + OT)
- Bedrohungs-Katalog für Branche (BSI ICS-Lagebild, VDMA-Empfehlungen)
- Risikoregister mit Maßnahmen-Plan
- GF-Freigabe und Schulung nach § 38 BSIG
Phase 3: Technische Umsetzung (Monate 5–9)
- MFA für alle privilegierten Zugänge (IT + Engineering)
- Netz-Segmentierung IT/OT nach IEC 62443-3-3
- Backup-Konzept inkl. OT-Backup (SPS-Programme, Rezepte)
- Patch-Management mit OT-Wartungsfenstern
- Logging und Monitoring für OT (passive Sensoren)
- Endpoint-Härtung für Engineering-Workstations
Phase 4: Organisatorische Umsetzung (Monate 6–10)
- ISMS-Leitlinie und Rollen-Matrix
- Incident-Response-Plan mit OT-Eskalation und Produktions-Stillstands-Szenarien
- BCM mit Produktions-Wiederanlauf-Konzepten
- Awareness-Schulung für Mitarbeiter (Office + Werker)
- Spezial-Schulung für Engineering-Personal (OT-Security)
Phase 5: Auditierung (ab Monat 9)
- Interner Audit pro § 30 BSIG-Bereich
- Wirksamkeitsmessung mit KPIs
- Externe Auditierung (ISO 27001 / IEC 62443) optional
- Tabletop-Exercise mit Produktions-Szenario
6. Empfehlungen von VDMA und ZVEI
VDMA: Verband Deutscher Maschinen- und Anlagenbau
VDMA hat mehrere Werke veröffentlicht, die für die NIS2-Umsetzung im Maschinenbau hilfreich sind:
- VDMA-Einheitsblatt 66415-1 (IT-Sicherheit): Anforderungen an Anbieter und Betreiber industrieller Steuerungssysteme
- VDMA-Mustervertragsklauseln Cybersecurity: Sicherheits-Anhang für Lieferantenverträge
- VDMA-Leitfaden Industrial Security: Praxis-Empfehlungen für KMU
- VDMA-Position zum Cyber Resilience Act: Branchen-Auslegung der Pflichten
ZVEI: Zentralverband Elektro- und Digitalindustrie
- ZVEI-Leitfaden Industrie 4.0 Security: Sicherheits-Architektur für vernetzte Produktion
- ZVEI-Cybersecurity-Reifegrad-Modell: Selbstbewertung für Hersteller
- ZVEI-Position zur NIS-2-Umsetzung: sektorale Auslegungshilfen
7. Schutz von Konstruktionsdaten und Steuerungs-Software
Im Maschinenbau ist das wertvollste Asset oft nicht die Office-IT, sondern das geistige Eigentum:
- CAD-Konstruktionsdaten: Solidworks, NX, CATIA, Inventor — Repositories mit MFA, Backup, Versionsverwaltung mit Audit-Trail
- NC-Programme und Werkzeugbahnen: oft auf USB-Sticks oder unverschlüsselten Netzlaufwerken — Verschlüsselung at-rest, Zugriffsprotokollierung
- Steuerungs-Software und SPS-Logik: Quellcode-Repositories (Git, TIA-Portal-Projekte) — Code-Signing, Branch-Protection, Reviewer-Pflicht
- Konfigurationsdateien und Parameter: Maschinendaten, Rezepte, Kalibrierungen — Backup und Wiederanlauf-Verfahren
- Produktdaten beim Kunden: Maschinen oft mit Fernwartungs-Anbindung — IRM/DRM-Konzepte, Kundenseitige Schutzmaßnahmen vertraglich verankern
Querverweis: Geschäftsgeheimnisschutzgesetz (GeschGehG, BGBl. I 2019 Nr. 12) verlangt angemessene Geheimhaltungsmaßnahmen. Diese Pflicht harmoniert mit NIS2-Maßnahmen, sollte aber separat dokumentiert werden.
Häufig gestellte Fragen
Ist Maschinenbau NIS2-pflichtig?
Maschinenbau ist als „Herstellung" im Anhang II der NIS-2-Richtlinie als „sonstiger kritischer Sektor" aufgeführt, allerdings nur eingeschränkt. Betroffen sind direkt insbesondere Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen sowie Maschinen (NACE C26–C28). Schwellenwert: >50 Mitarbeiter oder >10 Mio. EUR Jahresumsatz und Jahresbilanzsumme.
Was ist der Unterschied zwischen NIS2 und Cyber Resilience Act?
NIS2 regelt die Cybersecurity des Unternehmens (interne IT und OT). Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) regelt die Cybersecurity der Produkte mit digitalen Elementen, die das Unternehmen in Verkehr bringt. Maschinenbauer mit vernetzten Produkten sind typischerweise von beiden Regelwerken betroffen.
Gelten NIS2-Pflichten auch für die Produktionsanlagen (OT)?
Ja. § 30 BSIG unterscheidet nicht zwischen IT und OT. SPS, SCADA, MES, Industrial-IoT-Geräte und Engineering-Workstations sind Teil der „Netz- und Informationssysteme" im Sinne der NIS-2-Richtlinie. Die Schutzmaßnahmen müssen für OT-Besonderheiten angepasst werden (Verfügbarkeits-Priorität, lange Lifecycles, Echtzeit-Anforderungen).
Welche Standards sind für OT-Sicherheit relevant?
IEC 62443 ist der Leitstandard für industrielle Automatisierung und Steuerung. Ergänzend: VDMA-Einheitsblatt 66415 (IT-Sicherheit), VDI/VDE-Richtlinien für sektorspezifische Themen, BSI ICS-Security-Kompendium. Für Maschinenbauer in der Produktion zusätzlich IEC 61511 (Funktionale Sicherheit).
Welche Pflichten habe ich gegenüber meinen Zulieferern?
Art. 21 Abs. 2 Buchst. d NIS-2-Richtlinie und § 30 Abs. 2 Nr. 4 BSIG verlangen ein Lieferketten-Sicherheitsmanagement. Für den Maschinenbau bedeutet das: Lieferanten-Inventar, Kritikalitäts-Klassifikation, vertragliche Sicherheitsanforderungen, regelmäßige Audits für kritische Lieferanten, Notfallpläne bei Lieferanten-Ausfall, insbesondere bei chinesischen, taiwanesischen und US-amerikanischen Komponenten-Lieferanten.
Wie integriere ich NIS2 mit ISO 27001 und IEC 62443?
ISO 27001 deckt die Office-IT und das übergreifende ISMS ab. IEC 62443 ergänzt für OT-Bereich. NIS2 ist die regulatorische Klammer. Praxis: ISMS nach ISO 27001 mit OT-Scope-Erweiterung nach IEC 62443-2-1 (Anforderungen an Anlagenbetreiber). Maßnahmen-Zuordnung zu § 30 BSIG dokumentiert in einer Cross-Mapping-Matrix.
Müssen Konstruktionsdaten und Quellcode besonders geschützt werden?
Ja. CAD-Daten, NC-Programme, Steuerungs-Software und produktspezifische Algorithmen sind regelmäßig die wertvollsten Assets eines Maschinenbauers (Know-how, Geschäftsgeheimnisse nach GeschGehG). Die NIS2-Risikoanalyse muss diese Assets erfassen, Schutzmaßnahmen umfassen IRM/DRM, Entwickler-Workstation-Härtung, Code-Repository-MFA, Versionsverwaltungs-Audits.
Quellen
- Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie), Anhang II (Stand: 17.05.2026)
- Verordnung (EU) 2024/2847 (Cyber Resilience Act) (Stand: 17.05.2026)
- BSIG 2025 — § 30 (Mindestmaßnahmen), § 33 (Registrierung) (Stand: 17.05.2026)
- IEC 62443 — Industrielle Kommunikationsnetze — Netz- und Systemsicherheit
- VDMA — Einheitsblatt 66415, Cybersecurity-Mustervertrag
- BSI — ICS-Security Kompendium und Lagebilder
- Geschäftsgeheimnisschutzgesetz (GeschGehG)
Werkzeuge & Selbsttests
NIS2 Readiness-Check
Pruefen Sie Ihre NIS2-Reife in 10 Minuten.
Bussgeld-Rechner
Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen.
NIS2 Selbsttest
Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit.
NIS2 Pflichtmassnahmen-Audit
10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.