Forschungstag IT-Sicherheit

NIS2-Informationsdossier für Unternehmen

Unabhängige Orientierung · Keine Rechtsberatung · Keine Verbindung zum BSI

NIS2 für Industrie und Produktion

Orientierung und Einordnung

  • Für wen relevant: Unternehmen mit Bezug zu Industrie und Produktion.
  • Häufige Prüffelder: Nachweisführung, Verantwortlichkeiten und Risikosteuerung.
  • Hinweis: Diese Seite bietet eine sachliche Orientierung und ersetzt keine rechtliche oder fachliche Einzelfallprüfung.

Ihre Produktion darf nicht stehen. Genau deshalb wird NIS2 im Maschinenbau gefährlich.

Security-Maßnahmen in der OT können Taktzeiten stören, SPS-Kommunikation brechen und alte Maschinen aus dem Betrieb nehmen. Gleichzeitig werden ungeschützte Legacy-Anlagen in der Werkshalle zur Compliance-Falle. Nicht theoretisch. Prüfbar. Dokumentationspflichtig. Haftungsrelevant.

Das Problem: Ihre Fertigung wurde auf Verfügbarkeit gebaut. Nicht auf Nachweissicherheit gegenüber Aufsicht, Kunden und Geschäftsführung.

NIS2 im Maschinenbau: Anforderungen an IT und OT

NIS2 trifft nicht nur Ihre klassische IT. Nicht nur Microsoft 365. Nicht nur Firewall, EDR und Backup.

Die Pflicht reicht in die Produktion hinein.

Das BSI stellt klar, dass „Die Maßnahmen müssen alle informationstechnischen Systeme, Komponenten und Prozesse, die Einrichtungen für die Erbringung ihrer Dienste nutzen, adressieren müssen.“

Für den Maschinenbau bedeutet das:

  • SPS, HMI, SCADA, Engineering-Stationen und Produktionsnetzwerke sind im Scope.
  • Alte Windows-XP- oder Windows-7-Systeme an Maschinen sind kein Randproblem.
  • Externe Fernwartungszugänge von Maschinenbauern und Integratoren sind Risikofaktoren.
  • Unsegmentierte Hallennetze sind kein technischer Schönheitsfehler. Sie sind ein Compliance-Mangel.
  • „Die Anlage kann nicht gepatcht werden“ ist keine Entlastung. Es ist der Startpunkt Ihrer Ersatzmaßnahmen.

Juristisch entscheidend ist nicht, ob Ihre Altmaschine modernisierbar ist. Entscheidend ist, ob Sie angemessene, dokumentierte und wirksame Schutzmaßnahmen getroffen haben.

Wenn nicht, entsteht ein direkter Angriffspunkt:

  • Geschäftsführungshaftung
  • Kundeneskalationen nach Lieferausfall
  • Audit-Feststellungen
  • Cyber-Versicherungsprobleme
  • Bußgeld- und Melderisiken nach Sicherheitsvorfällen

NIS2 verlangt keine perfekte Fabrik. Aber es verlangt beherrschte Risiken. Nachweisbar. Nicht als Papier-Tiger.

Warum IT-Sicherheitsansätze allein in der Produktion nicht greifen

Ein ISO-Template löst kein OT-Problem.

Eine neue Firewall löst kein Legacy-Problem.

Ein IT-Sicherheitskonzept, das an der Bürotür endet, reicht im Maschinenbau und in der Produktion nicht aus.

Die meisten Anbieter verschweigen den Kernkonflikt: NIS2 muss mit IEC 62443 zusammengeführt werden. Sonst reden IT und OT aneinander vorbei.

Ihre IT denkt in Patches, Endpoint-Agenten und zentralem Logging. Ihre Produktion denkt in Verfügbarkeit, Taktzeit und Anlagenfreigabe. Beide haben recht. Aber ohne verbindliches Zielbild entsteht ein Flickenteppich:

  • IT rollt Security-Vorgaben aus, die in der OT nicht funktionieren.
  • OT blockt Maßnahmen aus Angst vor Stillstand.
  • Externe Dienstleister behalten unkontrollierte Zugänge.
  • Legacy-Systeme bleiben „bekannt“, aber unbehandelt.
  • Das Management glaubt, NIS2 sei erledigt, weil ein Maßnahmenkatalog existiert.

Das ist gefährlich.

IEC 62443 liefert die technische Sprache für OT-Sicherheit: Zonen, Conduits, Security Level, Segmentierung, Zugriffskontrolle. NIS2 liefert den rechtlichen Druck: Risikomanagement, Meldepflichten, Lieferkettensicherheit, Geschäftsleiterverantwortung.

Wer beides nicht verbindet, baut Compliance ohne technische Substanz.

Und genau dort scheitern Standard-Lösungen:

  • Patching alter Maschinen ist oft unmöglich.
  • Agenten auf Steuerungssystemen sind oft nicht freigegeben.
  • Scans können Produktionssysteme destabilisieren.
  • Downtime-Fenster sind knapp oder nicht vorhanden.
  • Hersteller-Support endet lange vor dem realen Maschinenlebenszyklus.

Die Lösung ist nicht „alles erneuern“. Das ist wirtschaftlich unrealistisch.

Die Lösung ist kontrollierte Isolation. Saubere Segmentierung. Harte Fernwartungsregeln. Dokumentierte Ersatzmaßnahmen. Genau dort wird NIS2 im Maschinenbau belastbar.

Schritte zu einer belastbaren IT/OT-Sicherheitsstrategie

  1. OT-Asset-Scope in 10 Tagen feststellen: Erfassen Sie nicht „alle Assets irgendwann“. Erfassen Sie zuerst die produktionskritischen Linien, Zellen und Anlagen. Pro Asset brauchen Sie nur die harten Mindestdaten: Maschinenname, Steuerung, Betriebssystem, Netzwerkverbindung, Fernwartungszugang, Hersteller, Patchfähigkeit, Produktionskritikalität. Ergebnis: eine NIS2-relevante OT-Risikoliste. Kein CMDB-Monster. Kein Beratungsfriedhof.

  2. Legacy-Anlagen segmentieren statt patchen erzwingen: Trennen Sie alte Maschinen in definierte OT-Zonen nach IEC 62443-Logik. Keine flachen Netze. Keine direkten RDP-, VPN- oder TeamViewer-Zugriffe in die Werkshalle. Setzen Sie kontrollierte Conduits ein: Jump-Server, Firewall-Regeln, Protokollfilter, MFA, zeitlich begrenzte Zugänge, Logging. Wenn eine Maschine nicht gepatcht werden kann, dokumentieren Sie die Ersatzmaßnahme: Isolation, Zugriffsbeschränkung, Monitoring, Wiederanlaufplan.

  3. IT/OT-Freigabeprozess für jede Security-Maßnahme erzwingen: Beenden Sie Schattenentscheidungen. Jede Änderung an OT-Netzen braucht eine Freigabe durch IT, OT und Produktionsverantwortliche. Definieren Sie drei Kategorien: sofort umsetzbar, nur im Wartungsfenster, nur nach Herstellerfreigabe. Damit verhindern Sie Betriebsunterbrechungen durch gut gemeinte Security-Maßnahmen und schaffen gleichzeitig einen revisionsfähigen Nachweis für NIS2.

Checkliste: NIS2 und IEC 62443 für Industrie und Produktion

Die Checkliste gibt einen strukturierten Überblick, wie IT- und OT-Sicherheitsanforderungen im Produktionsumfeld zusammengeführt werden können – von der Asset-Erfassung über Segmentierungsansätze bis zur Nachweisführung für Geschäftsleitung und Audit. Sie dient der internen Orientierung und ersetzt keine technische oder rechtliche Fachberatung.

Verwandte Seiten

NIS2 für Lebensmittelindustrie und KMU

Einordnung für Lebensmittelproduzenten und KMU zu NIS2-Betroffenheit als wichtige Einrichtung und Anforderungen an die Produktionssicherheit.

NIS2 für Awareness und Mitarbeiterschulung

Orientierung für Unternehmen, die NIS2-Schulungen, Awareness-Maßnahmen und Phishing-Tests nachvollziehbar planen und dokumentieren möchten.

NIS2 für Chemie und Pharma

Einordnung für Chemie- und Pharmaunternehmen zu NIS2-Betroffenheit, Schutz sensibler Produktionsdaten und Anforderungen an die Lieferkettensicherheit.

FAQ

Bin ich von NIS2 betroffen?

Ob Ihr Unternehmen betroffen ist, hängt von Branche, Unternehmensgröße, kritischen Dienstleistungen und Lieferkettenrollen ab. Eine strukturierte Prüfung ist sinnvoll.

Reicht eine einmalige Maßnahme aus?

Nein. NIS2 erfordert fortlaufendes Risikomanagement, regelmäßige Überprüfung und dokumentierte Verbesserungen.

Ersetzt diese Seite eine Beratung?

Nein. Dieses Informationsangebot ersetzt keine Rechtsberatung, IT-Sicherheitsberatung oder behördliche Auskunft.