Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde die europäische NIS2-Richtlinie in deutsches Recht überführt. Für den Maschinen- und Anlagenbau ist das mehr als ein weiterer regulatorischer Hinweis: Branchenschätzungen gehen davon aus, dass allein in diesem Sektor mehrere tausend Unternehmen im Sektor “verarbeitendes Gewerbe” (Anlage 2 BSIG), dem viele Maschinenbauer zugeordnet werden, betroffen sein dürften. Wer eine vernetzte Produktionsumgebung betreibt, Maschinen ausliefert, die per Remote-Zugriff gewartet werden, oder als Zulieferer in kritischen Lieferketten agiert, sollte seine IT- und OT-Sicherheit frühzeitig neu bewerten.
Hier finden Sie einen praxisorientierten Überblick: Wer fällt unter NIS2, welche Pflichten sind zu erfüllen, und worauf sollten Sie beim sicheren Remote Service achten, der inzwischen zum Industriestandard geworden ist? Eine kompakte Einordnung zu NIS2 im Maschinen- und Anlagenbau aus Sicht eines Plattformanbieters für sichere Maschinenkonnektivität liefert zusätzlichen Kontext für die Umsetzung.
Wer ist betroffen? Schwellenwerte und Einordnung
NIS2 unterscheidet im deutschen Recht zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Für den Maschinen- und Anlagenbau ist in der Regel die Kategorie „wichtige Einrichtung“ relevant.
Die Schwellenwerte orientieren sich an der Unternehmensgröße – Pflichten greifen üblicherweise ab:
50 oder mehr Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro.
Damit fallen viele klassische mittelständische Unternehmen erstmals in den Geltungsbereich der Cybersicherheitsregulierung. Hinzu kommen besondere Regelungen für Lieferketten: Auch kleinere Zulieferer können indirekt betroffen sein, wenn sie Komponenten oder Dienstleistungen an NIS2-regulierte Kunden liefern und ihr Sicherheitsniveau Teil der Lieferantenbewertung wird.
Zentrale Pflichten und Prozessschritte im Überblick
| Bereich | Anforderung | |
| Registrierung | Registrierung betroffener Einrichtungen beim BSI gemäß den vorgegebenen Fristen | |
| Meldepflichten | Frühwarnung bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach einem Monat | |
| Risikomanagement | Nachweis technischer und organisatorischer Maßnahmen, Lieferkettensicherheit, Geschäftsleitungsverantwortung |
Wer die BSI-Registrierung versäumt oder Pflichten nicht erfüllt, riskiert empfindliche Bußgelder und in schwerwiegenden Fällen die persönliche Haftung der Geschäftsleitung. Anders als bei früheren Cyber-Regulierungen ist die Verantwortung nun fest auf Leitungsebene verankert.
Die zentralen Pflichten im Überblick
NIS2 verpflichtet betroffene Unternehmen zu einem systematischen Cyber-Risikomanagement. Die wichtigsten Bausteine:
- Risikomanagement: Regelmäßige Risikoanalysen für IT- und OT-Systeme, dokumentierte Sicherheitskonzepte, Notfall- und Wiederherstellungspläne.
- Technische Maßnahmen: Netzwerksegmentierung zwischen Office-IT und Produktion, Zugriffsmanagement, Verschlüsselung, Multi-Faktor-Authentifizierung, Patch- und Schwachstellenmanagement.
- Lieferkettensicherheit: Bewertung von Lieferanten und Dienstleistern, vertragliche Sicherheitsanforderungen, klare Schnittstellen für Fernwartung.
- Meldepflichten: Frühwarnung bei erheblichen Vorfällen innerhalb von 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach einem Monat.
- Schulung und Governance: Die Geschäftsleitung muss Cybersicherheit aktiv steuern und regelmäßige Awareness-Maßnahmen für Mitarbeitende sicherstellen.
OT-Sicherheit: Die Schwachstelle im Maschinenbau
Viele Maschinen- und Anlagenbauer haben über die Jahre eine sichere Office-IT aufgebaut – die Operational Technology (OT) auf dem Shopfloor bleibt jedoch häufig ein Sonderfall. Steuerungen, HMIs, Edge-Geräte und Engineering-Schnittstellen sind in vielen Anlagen weiterhin unzureichend segmentiert oder werden über uneinheitliche Fernzugriffslösungen gewartet.
Genau hier setzen die NIS2-Anforderungen an. Der einschlägige Standard für industrielle Cybersicherheit, die IEC 62443, etabliert sich in der Praxis als De-facto-Referenz: Sie definiert einen Rahmen für Security Level, Zonen, Conduits, Härtungsmaßnahmen und Lieferantenanforderungen. Wer NIS2 sauber umsetzt, richtet sich faktisch an diesem Standard aus – auch wenn das Gesetz selbst keine konkrete Norm vorschreibt.
Fernwartung neu denken: Von VPN zur Plattform
In vielen Unternehmen läuft die klassische Fernwartung noch über dedizierte Industrierouter, VPN-Tunnel oder generische Remote-Tools. Technisch funktioniert das – NIS2 verlangt jedoch ein nachweisbares Identitäts-, Rechte- und Audit-Management. Die typischen Schwachstellen:
- Unzureichend dokumentierte Zugriffe von Maschinenherstellern und Servicepartnern
- Fehlende Trennung zwischen verschiedenen Herstellern innerhalb derselben Anlage
- Keine durchgängige Protokollierung, wer wann auf welche Maschine zugegriffen hat
- Wartungstools, die nicht für industrielle OT-Sicherheit ausgelegt sind
Plattformansätze für sicheren Remote Service – wie sie symmedia mit dem symmedia Hub und einer Multi-Tenancy-Architektur verfolgt – adressieren genau diese Punkte: Betreiber, Hersteller und Servicepartner arbeiten auf einer gemeinsamen, hersteller- und typunabhängigen Plattform zusammen, wobei jede Partei die Hoheit über ihre eigenen Daten und Prozesse behält. Für die NIS2-Umsetzung bedeutet das im Idealfall: zentralisierte Zugriffskontrolle, vollständige Protokollierung, definierte Rollen und ein Sicherheitsmodell, das sich an Standards wie IEC 62443 orientiert.
Wie Sie die Umsetzung pragmatisch angehen
Ein realistisches Vorgehen für mittelständische Maschinenbauer und Betreiber:
- Anwendbarkeit klären: Prüfen Sie die Größenkriterien, analysieren Sie Ihre Position in der Lieferkette, dokumentieren Sie den Geltungsbereich.
- Registrierung beim BSI: Prüfen Sie umgehend, ob Ihre Einrichtung registrierungspflichtig ist. Die Frist ist bereits verstrichen; Unternehmen, die sich nicht registriert haben, verstoßen gegen geltendes Recht und sollten die Registrierung unverzüglich nachholen.
- Gap-Analyse durchführen: Erfassen Sie IT, OT, Fernwartungszugänge, Lieferanten und bestehende Sicherheitsmaßnahmen.
- Maßnahmenplan aufsetzen: Priorisieren Sie nach Risiko – Netzwerksegmentierung, sicherer Fernzugriff, Patch-Prozesse und Incident Response zuerst.
- Lieferkette einbinden: Stimmen Sie Vertragsklauseln, Sicherheitsanforderungen und Audits mit Maschinenlieferanten und Servicepartnern ab.
Governance verankern: Schulen Sie die Geschäftsleitung, definieren Sie Verantwortlichkeiten und etablieren Sie Berichtsstrukturen
Fazit: NIS2 ist Pflicht – und Chance
NIS2 zwingt den Maschinen- und Anlagenbau, Cybersicherheit endgültig vom Nischenthema zur Managementaufgabe zu machen. Die Pflichten sind konkret, die Haftungsrisiken real. Gleichzeitig bietet sich eine Chance: Wer Fernwartung, OT-Sicherheit und Lieferkettenmanagement jetzt richtig aufstellt, reduziert nicht nur das Bußgeldrisiko, sondern senkt langfristig auch Stillstandzeiten und Servicekosten. Wenn Sie noch mit historisch gewachsenen VPN-Inseln und Insellösungen arbeiten, sollten Sie die kommenden Monate nutzen, um Ihren eigenen Reifegrad ehrlich zu bewerten – und die Architektur für die kommenden Jahre auf einem tragfähigen, auditierbaren Sicherheitsfundament aufzubauen.