Gerade im produzierenden Gewerbe sind die Anforderungen immens. Hochkomplexe Produktionsanlagen mit vielen Komponenten laufen nach Jahrzehnten des Betriebs häufig auf veralteter Software, da von Herstellerseite keine Update-Pfade vorgesehen sind. Hacker wissen um diese Probleme und nehmen die Industrie besonders häufig in den Fokus ihrer Angriffe.

In diesem Umfeld ist nun rasches und entschiedenes Handeln gefragt. In unserer zweiteiligen Artikel-Serie geben wir Ihnen alle Informationen an die Hand, um Ihr Industrieunternehmen bestmöglich für die NIS-2-Richtlinie aufzustellen. Finden Sie heraus, ob Ihr Unternehmen von NIS-2 betroffen sein könnte und welche Fristen und Deadlines auf Sie zukommen. Außerdem zeigen wir erste Schritte auf, mit denen Sie in die Vorbereitung gehen können.

NIS-2-Richtlinie: Wann geht es los?

Ursprünglich hätte die EU-Richtlinie bereits bis zum 18. Oktober 2024 in nationale Gesetze der Mitgliedstaaten überführt werden müssen. Viele Länder sind damit jedoch zu spät dran, darunter auch Deutschland, Frankreich und Polen. Hierzulande ist das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) inzwischen verabschiedet und in Kraft. Der Bundestag hat das Gesetz am 13. November 2025 in zweiter und dritter Lesung beschlossen, der Bundesrat stimmte am 21. November 2025 zu. Nach der Verkündung im Bundesgesetzblatt am 5. Dezember 2025 trat das NIS2UmsuCG am 6. Dezember 2025 in Kraft. Damit gilt der neue Rechtsrahmen für Cybersicherheit unmittelbar; eine Übergangsfrist ist im Gesetz nicht vorgesehen, Unternehmen müssen die Anforderungen daher ohne zusätzliche Schonfrist umsetzen.

Das bedeutet, dass die Anpassungen in der Cybersicherheit bereits ab dem Tag des Inkrafttretens vollzogen sein müssen, ansonsten drohen empfindliche Strafen.

Eine gute Ausgangsbasis bildet das Aufstellen eines Informationssicherheits-Managementsystems (ISMS), wie es für die ISO 27001-Zertifizierung von zentraler Bedeutung ist. Abhängig vom Handlungsbedarf in Ihrem Unternehmen kann dieser Prozess von einigen Monaten bis zu über einem Jahr in Anspruch nehmen. Sollte es noch nicht geschehen sein, fangen Sie also schnellstmöglich an. 

Wer ist betroffen?

Im Vergleich zur alten NIS-Richtlinie sind wesentlich mehr Unternehmen von den neuen Anforderungen betroffen. Grundsätzlich wird zwischen zwei Gruppen von Einrichtungen unterschieden, den Essential Entities und Important Entities.

Unternehmen, die unter die Gruppe der essentiellen Einrichtungen fallen, unterliegen einer größeren staatlichen Aufsicht und härteren Sanktionsmöglichkeiten als wichtige Einrichtungen.

> Essential Entities

Den Essential Entities sind diejenigen Wirtschaftssektoren zugewiesen, die besonders wichtig für Infrastruktur, Gesundheit und staatliche Sicherheit in den EU-Mitgliedsländern sind. In Deutschland sind viele dieser Sektoren unter dem Begriff Kritische Infrastruktur (KRITIS) bekannt und bereits seit längerer Zeit reguliert. Es ist jedoch wichtig zu beachten, dass die NIS-2-Sektoren nicht deckungsgleich mit den KRITIS-Sektoren sind.

Bis auf wenige Sonderfälle im Bereich der öffentlichen Verwaltung und digitalen Infrastruktur, die unabhängig ihrer Größe den Essential Entities zugewiesen werden, muss ein Unternehmen mindestens 250 Mitarbeiter beschäftigen oder über 50 Mio. € Jahresumsatz erwirtschaften, um der essentiellen Gruppe zugerechnet zu werden.

> Important Entities

Während die essentiellen Einrichtungen nur für Großunternehmen relevant sind, gilt ein Unternehmen ab einer Größe von 50 Mitarbeitern oder 10 Mio. € Umsatz als wichtige Einrichtung, wenn es in einem der aufgeführten Sektoren tätig ist. Die Größeneinteilung der NIS-2 folgt also der allgemeinen Definition von kleinen und mittleren Unternehmen (KMU) in Abgrenzung zu Großunternehmen, wobei nur mittlere und große Unternehmen von der Regulierung betroffen sind. Die Fertigungsindustrie einschließlich Hersteller von Medizinprodukten und Maschinenbauer befinden sich in der Gruppe der Important Entities.

Besonders kleinere Organisationen wurden in Deutschland über die NIS-2-Richtlinie unzureichend informiert. Ob Ihr Unternehmen einem der Sektoren zuzuordnen ist, ist nicht immer eindeutig zu bestimmen. Rechtliche Sicherheit wird erst in der Anwendung des Gesetzes durch Präzedenzfälle entstehen. Eine schnelle Entscheidungshilfe kann Ihnen unser NIS-2 Quick-Check bieten: Finden Sie heraus, ob Ihr Unternehmen von NIS-2 betroffen ist.

Nächste Schritte

Nachdem die Betroffenheit geklärt ist, stehen viele Unternehmen vor der Frage, wie sie die erforderlichen Maßnahmen möglichst kosteneffizient umsetzen. Wir skizzieren die ersten Schritte, mit denen Sie Ihre Cyberresilienz zügig auf das erforderliche Niveau heben können.

1. Lücken in der Sicherheitslandschaft identifizieren
Zunächst ist es wichtig, sich einen Überblick zu verschaffen. Dafür sollten  unternehmensweite Asset Scans durchgeführt werden. Alle physischen, digitalen und immateriellen Vermögenswerte werden erfasst, um einen ganzheitlichen Überblick zu erlangen.

Dabei sollte das Hauptaugenmerk auf dem Shopfloor liegen. Alle Maschinen müssen inventarisiert und die Komponenten auf Aktualität überprüft werden. Berücksichtigt werden auch alle vernetzten Geräte und deren Verbindungen und eingesetzte Software. So werden diejenigen Bereiche identifiziert, in denen Handlungsbedarf besteht.

2. Risiken priorisieren
Anschließend werden die Risiken bewertet und priorisiert. Auch hierbei stehen die Fertigungslinien voraussichtlich im Fokus. Produktionsstillstände durch Cyberattacken können so gravierende Schäden verursachen, dass die Existenzgrundlage des Unternehmens auf dem Spiel steht.

Zudem gestalten sich Update-Prozesse durch veraltete Hardware und Kompatibilitätsprobleme in den Produktionsanlagen oftmals besonders langwierig und sollten daher möglichst früh angegangen werden. Wenn ein Update nicht möglich ist, kann eine OT-Sicherheitslösung wie edge.SHIELDOR die Maschine absichern, ohne vom Unternehmensnetzwerk getrennt werden zu müssen.

3. Mitigierungspläne entwickeln
Pläne zur Mitigation der wichtigsten Risiken sind ein essentieller Bestandteil jeder Sicherheitsstrategie. Dazu gehören auch geeignete Maßnahmen zur schnellen Erkennung von Cybervorfällen und Incident Response-Prozesse. Schwerwiegende Sicherheitsereignisse müssen nach den NIS-2-Richtlinien innerhalb von 24 Stunden an das in Deutschland zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

4. Lieferkette überprüfen
Die NIS-2 weitet die Sicherheitsvorgaben auf die gesamte Lieferkette aus. Das bedeutet, dass ein betroffenes Unternehmen nicht nur für seine eigene Cybersicherheit verantwortlich ist, sondern auch für die Sicherheit seiner Zulieferer. Auftraggeber müssen selbstständig überprüfen, ob die Anforderungen kontinuierlich eingehalten werden.

Wir empfehlen, sich frühzeitig mit Ihren Zulieferern auszutauschen und im besten Fall die Einhaltung etablierter Standards wie der ISO 27001 einzufordern, um die Sicherheit Ihrer Lieferkette zu gewährleisten. Im Produktionsumfeld bieten Normen wie IEC 62443, nach der auch TRIOVEGA zertifiziert ist, einen hervorragenden Anhaltspunkt für den Einkauf sicherer Lösungen und Komponenten.

Wie geht es weiter?

Sie merken: Mit der NIS-2 kommen auf Industrieunternehmen umfangreiche Aufgaben im Bereich der Cybersicherheit zu. Im nächsten Teil unserer Artikelserie werden wir uns detailliert mit dem Anforderungskatalog auseinandersetzen, um Sie optimal vorzubereiten.