Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 die Chemie-Branche?

Chemie, Spezialchemie und kunststoff­verarbeitende Industrie sind in Anhang II der NIS2-Richtlinie gelistet — als „Herstellung, Verarbeitung und Vertrieb von Chemikalien“. Die Branche ist hoch reguliert (REACH, Störfall-Verordnung) und gewohnt, mit Compliance-Anforderungen umzugehen — NIS2 ergänzt um die Cybersicherheits-Dimension.

NIS2-Check für Chemische Industrie startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche Chemische Industrie-Unternehmen sind NIS2-pflichtig?

Chemie ist in Anhang II der NIS2-Richtlinie als Sektor „Herstellung, Verarbeitung und Vertrieb chemischer Erzeugnisse“ gelistet. Wichtige Einrichtungen ab 50 MA oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme. Wesentliche Einrichtungen ab 250 MA oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme.

Typische Adressaten

  • Chemie-Konzerne und Mittelstandsproduzenten (Grundstoff- und Spezialchemie)
  • Pharma-Vorprodukt-Hersteller (parallel mögliche Anhang-I-Gesundheits-Berührung)
  • Kunststoff-Verarbeiter und Compoundierer
  • Lack-, Klebstoff- und Farb-Hersteller
  • Chemie-Logistik und Tanklager (Schnittstelle zu Logistik)

Top-Mindestmaßnahmen für Chemische Industrie

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Chemische Industrie-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

ICS- und Prozessleitsystem-Sicherheit

Warum

Chemie-Anlagen werden über Prozessleitsysteme (DCS, SCADA) gesteuert. Eine Manipulation kann nicht nur Produktion stoppen, sondern Safety-Funktionen außer Kraft setzen — mit physischen Konsequenzen.

In der Praxis

Strikte Netz-Segmentierung (Purdue-Modell). Trennung von Safety-System (SIS) und Process-Control-System (DCS). Hardware-Diodes zwischen Prozess- und Office-Netz.

Maßnahme 2 von 3

Safety-Security-Integration

Warum

Chemie hat etablierte Safety-Kultur (HAZOP, LOPA). Cyber-Risiken werden traditionell nicht in Safety-Analysen abgebildet, obwohl sie zu Safety-Events führen können. NIS2 macht das explizit.

In der Praxis

Cyber-PHA (Process Hazard Analysis mit Cyber-Erweiterung) durchführen. Cyber-Risiken in HAZOP-Reviews aufnehmen. Integriertes Krisen-Management Safety+Security.

Maßnahme 3 von 3

Lieferketten- und Logistik-Sicherheit

Warum

Chemie-Lieferketten umfassen Rohstoff-Lieferanten, Logistiker (Gefahrgut), Tanklager und Kunden in regulierten Branchen (Pharma, Lebensmittel). NIS2 verlangt Risiko­bewertung.

In der Praxis

Lieferanten-Verzeichnis mit Cyber-Risiko-Score. Vertragliche Sicherheits-Mindeststandards für IT-Dienstleister und Logistiker. Schnittstellen-Audit für EDI- und ERP-Verbindungen.

Lieferketten-Pflicht in der Chemische Industrie

Chemie steht in der Mitte: Rohstoff-Importe, eigene Produktion, Verteilung an Pharma, Lebensmittel, Industrie. Cyber-Vorfälle propagieren sowohl rein (Rohstoff-Ausfall stoppt eigene Anlage) als auch raus (eigener Ausfall stoppt Kunden-Produktion). Lieferketten-Pflichten greifen damit doppelt.

Typische Lieferanten- und Dienstleister-Beziehungen

  • Logistik-Dienstleister (Gefahrgut): NIS2-Konformität als Auswahl-Kriterium
  • Tanklager und Umschlag: KRITIS- und NIS2-Berührung prüfen
  • Pharma-Kunden: B2B-Sicherheits-Audits werden Standard
  • OT-Hersteller (DCS, PLC, SIS): Schwachstellen-Meldung und Patch-Verfahren

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für Chemische Industrie

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Chemische Industrie-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für Chemische Industrie starten

Häufige Fragen zu NIS2 in der Chemische Industrie

Sind kunststoff­verarbeitende Betriebe NIS2-pflichtig?

Wenn sie unter „verarbeitendes Gewerbe — Chemie“ fallen und die Schwellen überschreiten: ja. Reine Spritzguss-Betriebe ohne chemische Synthese können je nach Auslegung unter „Maschinenbau“ oder andere Sektoren fallen. Eine Einzelfall-Prüfung ist sinnvoll.

Was ist mit der Störfall-Verordnung (12. BImSchV)?

Die Störfall-Verordnung adressiert physische Sicherheit (Stoffmengen, Mengenschwellen). NIS2 adressiert Cybersicherheit. Beide gelten parallel, ergänzen sich aber: Cyber-Manipulation kann Störfälle auslösen — NIS2 macht das relevant.

Wie passt NIS2 zu REACH und CLP?

REACH und CLP regeln Stoff-Compliance (Registrierung, Bewertung, Kennzeichnung). NIS2 regelt Cybersicherheit. Keine direkte Überschneidung, aber das gleiche Governance-Modell — etablierte REACH-Compliance-Strukturen können auf NIS2 übertragen werden.

Welche Cyber-Vorfälle in der Branche sind bekannt?

Norsk Hydro 2019 (LockerGoga-Ransomware, weltweite Produktions­stillstände), Bayer (mehrere Phishing-Wellen), Symrise 2020 (Ransomware, Datenabfluss), Brenntag 2021 (DarkSide-Ransomware, 4,4 Mio. USD Lösegeld bezahlt). Chemie ist hochwertiges Angreiferziel.

Welche Rolle spielt die IEC 62443?

IEC 62443 ist der zentrale Standard für Industrial Security. In der Chemie der bevorzugte Rahmen für ICS-Sicherheit. NIS2-Mindestmaßnahmen lassen sich gut auf IEC-62443-Zonen mappen.

Brauchen wir einen separaten Cyber-Beauftragten?

NIS2 schreibt keinen formalen Cyber-Beauftragten vor (wie z. B. der DSB in der DSGVO). Aber: Geschäftsleitungs-Haftung und Lieferketten-Pflichten erfordern eine klare Verantwortung. Die meisten Chemie-Unternehmen ab 100 MA haben ohnehin eine CISO-Funktion.