Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 die industrielle Fertigung?

Metallverarbeitung, Elektrotechnik, Fahrzeug-Zuliefer-Industrie und Präzisionswerke sind über Anhang II als „verarbeitendes Gewerbe“ reguliert. Die Branche steht zudem unter Kunden-Druck: KRITIS- und Automotive-OEM-Lieferanten brauchen NIS2-Konformität, auch unterhalb der eigenen Schwelle.

NIS2-Check für Industrielle Fertigung startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche Industrielle Fertigung-Unternehmen sind NIS2-pflichtig?

Industrielle Fertigung ist in Anhang II der NIS2-Richtlinie als „verarbeitendes Gewerbe“ (Teilbereiche Metall, Elektro, Maschinen) gelistet. Wichtige Einrichtungen ab 50 MA oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme. Wesentliche Einrichtungen ab 250 MA oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme.

Typische Adressaten

  • Metallverarbeiter (Stanz-, Zerspan-, Press-, Schweißbetriebe)
  • Elektrotechnik-Hersteller (Bauteile, Baugruppen, Geräte)
  • Automotive-Zulieferer Tier 1/2/3
  • Hersteller von Mess-, Steuer- und Regelungstechnik
  • Präzisionswerke, Werkzeug- und Formenbauer

Top-Mindestmaßnahmen für Industrielle Fertigung

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Industrielle Fertigung-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

OT-Sicherheit und Fertigungs-Netze

Warum

Industrielle Fertigung ist hoch automatisiert: CNC, Roboter, MES, Werker-Tablets, Industrie-4.0-Sensorik. NIS2 verlangt Asset-Inventar und Netz-Segmentierung der OT-Ebene.

In der Praxis

Passive Asset-Discovery für CNC-, Roboter- und SPS-Bestand. Trennung Office, MES, Maschinen-Netz. Patch-Strategie pro Hersteller-Komponente.

Maßnahme 2 von 3

Industrie-4.0-Schnittstellen absichern

Warum

MES-, ERP- und Cloud-Anbindungen sind notwendig (Predictive Maintenance, Kunden-EDI), aber Einfallstor für Angriffe. NIS2 verlangt dokumentierte Schnittstellen-Bewertung.

In der Praxis

Schnittstellen-Inventar mit Risiko-Score. Verschlüsselung in transit und at rest. API-Gateways mit Authentifizierung und Rate-Limiting.

Maßnahme 3 von 3

Lieferketten- und Kunden-Nachweise

Warum

Fertigungs-Betriebe sind oft Glied einer langen B2B-Kette. Eigene Lieferanten müssen bewertet, Kunden-Anforderungen (TISAX, NIS2, CRA) erfüllt werden.

In der Praxis

Bidirektionales Lieferketten-Mapping. Konsolidierung von TISAX-, ISO-27001- und NIS2-Anforderungen in einem ISMS. SBOM-Strategie für vernetzte Produkte (Vorbereitung CRA).

Lieferketten-Pflicht in der Industrielle Fertigung

Fertigung sitzt in der Mitte komplexer B2B-Ketten. Eigene Zulieferer (Rohmaterial, Komponenten, IT-Dienstleister) müssen abgesichert sein. Kunden-OEMs ziehen NIS2-Anforderungen vertraglich durch — auch wenn der Zulieferer unter den eigenen NIS2-Schwellen liegt.

Typische Lieferanten- und Dienstleister-Beziehungen

  • Rohmaterial-Lieferanten: Schwellen-Pflicht prüfen, sonst vertragliche Mindeststandards
  • OEM-Kunden (Automotive, Maschinenbau): TISAX/NIS2-konsolidierte Audits
  • MES- und ERP-Hersteller: Patch-Verfahren und EOL-Strategie
  • Cloud-IoT-Anbieter: Datenresidenz und Verschlüsselung im Vertrag

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für Industrielle Fertigung

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Industrielle Fertigung-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für Industrielle Fertigung starten

Häufige Fragen zu NIS2 in der Industrielle Fertigung

Sind klassische Lohnfertiger unter 50 MA betroffen?

Formal nicht direkt NIS2-pflichtig. Aber: Größere Kunden (Automotive-OEMs, KRITIS-Pflichtige) ziehen NIS2-Mindeststandards vertraglich durch. Wer nicht nachweist, riskiert Auslistungen. Praktisch ist NIS2 indirekt relevant.

Wie passen NIS2 und TISAX zusammen?

TISAX ist ein Automotive-Branchen-Standard auf ISO-27001-Basis. NIS2 ist Gesetz. Wer TISAX-zertifiziert ist, deckt einen wesentlichen Teil der NIS2-Mindestmaßnahmen ab — aber nicht alle (Lieferketten und Meldepflichten zusätzlich).

Was kommt mit dem Cyber Resilience Act (CRA)?

Der CRA (Verordnung (EU) 2024/2847) bringt ab 2027 Cybersicherheits-Anforderungen für vernetzte Produkte (Produkthaftung). Fertigungs-Betriebe mit vernetzten Produkten sollten NIS2 (Betrieb) und CRA (Produkt) zusammen planen.

Welche Cyber-Vorfälle in der Fertigung sind bekannt?

Norsk Hydro 2019 (LockerGoga, 75 Mio. USD Schaden), KUKA 2017, Continental 2022 (LockBit, 40 GB Datenabfluss), zahlreiche Mittelstands-Ransomware-Fälle dokumentiert in BSI-Lageberichten. Fertigung ist eines der Hauptangriffsziele.

Brauchen wir ein dediziertes ISMS?

NIS2 verlangt ein dokumentiertes Risikomanagement nach Stand der Technik. Ein ISMS (ISO 27001 oder gleichwertig) ist der etablierte Rahmen. Im Mittelstand ab 100 MA praktisch unverzichtbar. TISAX-VDA-ISA kann den Anfang bilden, deckt NIS2 aber nicht vollständig ab.

Wer ist die Aufsichtsbehörde?

Das BSI ist zentrale NIS2-Aufsicht für Anhang II (wichtige Einrichtungen). Anlasslose Prüfungen sind für wichtige Einrichtungen seltener als für wesentliche, aber bei Vorfällen aktiv. Branchen-spezifische Aufsicht (z. B. KBA bei Automotive) bleibt parallel.