Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 die Maschinenbau-Branche?

Anlagen-, Sondermaschinen- und Werkzeugmaschinenbau fallen unter den Sektor „Verarbeitendes Gewerbe / Maschinen­bau“ in Anhang II der NIS2-Richtlinie. Die Pflichten gelten ab 50 Mitarbeitenden — viele mittelständische Hersteller sind erstmals reguliert.

NIS2-Check für Maschinenbau startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche Maschinenbau-Unternehmen sind NIS2-pflichtig?

Maschinenbau ist in Anhang II der NIS2-Richtlinie gelistet (Sektor „Verarbeitendes Gewerbe“, Teilbereich Maschinenbau). Wichtige Einrichtungen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme. Wesentliche Einrichtung erst ab 250 Mitarbeitenden oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme.

Typische Adressaten

  • Werkzeugmaschinenbauer mit eigener Steuerungs-Software
  • Sondermaschinenbau mit kundenspezifischen Anlagen
  • Anlagenbauer für Energie-, Wasser- und Lebensmittelindustrie
  • Hersteller von Robotik- und Automatisierungs-Systemen
  • Komponentenlieferanten für KRITIS-Hersteller (Lieferketten-Druck)

Top-Mindestmaßnahmen für Maschinenbau

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Maschinenbau-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

OT-Asset-Inventar und Netz-Segmentierung

Warum

Produktionsanlagen sind häufig ungepatcht und über das Office-Netz erreichbar. NIS2 verlangt ein vollständiges Inventar aller produktionsrelevanten Systeme inkl. Risikobewertung.

In der Praxis

OT-spezifische Scanner (passiv, da aktive Scans Produktionsstörungen verursachen können) zur Inventarisierung. Trennung in Office-, Produktions- und DMZ-Zonen. Patch-Strategie für SPS und HMI.

Maßnahme 2 von 3

Sichere Fernwartung

Warum

Servicetechniker greifen oft via VPN oder Hersteller-Tunneln auf Kundenanlagen zu. Das ist eine der häufigsten Eintritts-Vektoren bei Cyberangriffen auf Mittelstand.

In der Praxis

Multi-Faktor-Authentifizierung für alle Fernwartungs-Zugänge, Just-in-Time-Provisioning, vollständiges Session-Logging. Dedizierte Service-PCs statt persönlicher Laptops.

Maßnahme 3 von 3

Lieferketten-Sicherheit für Steuerungs-Komponenten

Warum

Maschinenbauer verbauen Komponenten von Drittherstellern (SPS, HMI, Sensorik). Schwachstellen in diesen Komponenten propagieren in alle Kundenanlagen.

In der Praxis

SBOM (Software Bill of Materials) für ausgelieferte Maschinen. Schwachstellen-Monitoring für verbaute Komponenten. Vertragliche Patch-SLAs mit Komponenten­lieferanten.

Lieferketten-Pflicht in der Maschinenbau

Maschinenbau steht doppelt unter Lieferketten-Druck: Eigene Zulieferer müssen abgesichert sein, und Industrie-Kunden (Energie, Automotive, Pharma) fordern bereits NIS2-konforme Lieferantenprozesse. Wer als KRITIS-Lieferant nicht nachweist, kann ausgelistet werden.

Typische Lieferanten- und Dienstleister-Beziehungen

  • SPS-Hersteller (Siemens, Beckhoff, B&R): Schwachstellen-Meldungen und Patch-Verfahren prüfen
  • Cloud-IoT-Anbieter: Datenresidenz und Verschlüsselung im Vertrag
  • Subunternehmer für Inbetriebnahme: Background-Check und Zugangsmanagement
  • Kunden-Anforderungen: TISAX, VDA ISA und NIS2-Audits proaktiv aufeinander mappen

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für Maschinenbau

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Maschinenbau-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für Maschinenbau starten

Häufige Fragen zu NIS2 in der Maschinenbau

Fällt unser 80-Personen-Maschinenbau unter NIS2?

Sehr wahrscheinlich ja. Die Schwelle „wichtige Einrichtung“ beginnt bei 50 Mitarbeitenden bzw. 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme. Maschinenbau ist in Anhang II gelistet. Eine Einzelfall-Prüfung sollte trotzdem über das BSI-Online-Tool oder einen Compliance-Berater erfolgen.

Was ist mit reinen Komponenten-Zulieferern unter 50 Mitarbeitenden?

Formal nicht NIS2-pflichtig, aber Lieferketten-Druck: KRITIS-Kunden und große Industrie-Kunden verlangen bereits heute NIS2-konforme Prozesse von ihren Zulieferern. Wer das nicht nachweist, riskiert Auslistungen.

Wie hängen NIS2 und TISAX zusammen?

TISAX ist ein Branchen-Standard im Automotive-Umfeld auf ISO-27001-Basis. NIS2 ist Gesetz. Wer TISAX zertifiziert ist, deckt einen wesentlichen Teil der NIS2-Mindestmaßnahmen ab — aber nicht alle (insbesondere Lieferketten und Meldepflichten zusätzlich).

Müssen wir die Maschinen ab Werk NIS2-konform ausliefern?

Die NIS2-Pflichten gelten primär für den Betrieb der eigenen Infrastruktur. Aber: Der Cyber Resilience Act (CRA, ab 2027) bringt Produkthaftung für vernetzte Maschinen. NIS2 und CRA sind eng verzahnt und sollten zusammen geplant werden.

Welche Rolle spielt die IEC 62443?

IEC 62443 ist der internationale Standard für Industrial Security. Sie deckt OT-spezifische Anforderungen ab, die in NIS2 generisch formuliert sind. Eine IEC-62443-Konformität auf Zone-Level ist eine starke Basis für NIS2-Mindestmaßnahmen.

Was passiert konkret bei einem Sicherheitsvorfall?

Erstmeldung an BSI binnen 24 Stunden, Zwischenmeldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Die Meldung erfolgt zentral beim BSI, das das nationale CSIRT informiert.