Zum Hauptinhalt springen
Zurück zur Übersicht

NIS2 für Hersteller: An der IT/OT-Grenze entscheidet sich Ihr Audit

Von NIS2Certify
nis2fertigungot-sicherheitnetzwerksegmentierungarticle-21
NIS2 für Hersteller: An der IT/OT-Grenze entscheidet sich Ihr Audit

NIS2 für Hersteller: An der IT/OT-Grenze entscheidet sich Ihr Audit

Ein Lebensmittelhersteller in Flandern baute zwei Wochen vor seinem NIS2-Audit das gesamte Firewall-Regelwerk neu auf. Der Grund: ein einziges flaches Netzwerk, in dem das Büro-VLAN, der ERP-Server und eine zwölf Jahre alte SPS zur Steuerung einer Verpackungslinie alle in derselben Broadcast-Domäne lagen. Eine einzige Phishing-Rechnung auf einem Vertriebs-Laptop hätte in zwei Sprüngen die Produktionsebene erreichen können. Der Auditor hätte das genau so benannt, wie es ist — ein ungesteuertes Risiko nach Article 21.

Das ist das Problem, mit dem die meisten Hersteller in NIS2 hineinlaufen. Sie behandeln es als IT-Compliance-Übung und vergessen, dass die Richtlinie ausdrücklich die operative Technik umfasst, die ihre Maschinen steuert. Wenn Sie Industriekunden beraten, ist die IT/OT-Grenze der eine Bereich, in dem Sie den größten Mehrwert liefern können — und in dem ein nachlässiger Aufbau eine sonst solide Compliance Posture zum Scheitern bringt.

Die Fertigung fällt in den Anwendungsbereich, und die meisten Betreiber wissen es noch nicht

NIS2 stuft die Fertigung als important Sektor ein. Das umfasst Unternehmen, die Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge und bestimmte Lebensmittel herstellen. Die Schwelle ist die Standardschwelle: mehr als 50 Beschäftigte oder ein Jahresumsatz über 10 Mio. €.

Important Einrichtungen unterliegen denselben Article 21-Risikomanagementpflichten wie essential Einrichtungen. Der Unterschied liegt in der Aufsicht. Essential Einrichtungen erhalten proaktive Inspektionen; important Einrichtungen unterliegen einer Ex-post-Aufsicht — die Behörden greifen ein, sobald Belege vorliegen, dass etwas schiefgelaufen ist. Das klingt leichter, bis man erkennt, dass es meist bedeutet, dass die Behörde Sie bereits prüft, weil Sie einen Vorfall hatten. Der Maßstab ist nicht niedriger. Die Prüfung kommt nur zum denkbar schlechtesten Zeitpunkt.

Viele Werksleiter gehen davon aus: "Wir bauen Pumpen, keine Software, NIS2 betrifft uns nicht." Doch es betrifft sie. Die Richtlinie definiert OT-Systeme als integralen Bestandteil kritischer digitaler Infrastruktur. Die SPS, HMIs und SCADA-Systeme auf der Produktionsebene fallen eindeutig in den Anwendungsbereich.

Gilt NIS2 für Ihre Organisation?

1

Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?

JaNein
2

Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?

JaNein
3

Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?

JaNein

NIS2 gilt nicht unmittelbar für Ihre Organisation.

NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.

!

NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.

Gilt
Gilt möglicherweise
Gilt nicht

Die zehn Article 21-Maßnahmen gelten für die Produktionshalle, nicht nur fürs Büro

Wenn ein Kunde die Article 21-Liste liest — Risikoanalyse, Vorfallsbehandlung, Geschäftskontinuität, Lieferkettensicherheit, Kryptografie, Zugangskontrolle, MFA, sichere Entwicklung, Schulung und Wirksamkeitsbewertung — bildet er sie instinktiv auf seine IT-Landschaft ab. Das ist die Falle.

Jede dieser Maßnahmen hat eine OT-Dimension. Zugangskontrolle betrifft nicht nur den Domänencontroller; sie betrifft, wer sich am HMI von Linie 3 anmelden kann. Geschäftskontinuität betrifft nicht nur die Wiederherstellung von E-Mail; sie betrifft, ob Sie weiterproduzieren können, wenn ein Controller kompromittiert ist. Kryptografie und sichere Kommunikation gelten für die Datenverbindung zwischen Ihren SPS und Ihrem ERP.

Die ENISA Technical Implementation Guidance, veröffentlicht im Juni 2025, umfasst 170 Seiten und übersetzt die Implementing Regulation (EU) 2024/2690 in konkrete, nachweisbare Maßnahmen über 13 Themenbereiche. Obwohl diese Verordnung nur für bestimmte digitale Sektoren verbindlich ist, ist die Guidance der klarste verfügbare Maßstab dafür, was "geeignet und verhältnismäßig" tatsächlich bedeutet. Nutzen Sie sie als Referenzstandard für OT-lastige Kunden, auch dort, wo sie nicht streng verpflichtend ist — Auditoren erkennen sie.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen

Artikel 21

10 Cybersicherheitsmaßnahmen

Governance & Strategie

1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen

Vorfälle & Kontinuität

2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung

Lieferkette & Systeme

4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen

Technische Kontrollen

8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation

Personal & Ressourcen

7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Netzwerksegmentierung ist die Maßnahme, die Auditoren zuerst prüfen

Wenn Sie eine Sache für einen Fertigungskunden vor seinem ersten Audit tun, dann segmentieren Sie die IT- und OT-Netze. Ein flaches Netzwerk ist der schnellste Weg, eine Risikoanalyse zu vergeigen, weil es bedeutet, dass ein einziges kompromittiertes Endgerät irgendwo alles erreicht.

Article 21 nennt Netzwerksegmentierung nicht als nummerierte Maßnahme, aber sie ergibt sich direkt aus den Risikomanagement- und Zugangskontrollpflichten. In der Praxis behandeln Auditoren sie als Grunderwartung für jede Umgebung mit Produktionssystemen. Die Segmentierungs- und Zugangskontrollsprache der Richtlinie bildet sich nahezu eins zu eins auf das Zone-and-Conduit-Modell aus IEC 62443 ab — den Rahmen, an dem der Auditor Ihres Kunden am wahrscheinlichsten misst.

Eine praktikable Zielarchitektur für eine typische Fabrik sieht so aus. Das OT-Segment enthält die SPS, HMIs und Produktionsmaschinen, physisch oder logisch vom Büronetz getrennt. Die Verbindung zum ERP-Server ist begrenzt und idealerweise einseitig — Produktionsdaten fließen hinaus, nichts routet ungefragt hinein. Das OT-Segment hat keinen direkten Internetzugang. Remote-Zugriff von Lieferanten auf Maschinen läuft über einen kontrollierten Jump Host, nicht über ein flaches VPN, das einen Techniker auf dasselbe Subnetz wie die Controller setzt.

Hier finden Sie auch das Legacy-Problem. Werke betreiben Controller, die zehn oder fünfzehn Jahre alt sind, nicht gepatcht werden können und nie für eine Netzwerkanbindung ausgelegt waren. Sie können sie nicht herausreißen. Segmentierung ist die kompensierende Maßnahme, die ein nicht patchbares Asset im Betrieb hält, ohne dass es zum Einfallstor wird. Dokumentieren Sie es so, und der Auditor sieht ein gesteuertes statt ein ignoriertes Risiko.

Die Vorfallsmeldung pausiert nicht für die Produktionslinie

Hersteller zögern bei der Vorfallsmeldung, weil das Anhalten einer Linie pro Minute Geld kostet. Die Fristen kümmert das nicht. Ein erheblicher Vorfall löst eine 24-Stunden-Frühwarnung, eine 72-Stunden-Vollmeldung und einen Abschlussbericht binnen 30 Tagen aus — dieselbe Uhr, die für eine Bank oder ein Krankenhaus gilt.

Das Schwierige für OT-Umgebungen ist die Erkennung. Hat Ihr Kunde kein Monitoring im Produktionsnetz, weiß er erst, dass ein Vorfall erheblich ist, wenn er die Produktion bereits stört — und dann läuft das 24-Stunden-Fenster schon. Kontinuierliches Monitoring des OT-Segments ist kein Nice-to-have; es macht die Meldepflicht überhaupt erst erfüllbar. Bauen Sie die Erkennungsfähigkeit auf, und die Meldefristen werden beherrschbar. Lassen Sie sie aus, meldet Ihr Kunde blind, zu spät oder gar nicht.

NIS2 Zeitplan für die Vorfallmeldung

24h

Frühwarnung

Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).

72h

Vorfallmeldung

Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.

1mo

Abschlussbericht

Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Was bis zum 30. Juni 2026 zu tun ist

Die erste NIS2-Auditfrist für Einrichtungen im Anwendungsbereich ist der 30. Juni 2026. Für einen Fertigungskunden, der bei einem flachen Netzwerk startet, ist das knapp, aber nicht unmöglich, sofern Sie es richtig sequenzieren.

Beginnen Sie mit einer Asset-Inventarisierung der OT-Umgebung — Sie können nicht segmentieren oder schützen, was Sie nicht erfasst haben, und die meisten Werke haben keine aktuelle Bestandsaufnahme ihrer Controller. Ziehen Sie dann die Zonengrenzen: Büro, ERP/DMZ und OT, mit dokumentierten Conduits dazwischen. Setzen Sie die IT/OT-Trennung um und sichern Sie den Remote-Zugriff über einen Jump Host mit MFA. Legen Sie Monitoring über das OT-Segment, damit Vorfallserkennung tatsächlich möglich ist. Dokumentieren Sie schließlich jede kompensierende Maßnahme für die Legacy-Assets, die Sie nicht patchen können, denn diese Dokumentation verwandelt die rote Flagge eines Auditors in ein akzeptiertes Risiko.

Die Kunden, die NIS2 als reines IT-Projekt behandeln, bestehen die bürofokussierten Prüfungen und scheitern auf der Produktionsebene. Diejenigen, die die IT/OT-Grenze richtig hinbekommen, gehen mit der schwierigsten Frage bereits beantwortet ins Audit.

Wenn Sie schnell einschätzen wollen, wo ein Fertigungskunde tatsächlich gegenüber Article 21 steht — einschließlich der OT-Maßnahmen, die die meisten Assessments überspringen — schicken Sie ihn durch den NIS2 Readiness Quick Scan. Er deckt die Segmentierungs- und OT-Lücken auf, bevor es ein Auditor tut.

Für die zugrunde liegenden Maßnahmen im Detail siehe unsere Aufschlüsselung der zehn Article 21-Maßnahmen, und für Kunden, die noch unsicher sind, ob sie überhaupt erfasst sind, fällt NIS2 auf mich zu.

    NIS2 für Hersteller: An der IT/OT-Grenze entscheidet sich Ihr Audit — NIS2Certify