NIS2-Konformität für den Fertigungssektor

Ein umfassender Leitfaden zu den NIS2-Verpflichtungen für Hersteller in der gesamten EU.

Dieses Dokument gibt Informationen mit Stand Februar 2026 wieder. Obwohl alle angemessenen Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können sich ändern. Auch wenn wir beabsichtigen, diese Inhalte in regelmäßigen Abständen zu aktualisieren, wird den Lesenden empfohlen, kritische Informationen eigenständig zu überprüfen.

1. Was ist NIS2 und warum gilt es für das verarbeitende Gewerbe

Das verarbeitende Gewerbe ist ein Eckpfeiler der Wirtschaft der Europäischen Union und stützt Lieferketten in den Bereichen Automobil, Elektronik, Maschinenbau, Medizintechnik und industrielle Ausrüstung. Moderne Fertigungsumgebungen basieren auf digitalen Produktionssystemen, industriellen Steuerungstechnologien, Robotik und vernetzten Plattformen für Lieferketten. Mit der zunehmenden Integration der Betriebstechnologie (OT) in die IT-Systeme von Unternehmen nimmt die Cyberrisikoexponierung zu.

Die NIS2-Richtlinie begründet EU-weite Cybersicherheitsverpflichtungen für wesentliche und wichtige Einrichtungen und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die NIS2-Compliance für das verarbeitende Gewerbe zielt darauf ab, die Resilienz in Branchen zu stärken, die kritische wirtschaftliche Tätigkeiten und nachgelagerte wesentliche Sektoren unterstützen.

Die Richtlinie gilt für mittlere und große Organisationen, die in festgelegten Untersektoren des verarbeitenden Gewerbes tätig sind. Viele Hersteller können je nach Tätigkeit und Größenschwellen in den Anwendungsbereich fallen.

Wenn Ihre Organisation in den aufgeführten Untersektoren des verarbeitenden Gewerbes tätig ist, können Sie als wichtige Einrichtung unter NIS2 fallen.

2. Wird der Herstellungssektor nach NIS2 als wesentlich oder wichtig eingestuft?

Der Herstellungssektor ist eingestuft als:

Relevanter Anhang: Anhang II (wichtige Einrichtungen)

Wichtige Einrichtung gemäß Anhang II

Herstellung von Medizinprodukten und In-vitro-Diagnostika
Herstellung von Computer-, Elektronik- und Optikprodukten

Abdeckung der Teilsektoren (Anhang II – Herstellung):

3. Welche Unternehmen des verarbeitenden Gewerbes fallen in den Anwendungsbereich?

Die Einhaltung der NIS2-Richtlinie für das verarbeitende Gewerbe gilt für:

Dies umfasst Hersteller, die in den oben aufgeführten Untersektoren des Anhangs II tätig sind.

Die Anwendbarkeit der NIS2 auf KMU ist im verarbeitenden Gewerbe besonders relevant, da viele Industrieproduzenten in der Größenordnung mittlerer Unternehmen operieren. Kleinere Hersteller, die die Größenschwellen nicht erreichen, können außerhalb des Anwendungsbereichs liegen, es sei denn, sie werden nach nationalem Recht benannt.

Da das verarbeitende Gewerbe wesentliche Sektoren wie Gesundheit, Verkehr und digitale Infrastruktur unterstützt, ist die Cybersicherheitsresilienz in diesem Sektor eine regulatorische Priorität.

Mittlere Unternehmen (≥ 50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Bilanzsumme)
Große Unternehmen, die diese Schwellen überschreiten

4. Zentrale NIS2-Cybersicherheitsanforderungen für den Fertigungssektor

Nach Artikel 21 der NIS2-Richtlinie müssen Unternehmen des Fertigungssektors geeignete und verhältnismäßige technische und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umsetzen.

Verpflichtende Maßnahmen umfassen:

Für den Fertigungssektor müssen diese NIS2-Sicherheitsmaßnahmen industrielle Steuerungssysteme (ICS), speicherprogrammierbare Steuerungen (SPS), Robotikplattformen und Produktionsmanagementsysteme schützen.

Die NIS2-Compliance für den Fertigungssektor erfordert eine Segmentierung zwischen IT- und OT-Netzwerken, eine strenge Überwachung von Drittanbietern sowie Resilienzplanung zur Sicherstellung der Produktionskontinuität. Cybervorfälle, die automatisierte Produktionslinien betreffen, können zu erheblichen Betriebsstörungen führen.

Risikomanagementrahmen
Verfahren zum Umgang mit Sicherheitsvorfällen
Geschäftskontinuität & Notfallwiederherstellung
Lieferkettensicherheit
Sichere Entwicklung & Wartung
Richtlinien zu Verschlüsselung und Kryptografie
Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
Schwachstellenmanagement & Patch-Management
Schulungen zur Cyberhygiene
Nutzung sicherer Kommunikationskanäle

5. Meldepflichten für Sicherheitsvorfälle im Fertigungssektor

Unternehmen im Fertigungssektor müssen die NIS2‑Meldefristen für Sicherheitsvorfälle einhalten, wenn erhebliche Vorfälle auftreten.

Zu den Meldepflichten gehören:

Meldungen sind an das zuständige nationale CSIRT oder die zuständige Behörde zu übermitteln.

Die NIS2‑24‑Stunden‑Meldepflicht ist besonders relevant, wenn Cybervorfälle Produktionslinien, Lieferkettensysteme oder industrielle Automatisierungsplattformen stören. Vorfälle, die die Lieferung von Produkten an wesentliche Sektoren beeinträchtigen, können als erheblich eingestuft werden.

Die Nichteinhaltung der vorgeschriebenen Fristen kann zu aufsichtsrechtlichen Maßnahmen und finanziellen Sanktionen führen.

Meldung	Frist
Frühwarnung	Innerhalb von 24 Stunden nach Kenntniserlangung eines erheblichen Vorfalls
Vorfallmeldung	Innerhalb von 72 Stunden
Abschlussbericht	Binnen eines Monats

6. Governance und Haftung des Leitungsorgans

Die NIS2-Compliance für den Fertigungssektor auferlegt dem Leitungsorgan Rechenschaftspflichten.

Wesentliche Governance-Anforderungen umfassen:

Der Artikel 21 der NIS2-Richtlinie erhebt die Cybersicherheit zu einer Verantwortung auf Leitungsebene. Die oberste Leitung muss sicherstellen, dass Cybersicherheitsrisiken in das unternehmensweite Risikomanagement und die Geschäftskontinuitätsplanung integriert sind.

Versäumnisse in der Governance können Hersteller einer aufsichtsbehördlichen Prüfung und vertraglichen Haftungsrisiken in der Lieferkette aussetzen.

Genehmigung von Maßnahmen zum Cybersicherheitsrisikomanagement durch das Leitungsorgan
Laufende Überwachung der Umsetzung
Verpflichtende Schulungen zur Cybersicherheit für das Leitungsorgan
Mögliche persönliche Haftung nach nationalem Recht

7. Aufsicht und Sanktionen

Als Einrichtungen des Anhangs II unterliegen als wichtige Einrichtungen eingestufte Fertigungsunternehmen der reaktiven Aufsicht. Zuständige Behörden leiten Aufsichtsmaßnahmen in der Regel nach Nachweisen oder Meldungen über Nichteinhaltung ein.

Verwaltungsbußgelder bei Nichteinhaltung:

Nationale Umsetzungsgesetze können Aufsichtsmechanismen weiter ausdifferenzieren, doch die Richtlinie legt harmonisierte Mindestschwellen für Geldbußen in allen Mitgliedstaaten fest.

Es ist zu erwarten, dass sich der Vollzug auf die Resilienz der Lieferketten und die Betriebskontinuität konzentriert.

Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresgesamtumsatzes (je nachdem, welcher Betrag höher ist)

8. Praktische Compliance-Schritte für KMU im verarbeitenden Gewerbe

KMU im verarbeitenden Gewerbe sollten einen strukturierten Compliance-Ansatz verfolgen:

Frühzeitige Vorbereitung reduziert das Risiko aufsichtsrechtlicher Durchsetzungsmaßnahmen und betrieblicher Störungen.

Eine NIS2-Gap-Analyse durchführen
Kritische Produktions- und Automatisierungssysteme erfassen und abbilden
Ein dokumentiertes Rahmenwerk für das Cybersicherheits-Risikomanagement formalisieren
Pläne für Vorfallreaktion und Produktionskontinuität aktualisieren und testen
Verträge mit Lieferanten und Anbietern industrieller Technologien prüfen
Geschäftsleitung und Werksleiter schulen
Einen Meldeworkflow für 24 Stunden/72 Stunden/1 Monat einrichten

9. Zentrale Risiken für den Fertigungssektor unter NIS2

Unternehmen des Fertigungssektors sind unter NIS2 mit sektorspezifischen Risiken konfrontiert:

Die NIS2-Compliance für den Fertigungssektor ist daher ein entscheidender Baustein für die industrielle Resilienz und die Stabilität von Lieferketten.

Produktionsunterbrechung: Cybervorfälle können automatisierte Fertigungslinien zum Stillstand bringen.
Unterbrechung der Lieferkette: Die Kompromittierung von Lieferantensystemen kann die Lieferung von Rohstoffen oder Komponenten beeinträchtigen.
Kompromittierung der Betriebstechnologie (OT): Industrielle Steuerungssysteme können ins Visier geraten.
Regulatorische Geldbußen: Nichteinhaltung kann zu erheblichen finanziellen Sanktionen führen.
Reputations- und Vertragsrisiken: Lieferverzögerungen können Kundenbeziehungen und vertragliche Verpflichtungen beeinträchtigen.

10. Häufig gestellte Fragen

Gilt NIS2 für kleine Hersteller?

Ja, wenn sie die EU-Schwelle für mittelgroße Unternehmen erreichen (≥50 Beschäftigte und/oder 10 Mio. € Umsatz oder Bilanzsumme), fallen sie in den Anwendungsbereich. Kleinere Hersteller können außerhalb des Anwendungsbereichs liegen, sofern sie nicht nach nationalem Recht bestimmt werden.

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?

Wichtige Einrichtungen, z. B. Hersteller in Teilsektoren des Anhangs II, unterliegen einer reaktiven Aufsicht und niedrigeren Höchstbußgeldern im Vergleich zu wesentlichen Einrichtungen.

Worin unterscheidet sich NIS2 von der DSGVO?

Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten, während NIS2 das Cybersicherheits-Risikomanagement und die operative Resilienz adressiert. Hersteller müssen möglicherweise beide Rechtsrahmen einhalten, wenn personenbezogene Daten verarbeitet werden.

Fallen Nicht-EU-Hersteller, die in der EU tätig sind, unter NIS2?

Ja, sofern sie innerhalb der EU Produkte oder Dienstleistungen erbringen und die Kriterien für den Anwendungsbereich erfüllen, können sie verpflichtet sein, die NIS2-Pflichten nach den nationalen Umsetzungsgesetzen zu erfüllen.

Sind Hersteller von Medizinprodukten von NIS2 erfasst?

Ja. Hersteller von Medizinprodukten und In-vitro-Diagnostika sind ausdrücklich in Anhang II aufgeführt und werden als wichtige Einrichtungen eingestuft, wenn die Größenschwellen erfüllt sind.