NIS2 ist die EU-Richtlinie 2022/2555 zur Erhöhung des Cybersicherheitsniveaus in der Europäischen Union. Sie erweitert den Kreis betroffener Unternehmen deutlich gegenüber der Vorgängerrichtlinie und setzt verbindliche Pflichten für Cyber-Risikomanagement, Incident-Meldeprozesse und Lieferkettensicherheit.
In Deutschland ist das NIS-2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten. Zentrale Regelungen liegen im novellierten BSI-Gesetz – ohne generelle Übergangsfrist.
Warum NIS2 Produktionsunternehmen direkt betrifft
NIS2 verschiebt Cybersecurity von einer IT-internen Angelegenheit zu einer Management-Verantwortung mit prüfbaren Anforderungen. Gleichzeitig steigt der Druck auf Supply-Chain-Security: Unternehmen müssen nachweisen können, dass auch relevante IT- und OT-Lieferanten angemessene Sicherheitsstandards erfüllen.
Das macht Security-Nachweise bei vernetzten Produktionssystemen – MES, SCADA, OT-Gateways, Remote-Service, Daten-Pipelines – zu einem harten Beschaffungskriterium. Wer heute ein Cloud-MES oder eine OT-Integrationsplattform evaluiert, sollte NIS2-Anforderungen als Pflichtbestandteil des RFP behandeln.
Was NIS2 konkret verlangt
NIS2 fordert kein einzelnes Sicherheitsprodukt, sondern ein Risikomanagement-Set: Incident Handling, Business Continuity (Backups, Disaster Recovery), Supply-Chain-Security, sicherer Betrieb und Entwicklung, Access Control und angemessene Kryptographie.
Besonders operativ relevant ist die Incident-Meldelogik: 24 Stunden Frühwarnung, 72 Stunden Detailmeldung, Abschlussbericht innerhalb eines Monats. Das zwingt Unternehmen dazu, Logging, Detection, Zuständigkeiten und Eskalationswege real betreiben zu können – nicht nur auf dem Papier.
Das BSI stellt seit Anfang 2026 ein Meldeportal bereit, das NIS2-Meldeprozesse operativ konkret macht.
Warum OT und MES besonders im Fokus stehen
In Produktionsumgebungen treffen drei Faktoren zusammen, die das Risiko erhöhen: Verfügbarkeit ist direkt geschäftswirksam, weil Stillstand sofort Kosten erzeugt. OT-Systeme haben lange Lebenszyklen, schwierige Patchfenster und Fremdwartung als Normalfall. Und die zunehmende IT-Vernetzung – Cloud-MES, BI, ERP-Anbindung, IIoT, Remote-Zugriff – erweitert die Angriffsfläche erheblich.
Das Risiko ist damit nicht nur Datenverlust, sondern Betriebsunterbrechung und Manipulation von Prozessdaten. NIS2 macht diese Resilienz kaufrelevant.
Die wichtigsten Fragen im MES- und OT-Einkauf
Wer ein vernetztes Produktionssystem evaluiert, sollte Anbieter zu folgenden Punkten befragen: Wie ist die OT-Anbindungsarchitektur aufgebaut (Edge Gateway, DMZ, Segmentierung)? Wie werden Logging und Audit-Events bereitgestellt – und lassen sie sich in ein SIEM exportieren? Wie funktioniert Remote-Zugriff (zeitlich begrenzt, genehmigungspflichtig, Session Recording)? Welche Nachweise liefert der Anbieter – ISO 27001, SOC-Reports, Pen-Test-Zusammenfassungen? Und welche Security-Kosten sind im Vertrag enthalten, welche kommen später?
Ein pragmatisches Bewertungskriterium: Kann das System innerhalb von 72 Stunden belastbar beantworten, was passiert ist, welche Systeme betroffen waren und welche Maßnahmen eingeleitet wurden? Wenn nicht, ist das ein reales Risiko – unabhängig davon, wie gut die Demo aussieht.
Cloud-native MES-Plattformen, die von Anfang an mit API-First-Architektur, rollenbasiertem Zugriffsmodell, verschlüsselter Datenübertragung und vollständigem Audit-Trail entwickelt wurden, haben hier strukturelle Vorteile gegenüber nachträglich „gehärtetem" On-Premise-Software.
FAQ
Betrifft NIS2 auch mittelständische Produktionsunternehmen? Ja. NIS2 erweitert den Anwendungsbereich erheblich. Unternehmen in bestimmten Sektoren – darunter verarbeitendes Gewerbe – können ab bestimmten Schwellenwerten (Mitarbeiterzahl, Umsatz) unter die Richtlinie fallen. Die genaue Einordnung hängt vom Sektor und der Unternehmensgröße ab; eine Prüfung durch IT-Recht oder Compliance ist empfohlen.
Was passiert bei Verstößen gegen NIS2? NIS2 sieht erhebliche Bußgelder vor – für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zusätzlich können Geschäftsführer persönlich haftbar gemacht werden.
Was ist der Unterschied zwischen NIS und NIS2? NIS (2016) war die erste EU-Richtlinie zur Netzwerk- und Informationssicherheit mit begrenztem Anwendungsbereich. NIS2 (2022) erweitert Anwendungsbereich, Anforderungen und Sanktionen erheblich und legt stärkeres Gewicht auf Management-Verantwortung und Supply-Chain-Security.
Muss ein MES-Anbieter selbst NIS2-konform sein? Nicht automatisch – aber er muss in der Lage sein, die Compliance-Anforderungen seiner Kunden zu unterstützen. Supply-Chain-Security ist ein expliziter Bestandteil von NIS2: Unternehmen haften auch dafür, dass relevante Dienstleister angemessene Sicherheitsstandards erfüllen.
