NIS2 ist die EU-Richtlinie 2022/2555 zur Erhöhung des Cybersicherheitsniveaus in der Europäischen Union. Sie erweitert den Kreis betroffener Unternehmen deutlich gegenüber der Vorgängerrichtlinie und setzt verbindliche Pflichten für Cyber-Risikomanagement, Incident-Meldeprozesse und Lieferkettensicherheit.
In Deutschland ist das NIS-2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten. Zentrale Regelungen liegen im novellierten BSI-Gesetz – ohne generelle Übergangsfrist.
NIS2 verschiebt Cybersecurity von einer IT-internen Angelegenheit zu einer Management-Verantwortung mit prüfbaren Anforderungen. Gleichzeitig steigt der Druck auf Supply-Chain-Security: Unternehmen müssen nachweisen können, dass auch relevante IT- und OT-Lieferanten angemessene Sicherheitsstandards erfüllen.
Das macht Security-Nachweise bei vernetzten Produktionssystemen – MES, SCADA, OT-Gateways, Remote-Service, Daten-Pipelines – zu einem harten Beschaffungskriterium. Wer heute ein Cloud-MES oder eine OT-Integrationsplattform evaluiert, sollte NIS2-Anforderungen als Pflichtbestandteil des RFP behandeln.
NIS2 fordert kein einzelnes Sicherheitsprodukt, sondern ein Risikomanagement-Set: Incident Handling, Business Continuity (Backups, Disaster Recovery), Supply-Chain-Security, sicherer Betrieb und Entwicklung, Access Control und angemessene Kryptographie.
Besonders operativ relevant ist die Incident-Meldelogik: 24 Stunden Frühwarnung, 72 Stunden Detailmeldung, Abschlussbericht innerhalb eines Monats. Das zwingt Unternehmen dazu, Logging, Detection, Zuständigkeiten und Eskalationswege real betreiben zu können – nicht nur auf dem Papier.
Das BSI stellt seit Anfang 2026 ein Meldeportal bereit, das NIS2-Meldeprozesse operativ konkret macht.
In Produktionsumgebungen treffen drei Faktoren zusammen, die das Risiko erhöhen: Verfügbarkeit ist direkt geschäftswirksam, weil Stillstand sofort Kosten erzeugt. OT-Systeme haben lange Lebenszyklen, schwierige Patchfenster und Fremdwartung als Normalfall. Und die zunehmende IT-Vernetzung – Cloud-MES, BI, ERP-Anbindung, IIoT, Remote-Zugriff – erweitert die Angriffsfläche erheblich.
Das Risiko ist damit nicht nur Datenverlust, sondern Betriebsunterbrechung und Manipulation von Prozessdaten. NIS2 macht diese Resilienz kaufrelevant.
Wer ein vernetztes Produktionssystem evaluiert, sollte Anbieter zu folgenden Punkten befragen: Wie ist die OT-Anbindungsarchitektur aufgebaut (Edge Gateway, DMZ, Segmentierung)? Wie werden Logging und Audit-Events bereitgestellt – und lassen sie sich in ein SIEM exportieren? Wie funktioniert Remote-Zugriff (zeitlich begrenzt, genehmigungspflichtig, Session Recording)? Welche Nachweise liefert der Anbieter – ISO 27001, SOC-Reports, Pen-Test-Zusammenfassungen? Und welche Security-Kosten sind im Vertrag enthalten, welche kommen später?
Ein pragmatisches Bewertungskriterium: Kann das System innerhalb von 72 Stunden belastbar beantworten, was passiert ist, welche Systeme betroffen waren und welche Maßnahmen eingeleitet wurden? Wenn nicht, ist das ein reales Risiko – unabhängig davon, wie gut die Demo aussieht.
Cloud-native MES-Plattformen, die von Anfang an mit API-First-Architektur, rollenbasiertem Zugriffsmodell, verschlüsselter Datenübertragung und vollständigem Audit-Trail entwickelt wurden, haben hier strukturelle Vorteile gegenüber nachträglich „gehärtetem" On-Premise-Software.
Betrifft NIS2 auch mittelständische Produktionsunternehmen? Ja. NIS2 erweitert den Anwendungsbereich erheblich. Unternehmen in bestimmten Sektoren – darunter verarbeitendes Gewerbe – können ab bestimmten Schwellenwerten (Mitarbeiterzahl, Umsatz) unter die Richtlinie fallen. Die genaue Einordnung hängt vom Sektor und der Unternehmensgröße ab; eine Prüfung durch IT-Recht oder Compliance ist empfohlen.
Was passiert bei Verstößen gegen NIS2? NIS2 sieht erhebliche Bußgelder vor – für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zusätzlich können Geschäftsführer persönlich haftbar gemacht werden.
Was ist der Unterschied zwischen NIS und NIS2? NIS (2016) war die erste EU-Richtlinie zur Netzwerk- und Informationssicherheit mit begrenztem Anwendungsbereich. NIS2 (2022) erweitert Anwendungsbereich, Anforderungen und Sanktionen erheblich und legt stärkeres Gewicht auf Management-Verantwortung und Supply-Chain-Security.
Muss ein MES-Anbieter selbst NIS2-konform sein? Nicht automatisch – aber er muss in der Lage sein, die Compliance-Anforderungen seiner Kunden zu unterstützen. Supply-Chain-Security ist ein expliziter Bestandteil von NIS2: Unternehmen haften auch dafür, dass relevante Dienstleister angemessene Sicherheitsstandards erfüllen.