Wir haben schon ein SMS nach Störfall-VO. Reicht das?

Das Sicherheitsmanagementsystem nach 12. BImSchV deckt stoffliche Sicherheit, nicht Cybersicherheit. Wenn ein Cyber-Angriff zu unkontrollierten Prozess-Zuständen führen kann, schließt NIS-2 die Lücke. Die Plattform mappt beide Systeme gemeinsam, sodass Cyber-Risiken in Bezug zur Stoff-Sicherheit dokumentiert sind.

Wer ist bei einem Cyber-Vorfall in der Prozess-OT zu informieren?

Bei Cyber-Vorfall mit Cybersicherheits-Auswirkung: BSI nach 24-Stunden-Frist. Bei Stoff-Freisetzung oder Prozess-Anomalie: zuständige Umweltschutz-Behörde nach Störfall-VO. Bei pharmazeutischen Wirkstoffen ggf. BfArM. Die Reporting-Logik braucht klare Triage am Vorfall-Anfang.

Wie behandeln wir Rezepturen und Verfahrens-Know-how?

Rezepturen und Verfahrens-IP sind Geschäfts-kritische Daten mit höchster Vertraulichkeit. NIS-2 verlangt angemessene Verschlüsselung und Zugriffskontrolle. Praxis: separate Schlüssel-Hoheit, Need-to-Know-Zugriff, dokumentierte Daten-Flüsse zu Lieferanten und Auftraggebern.

Was, wenn wir mehrere Werke in verschiedenen Ländern haben?

Multi-Country-Rollout typisch 16 bis 26 Wochen, abhängig von Anzahl der Werke und sektor-spezifischen Lokal-Pflichten (z. B. NIS-2 vs nationale Umsetzungen in anderen EU-Staaten). Die Plattform unterstützt Multi-Country mit konsolidiertem Konzern-Report.

Müssen wir alle Labore gleich behandeln?

Nein. Labor-Automatisierung ist meist niedriger Schutzbedarf als Produktions-Prozess-OT. Die Plattform unterstützt differenzierte Schutzbedarfsfeststellung. Wichtig ist Dokumentation der Bewertung, nicht Einheits-Vorgabe.

NIS-2 für Chemie

Chemie ist Anhang II. Plus Störfall-VO. Plus SEVESO.

Anhang II des NIS2UmsuCG erfasst Chemikalien als wichtige Einrichtung. Ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz gelten die Pflichten. Bei Betriebsbereichen mit gefährlichen Stoffen kommen Störfall-VO und SEVESO-III-Richtlinie hinzu. Die Cybervize-Plattform deckt ISMS, OT-Assessment und Lieferantenrisiko in einer Lösung ab.

NIS-2-Risiko-Check buchen

Cybervize-Plattform Reifegrad-Report nach ISO 27001 als Beleg branchenuebergreifender Beratungskompetenz

Was NIS-2 für die Chemiebranche konkret bedeutet

Chemie-Unternehmen mit relevanter Produktions- oder Vertriebsgröße fallen unter NIS-2-Anhang II als „wichtige Einrichtung"; SEVESO bzw. die Störfall-Verordnung greift zusätzlich nur bei Anlagen, die bestimmte Mengen-Schwellen gefährlicher Stoffe überschreiten. Vier Konsequenzen aus dieser Klassifikation für Chemie-Unternehmen. Sektor allein reicht nicht: Einordnung hängt zusätzlich von Größenwerten und konkreter Tätigkeit ab. Die rechtliche Bewertung bleibt einer spezialisierten Kanzlei vorbehalten.

01 · Scope

Wichtige Einrichtung, dieselben zehn Mindestmaßnahmen

Anhang II bedeutet niedrigere Sanktionen als Anhang I, aber identische Pflichten in den zehn Mindestmaßnahmen nach §30 NIS2UmsuCG. Bei Vorfall greift die BSI-Aufsicht reaktiv.

02 · Scope

OT-Prozessleitsysteme im Scope

Prozessleitsysteme, MES, Batch-Steuerungen und Labor-Automatisierung sind Teil des Cybersicherheits-Scopes. Cyber-Vorfall in Prozess-OT kann Sicherheits-Vorfall im Sinn der Störfall-VO werden.

03 · Scope

Störfall-VO und SEVESO als Schnittstelle

Wer unter Störfall-VO (12. BImSchV) oder SEVESO-III-Richtlinie fällt, hat Sicherheitsmanagementsysteme (SMS) für gefährliche Stoffe vorgeschrieben. Cyber-Vorfälle, die zu Stoff-Freisetzungen führen können, sind doppelt gemeldepflichtig.

04 · Scope

Lieferketten-Risiko mit Konzentration

Chemie-Lieferketten haben oft Single-Source-Risiken bei Vorprodukten, Spezialgasen, Katalysatoren. NIS-2 fordert Lieferketten-Risiko-Bewertung. Plus Lieferanten-Audits durch Kunden im pharmazeutischen Sektor.

Fünf Mindestmaßnahmen am Chemie-Beispiel

Fünf NIS-2-Mindestmaßnahmen nach §30, übersetzt in Chemie-Praxis.

Risikoanalyse mit Prozess-OT-Schwerpunkt

Risiko-Register, das Prozessleitsysteme, MES und Labor-IT trennt aber zusammenführt. Cyber-Risiken mit Auswirkung auf Stoff-Sicherheit gesondert klassifiziert.

Sicherheit beim Erwerb und Wartung von Prozess-Anlagen

Beschaffungs-Prozess für neue Prozessleitsysteme mit Security-Anforderungen, Patch-Management mit Anlagen-Stillstand-Planung, Fernwartung dokumentiert und segmentiert.

Reaktion auf Sicherheitsvorfälle, mehrgleisig

Incident-Response-Plan mit drei Eskalations-Pfaden: NIS-2-Cyber-Vorfall ans BSI, Störfall ans Umwelt- und Arbeitsschutz-Amt, ggf. Pharma-Behörden bei pharmazeutischen Wirkstoffen.

Business Continuity für Produktions-Ausfälle

BCM für Anlagen-Stillstände mit chemischer Sicherheit als oberste Priorität (sicherer Anlagen-Zustand vor Verfügbarkeit). RTO und RPO pro Produktions-Anlage dokumentiert.

Kryptographie für Prozess-Rezepturen

Rezepturen, Batch-Daten und Verfahrens-Know-how verschlüsselt at-rest und in-transit. Schlüsselmanagement zentral. Zugriffsrechte auf Need-to-Know-Basis.

Cybervize-Bausteine für die Chemiebranche

Die Cybervize-Plattform deckt ISMS, BCM, Assessment und Lieferantenrisiko in einer Lösung ab. Für Chemie zusätzlich OT-Module und Schnittstellen zu Störfall-/SEVESO-Anforderungen relevant.

Service 01

NIS-2-Risiko-Check

Kostenloses 30-Minuten-Erstgespräch mit indikativer NIS-2-Einordnung, Top-5-Lücken und Pfad-Empfehlung.

Mehr erfahren Service 02

Cybervize-Plattform

ISMS, Compliance und Nachweisführung aus einer Plattform. Multi-Entity, Multi-Country, KI-gestützt.

Mehr erfahren Service 03

Virtual CISO

Plattform plus dauerhafte CISO-Funktion. Für Häuser ohne eigenen CISO.

Mehr erfahren Service 04

NIS-2-Einführungsprojekt

Gap-Assessment, Roadmap, Implementierung über die Plattform. Festpreis ab 4.500 Euro.

Mehr erfahren

Selbst-Check verfügbar

NIS-2-Reifegrad-Check: 30 Fragen, 10 Pflichtbereiche aus §30 BSIG, Sofort-Ampel

Kostenfrei, ohne Anmeldung, etwa 5 Minuten. Detail-Auswertung optional per Email.

Check starten

Warum Cybervize für die Chemiebranche passt

Branchen-Erfahrung in produzierendem Gewerbe inklusive Chemie und Pharma aus 25 Jahren ISMS-Praxis bei PwC, Deloitte und KPMG. Methodik auf Audit-Akzeptanz gegenüber BSI, BAS und Umwelt-Behörden ausgelegt.

Prozess-OT: Leitsystem- und MES-Erfahrung
Multi-Site: Konzernweiter Roll-out
NIS-2 + SEVESO: Schnittstelle dokumentiert
25+: Jahre Big-Four-ISMS

Häufige Fragen aus der Chemiebranche

NIS-2 für Chemie in 30 Minuten einordnen

Kostenloser Risiko-Check mit indikativer NIS-2-Einordnung, Störfall-VO-Schnittstelle und Pfad-Empfehlung. Idealerweise dabei: IT-Sicherheit und Produktions-Verantwortliche.

NIS-2-Risiko-Check buchen

Mitgliedschaften, Programme und Partnerschaften

Chemie ist Anhang II. Plus Störfall-VO. Plus SEVESO.

Was NIS-2 für die Chemiebranche konkret bedeutet