Sind wir als 120-Mitarbeitenden-Maschinenbauer NIS-2-betroffen?

Höchstwahrscheinlich ja. Anhang II des NIS2UmsuCG erfasst das verarbeitende Gewerbe als wichtige Einrichtung ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz. Maschinenbau zählt zu den NACE-Kategorien, die explizit genannt sind. Die verbindliche rechtliche Bewertung bleibt einer Kanzlei vorbehalten. Wir liefern die fachliche Vorab-Einordnung im 30-Minuten-Risiko-Check.

Müssen wir IEC 62443 zusätzlich umsetzen?

IEC 62443 ist nicht gesetzlich verpflichtend, aber bei Werks-OT der relevante Standard. NIS-2 verlangt die Mindestmaßnahmen, ohne IEC 62443 explizit zu benennen. In der Praxis dockt IEC 62443 sauber an die Risiko-Analyse-Pflicht aus §30 an. Die Cybervize-Plattform mappt beide Kontroll-Sets aufeinander.

Was passiert mit unseren Werks-Steuerungen, die wir nicht patchen können?

Legacy-OT ohne Update-Fähigkeit ist Realität in fast jedem Werk. NIS-2 verlangt nicht alle Maßnahmen technisch identisch, sondern angemessene Maßnahmen zum Stand der Technik. Kompensierende Kontrollen (Netzwerksegmentierung, Monitoring, physische Zugriffskontrollen) sind zulässig. Dokumentierte Risiko-Akzeptanz statt unter den Tisch gekehrt.

Wir sind Automotive-Zulieferer und haben schon TISAX. Reicht das?

TISAX deckt viele Mindestmaßnahmen ab, aber nicht alle NIS-2-Pflichten. Insbesondere die Meldepflichten an das BSI (24- und 72-Stunden-Fristen), die Geschäftsführungs-Nachweise und die spezifische Lieferanten-Logik nach NIS-2 sind in TISAX nicht enthalten. Die Cybervize-Plattform mappt TISAX und NIS-2 aus einem Kontroll-Set.

Was kostet uns eine NIS-2-Vorbereitung als mittelständischer Maschinenbauer?

NIS-2-Gap-Assessment als Festpreis ab 4.500 Euro. Vollständige NIS-2-Readiness in der Regel in 8 bis 12 Wochen für ein- bis dreistandortige Häuser, ab 18.000 Euro Implementierung. Holdings mit mehreren Werken brauchen 16 bis 20 Wochen. Die exakte Aufwandsschätzung kommt aus dem Risiko-Check.

NIS-2 für Maschinenbau

NIS-2 trifft den Maschinenbau über das verarbeitende Gewerbe.

Anhang II des NIS2UmsuCG erfasst den Maschinenbau als wichtige Einrichtung. Ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz gelten die Cybersicherheits-Pflichten. Für Werke mit OT-Anlagen kommen IEC 62443 und Lieferanten-Anforderungen hinzu. Die Cybervize-Plattform deckt ISMS, OT-Assessment und Lieferantenrisiko in einer Lösung ab.

NIS-2-Risiko-Check buchen

Cybervize-Plattform Reifegrad-Report nach ISO 27001 als Beleg branchenuebergreifender Beratungskompetenz

Was NIS-2 für Maschinenbau-Unternehmen konkret bedeutet

Mittelständische Maschinenbauer fallen typischerweise unter NIS-2-Anhang II als „wichtige Einrichtung", sobald sie mindestens 50 Mitarbeitende UND mindestens 10 Mio. € Jahresumsatz oder 10 Mio. € Bilanzsumme erreichen. Vier Konsequenzen, die sich aus dieser Einordnung ergeben. Sektor allein reicht nicht: Die Einordnung als wichtige oder besonders wichtige Einrichtung hängt zusätzlich von Größenwerten und konkreter Tätigkeit ab. Die rechtliche Bewertung der Betroffenheit bleibt einer spezialisierten Kanzlei vorbehalten.

01 · Scope

Wichtige Einrichtung statt wesentliche

Anhang II bedeutet niedrigere Sanktionen als Anhang I, aber dieselben Pflichten in den zehn Mindestmaßnahmen nach §30 NIS2UmsuCG. Aufsicht ist reaktiv statt proaktiv, kommt aber bei einem Vorfall.

02 · Scope

OT und Werks-IT zählen zum Scope

Werks-Steuerungen, SCADA-Systeme und Engineering-Workstations sind Teil des Cybersicherheits-Scopes, nicht nur die Office-IT. IEC 62443 wird zur sinnvollen Anschluss-Norm.

03 · Scope

Lieferanten-Anforderungen werden weitergegeben

Wenn Sie an OEMs liefern, die unter Anhang I fallen, bekommen Sie deren Lieferanten-Audits durchgereicht. NIS-2 macht aus Lieferanten-Compliance einen Vertragsbestandteil.

04 · Scope

Meldepflichten gegenüber BSI bei Vorfall

Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht spätestens nach einem Monat. Mit Excel-ISMS schwer einzuhalten.

Fünf NIS-2-Mindestmaßnahmen am Maschinenbau-Beispiel

Aus den zehn Mindestmaßnahmen nach §30 NIS2UmsuCG fünf mit konkreter Maschinenbau-Übersetzung.

Risikoanalyse und Sicherheit für Informationssysteme

Praktisch: Risiko-Register, das Office-IT und Werks-OT trennt aber zusammenführt. Werks-Steuerungen mit eigener Bewertung, weil Risiken (Ausfall der Produktion) anders sind als Office-Risiken (Datenverlust).

Sicherheit in der Lieferkette

Lieferanten-Inventar mit Kritikalitäts-Bewertung, dokumentierte Sicherheitsanforderungen in Verträgen, Konzentrationsrisiko bei Single-Source-OT-Lieferanten. TISAX-Anforderungen können hier andocken, falls Automotive-Kunden.

Sicherheit beim Erwerb, Entwicklung und Wartung

Patch-Management für Werks-Anlagen, sichere Beschaffung neuer Steuerungen, Fernwartungs-Zugänge für Maschinen-Hersteller dokumentiert.

Reaktion auf Sicherheitsvorfälle

Incident-Response-Plan, der zwischen Office-IT-Vorfall und Werks-Stillstand unterscheidet. Eskalationswege ans BSI mit dokumentierten 24- und 72-Stunden-Fristen.

Business Continuity Management

BCM-Plan für Produktions-Ausfälle, RTO und RPO pro kritischer Maschine, Wiederanlauf-Reihenfolge dokumentiert. Mehr als Office-Backup, weil Werks-Stillstand sechsstellige Tagessätze kostet.

Cybervize-Bausteine für den Maschinenbau

Die Cybervize-Plattform deckt ISMS, BCM, Third-Party Risk Management und Assessment in einer Lösung ab. Für Maschinenbau-Häuser besonders relevant: Multi-Standort-Assessment, OT-Module und Lieferanten-Risiko.

Service 01

NIS-2-Risiko-Check

Kostenloses 30-Minuten-Erstgespräch mit indikativer NIS-2-Einordnung, Top-5-Lücken und Pfad-Empfehlung.

Mehr erfahren Service 02

Cybervize-Plattform

ISMS, Compliance und Nachweisführung aus einer Plattform. Multi-Entity, Multi-Country, KI-gestützt.

Mehr erfahren Service 03

Virtual CISO

Plattform plus dauerhafte CISO-Funktion. Für Häuser ohne eigenen CISO.

Mehr erfahren Service 04

NIS-2-Einführungsprojekt

Gap-Assessment, Roadmap, Implementierung über die Plattform. Festpreis ab 4.500 Euro.

Mehr erfahren

Selbst-Check verfügbar

NIS-2-Reifegrad-Check: 30 Fragen, 10 Pflichtbereiche aus §30 BSIG, Sofort-Ampel

Kostenfrei, ohne Anmeldung, etwa 5 Minuten. Detail-Auswertung optional per Email.

Check starten

Warum Cybervize für den Maschinenbau passt

Branchen-Erfahrung in produzierendem Gewerbe und KRITIS-Betreibern aus 25 Jahren ISMS-Führungspraxis bei PwC, Deloitte und KPMG. Die Plattform-Methodik wurde im Rahmen der BMFTR-StartupSecure-Förderung mit dem CISPA-Inkubator entwickelt.

IEC 62443: OT-Assessment als Standard
Multi-Site: Konzernweiter Roll-out
NIS-2 + TISAX: aus einem Kontroll-Mapping
25+: Jahre Big-Four-ISMS

Häufige Fragen aus dem Maschinenbau

Klären Sie in 30 Minuten Ihre NIS-2-Lage als Maschinenbauer

Kostenloser Risiko-Check mit indikativer NIS-2-Einordnung, Top-5-Lücken aus den Mindestmaßnahmen, Pfad-Empfehlung und Aufwandsschätzung. Idealerweise dabei: Werksleitung oder IT-Leitung plus Geschäftsführung.

NIS-2-Risiko-Check buchen

Mitgliedschaften, Programme und Partnerschaften

NIS-2 trifft den Maschinenbau über das verarbeitende Gewerbe.