Betroffenheitsprüfung

Die EU-Richtlinie NIS2 verpflichtet Unternehmen zu deutlich höheren Standards der Cyber- und Informationssicherheit. Doch anders als häufig angenommen, betrifft NIS2 nicht nur die „Sektoren mit hoher Kritikalität“ gemäß Anhang I der Richtlinie. Neben Energie, Verkehr, Gesundheit oder Finanzwesen geraten auch zahlreiche weitere kritische Bereiche in den Fokus – die sogenannten wichtigen Unternehmen. Dazu zählen unter anderem Post- und Kurierdienste, die Abfallwirtschaft, chemische Betriebe sowie Unternehmen, die Lebensmittel produzieren, verarbeiten oder vertreiben. Auch Teile des verarbeitenden Gewerbes sowie die Herstellung von Waren fallen darunter, ebenso wie wichtige digitale Dienste, darunter Online-Marktplätze, Cloud-Computing-Anbieter und Suchmaschinenbetreiber.

Eine Betroffenheitsprüfung zeigt, ob ein Unternehmen unter die NIS2-Vorgaben fällt, welche Rolle es in der Versorgungskette spielt und welche konkreten Verpflichtungen sich daraus ableiten. Sie bildet damit den ersten und wichtigsten Schritt, um regulatorische Anforderungen rechtzeitig zu erkennen, Risiken einzuschätzen und die eigene Resilienz gegenüber Cyberangriffen zu stärken.

Rahmendaten zur Betroffenheitsprüfung für wichtige Betriebe

Unternehmensgröße

Die NIS2-Richtlinie orientiert sich bei der Einstufung häufig an den bekannten EU-KMU-Schwellenwerten: 

  • Kleine Unternehmen:
    < 50 Mitarbeitende und < 10 Mio. € Jahresumsatz
    → in der Regel nicht automatisch betroffen (Ausnahmen je nach Sektor möglich).

  • Mittlere Unternehmen:
    ≥ 50 Mitarbeitende oder ≥ 10 Mio. € Umsatz
    → in vielen Sektoren bereits NIS2-pflichtig.

  • Große Unternehmen:
    ≥ 250 Mitarbeitende oder ≥ 50 Mio. € Umsatz
    → beinahe immer NIS2-pflichtig, wenn sie in einem der relevanten Sektoren tätig sind.

Sektor und Kritikalität

Neben der Unternehmensgröße spielt die Branche die größte Rolle:

  • Sektoren mit hoher Kritikalität (Anhang I)
    → automatisch eingestuft, sobald die Größenmerkmale erfüllt sind.

  • Andere kritische Sektoren (Anhang II / wichtige Unternehmen)
    → ebenfalls betroffen, sofern die Schwellenwerte erreicht werden, z. B.:

    • Post- und Kurierdienste

    • Abfallwirtschaft

    • Chemische Industrie

    • Lebensmittelproduktion, -verarbeitung, -vertrieb

    • Teile des verarbeitenden Gewerbes

    • Digitale Dienste (Online-Marktpätze, Cloud-Dienste, Suchmaschinen)

Systemrelevanz / Besondere Konstellationen

Auch kleinere Unternehmen können betroffen sein, wenn sie eine besondere Rolle im Versorgungssystem einnehmen, z. B.:

  • zentrale Bedeutung in Lieferketten

  • exklusive Produkte für kritische Branchen

  • Betreiber besonders sicherheitsrelevanter IT- oder OT-Systeme

Zusammenfassung für die Betroffenheitsprüfung

Eine vollständige NIS2-Betrachtung basiert auf drei Kernfragen:

  1. In welchem Sektor ist ihr Unternehmen tätig?

  2. Erfüllt ihr Unternehmen Schwellenwerte zu Größe oder Umsatz?

  3. Besteht eine besondere Kritikalität in der Lieferkette?

Post- und Kurierdienste

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Neben Energie, Verkehr und Gesundheit gehören Post- und Kurierdienste ausdrücklich zu den relevanten Bereichen. Damit rücken Unternehmen der gesamten postalischen Wertschöpfungskette in den Fokus – von klassischen Postdienstleistern über Paketlogistiker bis hin zu Kurier-, Express- und digitalen Zustellplattformen.

NIS2 verfolgt das Ziel, die Versorgungssicherheit und Funktionsfähigkeit zentraler Dienste sicherzustellen und Risiken durch Cyberangriffe zu reduzieren. Für Post- und Kurierunternehmen bedeutet das: Ihre IT- und Logistiksysteme gelten als sicherheitsrelevant, und die Geschäftsführung trägt eine klare rechtliche Verantwortung für die Einhaltung der Anforderungen.

Wer bei Post- und Kurierdiensten betroffen ist

Die Definition folgt Artikel 2 Nummer 1a der Richtlinie 97/67/EG. Darunter fallen alle Unternehmen, die Postsendungen und Pakete sammeln, sortieren, transportieren und zustellen – unabhängig von Größe, Rechtsform oder Gewinnerzielungsabsicht.

Hierzu gehören ausdrücklich auch Anbieter von Kurierdiensten, also schnelle, flexible oder spezialisierte Transport- und Zustelllösungen außerhalb des klassischen Postwesens.

Typische betroffene Kategorien

Post- und Zustelldienste

Typische Beispiele:

  • Nationale Postdienstleister

  • Private Postunternehmen

  • Anbieter von Brief-, Dokumenten- und Hybridpost

Relevanz:
Ausfälle in Sorting-, Routing- oder Sendungsverfolgungssystemen haben unmittelbare Auswirkungen auf staatliche Funktionen, Wirtschaft und Bürger.

Paket- und Expresslogistik

Typische Beispiele:

  • Paketservices (national/international)

  • Express- und Overnight-Dienste

  • Same-Day-Delivery-Anbieter

Relevanz:
Cyberangriffe können Lieferketten stilllegen, digitale Sendungsdaten manipulieren oder Transporte blockieren.

Kurierdienste

Typische Beispiele:

  • Stadtkuriere und Fahrradkuriere

  • Eilige Direktfahrten / Sonderfahrten

  • Medizinlogistik (Proben, Befunde, Notfallmaterial)

  • Plattformbasierte Kuriernetzwerke

Relevanz:
Kuriere bewegen häufig zeitkritische oder sensible Sendungen – IT-Ausfälle können medizinische oder wirtschaftliche Folgen haben.

Logistikzentren und Umschlagbetriebe

Typische Beispiele:

  • Sortierzentren

  • Verteilzentren

  • Hub-&-Spoke-Umschlagsplätze

  • Automatisierte Paketlager

Relevanz:
Ein Ausfall automatisierter Sortier- und Transporttechnik führt sofort zu Betriebsunterbrechungen.

Transport- und Flottenmanagement

Typische Beispiele:

  • Lkw- und Transportflotten

  • Routenplanungssysteme

  • Telematik- und GPS-Tracking

Relevanz:
Manipulierte Tracking- oder Navigationssysteme können zu Ausfällen, Verzögerungen und Fehlzustellungen führen.

Digitale Plattformen und Dienste

Typische Beispiele:

  • Online-Trackingportale

  • Kundenschnittstellen (Apps, Web-Portale)

  • Digitale Versand- und Abholservices

  • API-Dienste für Versandpartner

Relevanz:
Diese Systeme sind zentrale Angriffspunkte für Betrug, Manipulation und Identitätsmissbrauch.

Welche Pflichten auf Post- und Kurierunternehmen zukommen

NIS2 verpflichtet Unternehmen zu umfassenden Sicherheitsmaßnahmen in IT und Logistiksystemen.

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Risiken systematisch identifizieren, analysieren und geeignete Schutzmaßnahmen umsetzen – einschließlich Notfallvorsorge, Redundanzen und Wiederanlaufplänen.

Sicherheit der Lieferkette

Dienstleister – etwa Cloud-Anbieter, Sortiertechnik-Hersteller oder Transportpartner – müssen geprüft und bewertet werden.

Incident-Reporting

Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem ausführlichen Bericht nach fünf Tagen.

Verantwortlichkeit der Geschäftsführung

Die Leitungsebene haftet personell für die Umsetzung – bei Verstößen drohen empfindliche Bußgelder.

Warum Post- und Kurierdienste besonders gefährdet sind

Die Branche ist hochdigitalisiert, breit vernetzt und für Wirtschaft und Gesellschaft unverzichtbar.
Cyberangriffe können z. B. verursachen:

  • Totalausfall von Sortieranlagen

  • Manipulation von Sendungsdaten

  • Blockierung von Tracking- und Routingdiensten

  • Störungen im grenzüberschreitenden Paketfluss

  • Ransomware in Logistikzentren

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Die Abfallwirtschaft zählt ausdrücklich dazu. Damit rücken Unternehmen, die Abfälle erfassen, sammeln, transportieren, verwerten oder beseitigen, stärker in den Fokus – vom Recyclingbetrieb über Entsorgungsdienstleister bis hin zu Betreibern von Sortieranlagen, Deponien und Verbrennungsanlagen.

NIS2 verfolgt das Ziel, die Versorgungssicherheit und öffentliche Gesundheit zu schützen und Risiken durch Cyberangriffe zu reduzieren. Für Unternehmen der Abfallwirtschaft bedeutet das: IT-, Leitstellen- und Anlagensteuerungen (OT) müssen künftig deutlich höhere Sicherheitsanforderungen erfüllen, und die Geschäftsführung trägt hierfür eine klare rechtliche Verantwortung.

Wer in der Abfallwirtschaft betroffen ist

Die Definition eines „Unternehmens der Abfallbewirtschaftung“ folgt Art. 3 Nr. 9 der Richtlinie 2008/98/EG. Darunter fallen alle Unternehmen, deren Hauptwirtschaftstätigkeit in der Sammlung, Beförderung, Verwertung, Behandlung oder Beseitigung von Abfällen besteht.

Beispiele für betroffene Haupttätigkeiten:

  • Sammlung und Transport von Abfällen

  • Recycling, Aufbereitung und Sortierung

  • Verwertung und Behandlung (mechanisch, biologisch, thermisch)

  • Beseitigung, Deponierung, Energetische Verwertung

  • Betrieb von Entsorgungsanlagen, Wertstoffhöfen und Umladestationen

Nicht betroffen sind Unternehmen, bei denen die Abfallbewirtschaftung nicht die Haupttätigkeit ist – z. B. produzierende Betriebe, die lediglich ihre eigenen Abfälle entsorgen.

Für die NIS2-Einstufung gelten zusätzlich Unternehmensgröße und Kritikalität. Besonders relevant werden mittelgroße und große Entsorgungsbetriebe mit infrastruktureller Bedeutung.

Beispiele für Unternehmen der Abfallwirtschaft nach Kategorie

Die nachfolgende Einteilung orientiert sich an den typischen Tätigkeitsbereichen der Abfallwirtschaft.

Sammlung und Transport

Typische Beispiele:

  • Kommunale und private Müllsammelbetriebe

  • Gewerbliche Abfalltransporteure

  • Betreiber von Gefahrguttransporten (z. B. Chemieabfälle)

  • Unternehmen mit digital gesteuerten Abholtouren

Relevanz:
Manipulation der Routenplanung, GPS-Systeme oder Wiegetechnik kann zu massiven Störungen in der Entsorgung führen.

Sortierung und Aufbereitung

Typische Beispiele:

  • Sortieranlagen für Papier, Glas, Metalle, Leichtverpackungen

  • Anlagen für Biomüll-Aufbereitung

  • Mechanisch-biologische Behandlungsanlagen

  • Elektronikschrott‐Aufbereitungsanlagen

Relevanz:
OT-Anlagen sind hochautomatisiert; Ausfälle führen zu Rückstau, Stillstand und Störungen der kommunalen Infrastruktur.

Recyclingbetriebe

Typische Beispiele:

  • Metall- und Schrottrecycling

  • Kunststoffrecycling

  • Altholzrecycling

  • Glas- und Papieraufbereitungswerke

Relevanz:
Automatisierte Pressen, Zerkleinerungsanlagen oder Fördertechnik sind anfällig für OT-Angriffe.

Behandlung, Verwertung und energetische Nutzung

Typische Beispiele:

  • Kompostierungsanlagen

  • Biogasanlagen mit Abfallinput

  • Müllverbrennungsanlagen (MVA)

  • Ersatzbrennstoffanlagen (EBS)

  • Aufbereitungsanlagen für gefährliche Abfälle

Relevanz:
Anlagen sind sicherheitskritisch; Angriffe können Umwelt-, Gesundheits- und Versorgungsrisiken erzeugen.

Beseitigung und Deponien

Typische Beispiele:

  • Deponiebetreiber

  • Sickerwasserüberwachung

  • Gasfassungssysteme

  • Monitoring- und Prozessleitsysteme

Relevanz:
Manipulationen können Umweltgefahren auslösen oder den Betrieb vollständig zum Erliegen bringen.

Wertstoffhöfe und Umladestationen

Typische Beispiele:

  • Kommunale und private Wertstoffhöfe

  • Annahmestellen für Elektrogeräte, Sperrmüll oder Sonderabfall

  • Umladestationen mit Wiegetechnik und Datenschnittstellen

Relevanz:
IT-Ausfälle beeinträchtigen Annahmeprozesse, Gebührenabrechnungen und Rückverfolgbarkeit.

Welche Pflichten auf Unternehmen der Abfallwirtschaft zukommen

NIS2 verpflichtet zu umfangreichen organisatorischen und technischen Maßnahmen in IT- und OT-Systemen:

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Risiken identifizieren, analysieren und geeignete Schutzmaßnahmen umsetzen – inklusive Notfall- und Wiederanlaufplänen.

Sicherheit der Lieferkette

Zulieferer und Dienstleister – z. B. Software für Routenplanung, Waagenhersteller, Cloud-Plattformen oder Anlagenbauer – müssen hinsichtlich ihrer Sicherheit bewertet werden.

Incident-Reporting

Cybervorfälle sind innerhalb von 24 Stunden zu melden; ein ausführlicher Bericht muss nach fünf Tagen folgen.

Verantwortlichkeit der Geschäftsführung

Führungskräfte sind rechtlich in der Verantwortung, ausreichende Schutzmaßnahmen einzuführen und deren Wirksamkeit sicherzustellen.

Warum die Abfallwirtschaft besonders gefährdet ist

Die Branche ist hochgradig vernetzt, zunehmend automatisiert und für die allgemeine Versorgung eines Landes unverzichtbar. Cyberangriffe können z. B.:

  • Sammel- und Logistikprozesse zum Stillstand bringen

  • Anlagensteuerungen manipulieren

  • Umwelt- und Gesundheitsgefahren auslösen

  • Abrechnungs- und Nachweisverfahren stören

  • die kommunale Daseinsvorsorge erheblich beeinträchtigen

Ransomware-Angriffe und Angriffe auf SCADA-/SPS-Systeme zählen zu den größten Bedrohungen.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Die chemische Industrie sowie Unternehmen, die mit chemischen Stoffen und Gemischen arbeiten, gehören ausdrücklich dazu. Damit rücken Unternehmen entlang der gesamten Wertschöpfungskette stärker in den Fokus – von der Synthese und Verarbeitung über die Lagerung und Logistik bis zu Handel, Abfüllung und Weiterverarbeitung chemischer Erzeugnisse.

NIS2 verfolgt das Ziel, die Versorgungssicherheit zu stärken und Risiken durch Cyberangriffe zu reduzieren. Für Unternehmen der Chemiebranche bedeutet das: IT- und OT-Systeme müssen künftig deutlich höhere Sicherheitsanforderungen erfüllen, und die Geschäftsführung trägt hierfür eine klare rechtliche Verantwortung.

Wer in der Chemiebranche betroffen ist

Die Definition relevanter Unternehmen folgt den Begriffen der REACH-Verordnung, insbesondere:

  • Art. 3 Nr. 9: Hersteller – jeder, der Stoffe herstellt oder gewinnt.

  • Art. 3 Nr. 14: Händler – jeder, der Stoffe oder Gemische lagert und in Verkehr bringt.

  • Art. 3 Nr. 3: Erzeugnisse – Produkte, die aus Stoffen oder Gemischen hergestellt werden.

Unter NIS2 fallen damit Unternehmen, die entlang der chemischen Wertschöpfungskette operieren – unabhängig von Größe, Rechtsform oder Gewinnerzielungsabsicht.

Typische betroffene Kategorien

Chemische Produktion (Herstellung von Stoffen)

Typische Beispiele:

  • Produzenten von Basischemikalien (Säuren, Laugen, Lösemittel)

  • Hersteller von Spezial- und Feinchemikalien

  • Synthesebetriebe für pharmazeutische Zwischenprodukte

  • Polymer- und Kunstharzhersteller

  • Pigment- und Additivproduzenten

Relevanz:
Produktionsanlagen (OT) gelten als hochkritisch, da Manipulationen oder Ausfälle chemische Reaktionen gefährden oder Lieferketten unterbrechen können.

Verarbeitung und Formulierung von Gemischen

Typische Beispiele:

  • Abmischbetriebe für Reinigungs- und Desinfektionsmittel

  • Lack- und Farbenhersteller

  • Klebstoff- und Dichtstoffproduzenten

  • Anbieter technischer Chemikalien für Industrieprozesse

  • Hersteller von Schmierstoffen und Additiven

Relevanz:
Fehlerhafte Dosierungen oder Rezeptur-Manipulationen können unmittelbar sicherheitsrelevant oder produktgefährdend sein.

Abfüllung, Verpackung und Etikettierung

Typische Beispiele:

  • Abfüllbetriebe für Flüssigchemikalien

  • Verpacker von Pulver-, Granulat- oder Gefahrstoffprodukten

  • Etikettierungs- und Chargenkennzeichnungssysteme

Relevanz:
Störungen gefährden Rückverfolgbarkeit, Sicherheitshinweise und die gesetzliche Kennzeichnung.

Lagerung (inkl. Gefahrstofflager)

Typische Beispiele:

  • Lagertanks für Flüssigchemikalien

  • Gefahrstofflager nach TRGS/ADR

  • Zwischenlager für Gemische oder Erzeugnisse

  • Umschlaglager in der Chemielogistik

Relevanz:
IT-/OT-Ausfälle betreffen Temperaturüberwachung, Füllstandskontrollen und Gefahrstoffmanagement.

Transport und Logistik

Typische Beispiele:

  • Gefahrgut-Speditionen

  • Tankwagen- und Containerlogistik

  • Chemielogistik-Dienstleister

  • Bahn-/Schiffslogistik für Schüttgut oder Flüssigchemikalien

Relevanz:
Manipulierte Transportdaten gefährden Sicherheit, Compliance und Lieferkettensteuerung.

Handel mit Stoffen und Gemischen

Typische Beispiele:

  • Chemikaliengroßhandel

  • Distributoren und Importeure technischer Chemikalien

  • Händler von Laborchemikalien

  • Online-Chemikalienhändler (B2B/B2C)

Relevanz:
Störungen betreffen zentrale Systeme wie Bestellplattformen, Sicherheitsdatenblätter und Gefahrstoffinventare.

Produktion von Erzeugnissen aus chemischen Stoffen (Art. 3 Nr. 3)

Typische Beispiele:

  • Kunststoff- und Polymerwarenhersteller

  • Gummi- und Elastomerproduzenten

  • Hersteller von Lacken, Beschichtungen, Verbundwerkstoffen

  • Batterien, Elektronikbauteile, Kunstharzprodukte

  • Bauchemie- und Werkstoffhersteller

Relevanz:
Manipulationen können zu fehlerhaften Materialeigenschaften oder Sicherheitsmängeln führen.

Welche Pflichten auf Unternehmen zukommen

NIS2 führt verpflichtende Sicherheitsmaßnahmen ein, die sowohl in IT als auch in OT umgesetzt werden müssen:

Risikomanagement und Sicherheitskonzept

Identifikation von Risiken, Bewertung der Auswirkungen und Umsetzung geeigneter Schutzmaßnahmen, inkl. Notfall- und Wiederherstellungsprozessen.

Sicherheit der Lieferkette

Bewertung von Zulieferern, Cloud-Anbietern, Logistikpartnern, Herstellern von Produktionsanlagen und OT-Dienstleistern.

Incident-Reporting

Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden; vollständiger Bericht nach fünf Tagen.

Verantwortlichkeit der Geschäftsführung

Führungskräfte haften persönlich für die Umsetzung unzureichender Sicherheitsmaßnahmen.

Warum die Chemiebranche besonders gefährdet ist

Die Chemieindustrie ist stark automatisiert, hochgradig vernetzt und sicherheitskritisch. Cyberangriffe können sofortige Auswirkungen haben – beispielsweise:

  • Produktionsstillstand durch Angriff auf Leitsysteme

  • Manipulation von Rezepturen, Dosierungen oder Reaktionsparametern

  • Ausfall von Sensorik, Ventilen oder Temperatur-/Druckregelungen

  • Störungen in Gefahrstofflagern oder Transportketten

  • Verfälschte Sicherheitsdatenblätter oder Compliance-Datenbanken

Ransomware, Angriffe auf OT-Technik sowie Lieferkettenangriffe gehören zu den häufigsten Bedrohungen.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Die Lebensmittelindustrie gehört ausdrücklich dazu. Damit rücken Unternehmen entlang der gesamten Lebensmittelkette stärker in den Fokus – von der Produktion über Verarbeitung und Logistik bis zum Handel und zur Gemeinschaftsverpflegung.

NIS2 verfolgt das Ziel, die Versorgungssicherheit zu stärken und Risiken durch Cyberangriffe zu reduzieren. Für Lebensmittelunternehmen bedeutet das: IT- und OT-Systeme müssen künftig deutlich höhere Sicherheitsanforderungen erfüllen, und die Geschäftsführung trägt hierfür eine klare rechtliche Verantwortung.

Wer in der Lebensmittelindustrie betroffen ist

Die Definition eines „Lebensmittelunternehmens“ folgt Art. 3 Nr. 2 der Verordnung (EG) 178/2002. Darunter fallen alle Betriebe, die irgendeine Tätigkeit rund um die Produktion, Verarbeitung oder den Vertrieb von Lebensmitteln ausführen – unabhängig von Größe, Rechtsform oder Gewinnerzielungsabsicht.

Typische betroffene Kategorien:

  • Lebensmittelproduzenten und weiterverarbeitende Betriebe

  • Molkereien, Schlachthöfe, Getränkehersteller

  • Lager- und Kühllogistik

  • Lebensmittelgroßhändler und -importeure

  • Supermärkte, Systemgastronomie und große Küchen

  • Transport- und Logistikunternehmen im Lebensmittelbereich

Für die NIS2-Einstufung gelten zusätzlich Unternehmensgröße und Kritikalität. Besonders relevant werden mittelgroße und große Betriebe sowie Unternehmen mit zentraler Rolle in Lieferketten.

Beispiele für Unternehmen der Lebensmittelbranche nach Kategorie

Die folgende Einteilung orientiert sich an Art. 3 Nr. 2 VO (EG) 178/2002 und zeigt typische Unternehmensformen, die in der Lebensmittelindustrie unter NIS2 fallen können.

Primärproduktion

Typische Beispiele:

  • Landwirtschaftliche Erzeuger (Ackerbau, Obst- und Gemüsebau)

  • Viehzucht- und Geflügelbetriebe

  • Milchbauernhöfe

  • Fischzuchtbetriebe

  • Erzeugergemeinschaften / landwirtschaftliche Kooperativen

Warum relevant für NIS2:
Betriebe nutzen zunehmend vernetzte Systeme wie Melkroboter, Klimasteuerungen oder IoT-Sensorik, deren Ausfall direkte Folgen für die Lebensmittelversorgung hat.

Verarbeitung und Herstellung

Typische Beispiele:

  • Bäckereien, Konditoreien, Großbäckereien

  • Fleischverarbeitung, Wurstwarenhersteller

  • Molkereien

  • Getränkehersteller

  • Konservenproduktion

  • Tiefkühlkosthersteller

  • Hersteller von Zusatzstoffen und Zutaten

Relevanz:
Verarbeitungsbetriebe sind zentral für die Lieferkette und bei einem Produktionsstillstand fallen sofort große Mengen Ware aus.

Verpackung und Abfüllung

Typische Beispiele:

  • Abfüller für Getränke und Flüssigprodukte

  • Lohnverpacker für Trocken- oder Frischeprodukte

  • Betriebe mit direktem Lebensmittelkontakt (z. B. Fleischverpacker)

Relevanz:
Manipulationen oder Ausfälle können die gesamte Chargenverfügbarkeit gefährden.

Lagerung

Typische Beispiele:

  • Kühllager und Gefrierlogistik

  • Trockenlager für Großhändler

  • Verbrauchermärkte mit eigenen Lagerbereichen

  • Logistikzentren für konstante Kühlketten

Relevanz:
Ein IT-Ausfall gefährdet Mindesthaltbarkeiten, Kühlketten und Warenbestände.

Transport

Typische Beispiele:

  • Kühltransporteure

  • Lebensmittelspeditionen

  • Just-in-time-Frischelogistik (z. B. Müllerei → Bäckerei, Schlachthof → Handel)

Relevanz:
Manipulierte oder ausgefallene Transport-IT gefährdet Lieferketten und Rückverfolgbarkeit.

Groß- und Einzelhandel

Typische Beispiele:

  • Großhandelsplattformen und Zentrallager

  • Supermarktketten

  • Fleisch- und Backfilialisten

  • Online-Lebensmittelhändler

Relevanz:
Kassen-, Warenwirtschafts- und Temperaturkontrollsysteme sind kritische Infrastrukturpunkte.

Gastronomie und Gemeinschaftsverpflegung

Typische Beispiele:

  • Großküchen in Kliniken, Schulen, Kitas und Pflegeeinrichtungen

  • Betriebskantinen

  • Cateringunternehmen

  • Systemgastronomie

Relevanz:
IT-/OT-Ausfälle betreffen große Personengruppen unmittelbar.

Welche Pflichten auf Unternehmen zukommen

NIS2 führt eine Reihe verpflichtender Sicherheitsmaßnahmen ein, die sowohl in der IT als auch in der Produktionsumgebung (OT) umgesetzt werden müssen.

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Risiken identifizieren, analysieren und geeignete Schutzmaßnahmen planen und umsetzen. Dazu gehören auch Notfall- und Wiederherstellungsprozesse.

Sicherheit der Lieferkette

Zulieferer und Dienstleister – etwa Kühlkettenlogistik, Cloud-Dienste, Softwareanbieter oder Maschinenhersteller – müssen hinsichtlich ihrer Sicherheit aktiv bewertet werden.

Incident-Reporting

Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem ausführlichen Bericht nach fünf Tagen.

Verantwortlichkeit der Geschäftsführung

Die Leitungsebene haftet personell für die Umsetzung – bei Verstößen drohen empfindliche Bußgelder.

Warum die Lebensmittelindustrie besonders gefährdet ist

Die Branche ist stark automatisiert, stark vernetzt und zeitkritisch. Cyberangriffe können sofortige Auswirkungen auf die Versorgungssicherheit haben, z. B. durch Ausfall von Kühlketten, Produktionsstillstand oder Manipulation von Rezepturen und Qualitätsdaten. Ransomware-Angriffe gehören zu den häufigsten Bedrohungen.

Die EU-Richtlinie NIS2 verschärft die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Das verarbeitende Gewerbe gehört ausdrücklich dazu – insbesondere Unternehmen, die Medizinprodukte oder In-vitro-Diagnostika (IVD) herstellen. Damit rücken Betriebe entlang der gesamten industriellen Wertschöpfungskette stärker in den Fokus: von Forschung und Entwicklung über Produktion und Qualitätssicherung bis hin zu Logistik, Import und Vertrieb.

Ziel der Richtlinie ist es, die Versorgungssicherheit mit essenziellen Produkten zu schützen und Risiken durch Cyberangriffe zu reduzieren. Für Hersteller bedeutet das: IT- und OT-Systeme müssen künftig deutlich höhere Sicherheitsanforderungen erfüllen. Zudem wird die Geschäftsführung rechtlich in die Verantwortung genommen, angemessene Sicherheitsmaßnahmen sicherzustellen.

Wer im verarbeitenden Gewerbe betroffen ist

Die Zuordnung orientiert sich an:

  • Art. 2 Nr. 1 der Verordnung (EU) 2017/745 (MDR): Hersteller von Medizinprodukten

  • Art. 2 Nr. 2 der Verordnung (EU) 2017/746 (IVDR): Hersteller von In-vitro-Diagnostika

  • (mit Ausnahme der im NIS2-Kontext ausdrücklich ausgeschlossenen Einrichtungen)

Betroffen sind somit Unternehmen, die Medizinprodukte oder IVD entwickeln, produzieren, zusammensetzen, verpacken oder unter eigenem Namen in Verkehr bringen – unabhängig von Größe, Rechtsform oder Umsatz, sofern sie die NIS2-Schwellenwerte erfüllen.

Typische Kategorien im verarbeitenden Gewerbe

Die folgende Einteilung zeigt zentrale Unternehmensformen, die im Rahmen von NIS2 relevant sind.

Entwicklung und Produktion von Medizinprodukten

Typische Beispiele:

  • Hersteller chirurgischer Instrumente

  • Produzenten von Implantaten (z. B. Herzschrittmacher, Gelenkimplantate)

  • Hersteller von Beatmungsgeräten und Infusionspumpen

  • Produzenten von Diagnostiksystemen (z. B. Laboranalysegeräte)

  • Firmen für klinische Sensorsysteme und Wearables

Relevanz:
Cyberangriffe auf Sicherheitsfunktionen oder Produktionslinien könnten unmittelbare Risiken für Patienten, Einrichtungen und Lieferketten verursachen.

Hersteller von In-vitro-Diagnostika (IVD)

Typische Beispiele:

  • Produzenten von PCR-Testkits, Laborreagenzien und Schnelltests

  • Hersteller automatisierter Laboranalysegeräte

  • Hersteller digital vernetzter Diagnosesysteme

  • Entwickler von Software für diagnostische Auswertung (SaMD – Software as a Medical Device)

Relevanz:
IVD-Produkte sind essenziell für das Gesundheitswesen. Manipulationen oder Produktionsausfälle haben direkte Auswirkungen auf Diagnostik und Versorgung.

Komponenten- und Zulieferindustrie

Typische Beispiele:

  • Hersteller elektronischer Bauteile für Medizin- und Labortechnik

  • Präzisionsteilefertiger (Metall, Kunststoff, additive Fertigung)

  • OEM-Produzenten für medizinische Module

Relevanz:
Cyberangriffe können die gesamte Lieferkette medizinischer Geräte gefährden, einschließlich sicherheitskritischer Komponenten.

Verpackung, Sterilisation und Endmontage

Typische Beispiele:

  • Sterilgutdienstleister

  • Verpackungsbetriebe mit Reinraumumgebungen

  • Unternehmen für Montage steriler Medizinprodukte

Relevanz:
Manipulationen oder IT-/OT-Ausfälle können die Qualität, Sterilität und Chargenfreigabe beeinträchtigen.

Lagerung und Logistik sensibler Produkte

Typische Beispiele:

  • Kühl- und Speziallogistik für empfindliche Medizinprodukte

  • Distributionszentren für Labor- und Diagnostikmaterial

  • Lagerstätten mit regulatorischer Dokumentationspflicht

Relevanz:
Temperaturüberwachung, Kühlkettensteuerung und Rückverfolgbarkeit sind hochgradig digitalisiert und sicherheitskritisch.

Welche Pflichten auf Unternehmen zukommen

NIS2 fordert von betroffenen Herstellern und verarbeitenden Betrieben verbindliche Sicherheitsmaßnahmen, ähnlich wie in anderen kritischen Sektoren.

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Risiken systematisch identifizieren, analysieren und geeignete technische sowie organisatorische Schutzmaßnahmen einführen.

Sicherheit der Lieferkette

Zulieferer – insbesondere Cloud-Dienste, Softwareanbieter, Bauteilhersteller oder Sterilisationspartner – müssen aktiv bewertet und vertraglich auf Sicherheit verpflichtet werden.

Incident-Reporting

Schwerwiegende Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden; ein ausführlicher Bericht folgt innerhalb von fünf Tagen.

Verantwortlichkeit der Geschäftsführung

Die Leitungsebene haftet persönlich für Versäumnisse im Bereich der Cybersicherheit.

Warum das verarbeitende Gewerbe besonders gefährdet ist

Das verarbeitende Gewerbe – speziell Hersteller von Medizinprodukten und IVD – ist in hohem Maße abhängig von:

  • komplexen Produktionsanlagen

  • vernetzten OT-Systemen

  • cloudbasierter Entwicklungs- und Qualitätssoftware

  • automatisierten Lieferketten

  • regulatorischer Dokumentation

  • digitaler Chargen- und Geräteverfolgung

Cyberangriffe können nicht nur Produktionsstillstände, sondern auch Zulassungsprobleme, Produkthaftungsrisiken und Patientensicherheitsrisiken auslösen. Ransomware sowie Angriffe auf Fertigungsleitsysteme (MES), SPS, Bildgebungsdaten oder Entwicklungsumgebungen gehören zu den typischen Bedrohungen.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Hierzu zählt ausdrücklich auch die Herstellung von Datenverarbeitungsgeräten sowie elektronischen und optischen Erzeugnissen gemäß NACE Rev. 2, Abteilung 26. Damit geraten Unternehmen dieser Branche verstärkt in den Fokus – von der Entwicklung über die Produktion und Montage bis hin zu Test-, Logistik- und Serviceprozessen.

NIS2 verfolgt das Ziel, die Versorgungssicherheit der EU zu stärken und Risiken durch Cyberangriffe zu minimieren. Für Hersteller elektronischer Bauteile, Hardware-Komponenten und optischer Technologien bedeutet das: IT- und OT-Systeme müssen erheblich höhere Sicherheitsanforderungen erfüllen, und die Geschäftsführung trägt hierfür eine ausdrückliche rechtliche Verantwortung.

Wer in der Elektronik-/IT-Geräteherstellung betroffen ist

NACE Rev. 2, Abteilung 26 beschreibt Unternehmen, die elektronische, optische und datenverarbeitende Geräte entwickeln, herstellen, montieren oder vertreiben. Dies gilt unabhängig von Rechtsform, Unternehmensgröße oder Gewinnerzielungsabsicht.

Typische betroffene Kategorien sind unter anderem:

  • Hersteller von Datenverarbeitungsgeräten (Computer, Server, Speicherlösungen)

  • Hersteller elektronischer Bauteile und Leiterplatten

  • Produzenten von Halbleitern, Mikrochips und Sensoren

  • Hersteller von Kommunikationsgeräten (Router, Netzwerkhardware, Funkmodule)

  • Produzenten optischer Instrumente und Geräte (Linsen, Messgeräte, Laser)

  • Hersteller von Navigations-, Mess-, Prüf- und Qualitätsüberwachungstechnik

  • Montagebetriebe für elektronische Systeme und Embedded-Hardware

  • Spezialfertiger für IoT-Geräte und industrielle Elektronik

Für die NIS2-Einstufung gelten zusätzliche Kriterien wie Unternehmensgröße und Kritikalität. Besonders relevant werden mittelgroße und große Betriebe sowie Unternehmen mit zentraler Rolle in sicherheitskritischen oder digitalen Lieferketten.

Beispiele nach Kategorien in der Elektronik- und Optikproduktion

Die folgende Einteilung orientiert sich an den typischen Prozessstufen der Branche und zeigt, welche Unternehmen unter NIS2 fallen können.

Entwicklung und Konstruktion

Typische Beispiele:

  • R&D-Abteilungen für Elektronikdesign

  • Entwickler von Leiterplattenlayouts und Firmware

  • Design-Center für Halbleiter, Laser- oder Sensortechnik

  • Prototyping- und Engineering-Dienstleister

Relevanz:
Cyberangriffe auf Entwicklungsumgebungen gefährden geistiges Eigentum, Patente, Firmware, technische Dokumentation sowie Compliance-Konformität (z. B. CE-Relevanz).

Elektronische Komponenten- und Halbleiterfertigung

Typische Beispiele:

  • Chip- und Waferhersteller

  • Leiterplattenfertigung

  • Produzenten von Mikrocontrollern, Speicherchips oder RF-Modulen

  • Sensor- und Halbleiterlaserhersteller

Relevanz:
Produktionsanlagen in diesem Bereich sind hochgradig automatisiert, vernetzt und anfällig für OT-Angriffe, die ganze Produktionsstätten stilllegen können.

Montage und Gerätefertigung

Typische Beispiele:

  • EMS-Dienstleister (Electronic Manufacturing Services)

  • Hersteller von Computern, Servern und Peripherie

  • Produzenten von Kommunikationstechnik und Netzwerkhardware

  • IoT-Gerätehersteller

Relevanz:
Manipulationen an Produktionslinien können Hardware kompromittieren, Funktionsfehler verursachen oder Lieferketten gefährden.

Kalibrierung, Test und Qualitätssicherung

Typische Beispiele:

  • Prüf- und Messlabore

  • Hersteller optischer Messgeräte

  • Anbieter automatisierter Testsysteme (ATE)

Relevanz:
Angriffe können zertifizierte Prüfprozesse manipulieren und zu fehlerhaften oder gefährlichen Produkten führen.

Lagerung und Logistik

Typische Beispiele:

  • Elektronik-Logistikzentren

  • Versandabteilungen mit automatisierten Systemen

  • Lager für sicherheitsrelevante Bauteile (z. B. Chips für Medizintechnik)

Relevanz:
Cyberstörungen gefährden Nachverfolgbarkeit, Seriennummerntracking und Lieferverfügbarkeit kritischer Komponenten.

Service, Wartung und After-Sales

Typische Beispiele:

  • Remote-Wartungsdienstleister

  • Unternehmen mit digital angebundenen Serviceplattformen

  • Ersatzteil- und Reparaturzentren

Relevanz:
Remote-Zugänge stellen kritische Angriffsflächen dar, die Angriffe direkt in Kundeninfrastrukturen transportieren können.

Welche Pflichten auf Unternehmen zukommen

NIS2 führt verpflichtende Sicherheitsmaßnahmen ein, die sowohl in der IT als auch in der Produktionsumgebung (OT) erfüllt werden müssen.

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Risiken erkennen, bewerten und geeignete Schutzmaßnahmen implementieren – inklusive Notfall- und Wiederherstellungsprozessen.

Sicherheit der Lieferkette

Unternehmen müssen die Cybersicherheit ihrer Zulieferer überprüfen – insbesondere bei Bauteilen, Cloud-Diensten, Fertigungsmaschinen, Automatisierungstechnik und Softwarekomponenten.

Incident-Reporting

Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden; ein ausführlicher Bericht folgt innerhalb von fünf Tagen.

Verantwortlichkeit der Geschäftsführung

Die Unternehmensleitung haftet persönlich für die Umsetzung. Verstöße können erhebliche Bußgelder nach sich ziehen.

Warum die Elektronik- und IT-Geräteproduktion besonders gefährdet ist

Die Branche ist stark automatisiert, technologisch komplex und weltwirtschaftlich vernetzt. Cyberangriffe können sofortige Auswirkungen haben, z. B.:

  • Produktionsstillstand durch OT-Ransomware

  • Manipulation von Firmware oder Hardwarekomponenten

  • Ausfall automatisierter Testsysteme

  • Verlust vertraulichen Know-hows

  • Unterbrechung globaler Lieferketten

Durch ihre systemrelevante Rolle in der digitalen Infrastruktur gilt die Branche als besonders schutzbedürftig.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Die Herstellung von elektrischen Ausrüstungen (NACE C27) gehört ausdrücklich zu den relevanten Wirtschaftsbereichen, die für die technologische Infrastruktur und industrielle Versorgung eine zentrale Rolle spielen. Damit rücken Unternehmen entlang der gesamten Wertschöpfungskette – von der Komponentenfertigung über Montage und Qualitätssicherung bis hin zu Lager, Logistik und Vertrieb – in den Fokus.

NIS2 verfolgt das Ziel, die Versorgungssicherheit zu stärken und Risiken durch Cyberangriffe zu reduzieren. Für Unternehmen der Elektrotechnik bedeutet das: IT- und OT-Systeme müssen künftig deutlich höhere Sicherheitsanforderungen erfüllen, und die Geschäftsführung trägt hierfür eine klare rechtliche Verantwortung.

Wer in der Elektrotechnik-Branche betroffen ist

Die Herstellung elektrischer Ausrüstungen umfasst Unternehmen, die elektrische Geräte, Komponenten und Systeme entwickeln, produzieren oder montieren. Dazu gehören Betriebe jeder Größe, wobei besonders mittlere und große Unternehmen nach NIS2 relevant werden. Betroffen sind alle Unternehmen, deren Ausfälle direkte Auswirkungen auf industrielle Wertschöpfungsketten, Energieinfrastruktur oder technische Versorgungssysteme hätten.

Typische betroffene Kategorien

Die folgenden Kategorien orientieren sich an der Systematik von NACE C27 und bilden die wichtigsten Bereiche ab, die unter NIS2 fallen können.

Hersteller von Elektromotoren, Generatoren und Transformatoren (C27.1)

Beispiele für Unternehmen:

  • Hersteller von Motoren für Maschinen- und Anlagenbau

  • Produzenten von Transformatoren für Energietechnik

  • Anbieter von Generatoren und Stromversorgungssystemen

Relevanz:
Diese Produkte sind für Energieverteilung, Industrieproduktion und kritische Anlagen unverzichtbar. Manipulationen oder Ausfälle können ganze Produktionsketten lahmlegen.

Hersteller von Schaltanlagen und Schaltgeräten (C27.12 / C27.33)

Beispiele für Unternehmen:

  • Hersteller von Schalttafeln und Steuerungskomponenten

  • Produzenten von Leistungsschaltern, Relais und Verteilerkästen

  • Anbieter von elektrischen Automatisierungs- und Steuerungssystemen

Relevanz:
Diese Komponenten bilden die Steuer- und Regeltechnik vieler kritischer Infrastrukturen. Angriffe können Energieanlagen, Produktionslinien oder Gebäudetechnik gefährden.

Hersteller von elektrischen Leitungen und Kabeln (C27.3)

Beispiele für Unternehmen:

  • Kabel- und Leitungswerke

  • Hersteller von Glasfaserverkabelung

  • Hersteller von Hochspannungs- und Industriekabeln

Relevanz:
Diese Produkte sichern elektrische Energieversorgung und Datenübertragung. Produktionsausfälle wirken sich unmittelbar auf kritische Netzwerke aus.

Produktion von Batterien und Akkumulatoren (C27.2)

Beispiele für Unternehmen:

  • Produzenten von Lithium-Ionen-Batterien

  • Hersteller industrieller Energiespeicher

  • Zellfertigungswerke

Relevanz:
Die sichere Energieversorgung – z. B. für Elektromobilität oder Speichertechnik – hängt von diesen Produkten ab. Cyberangriffe könnten Produktion, Qualität und Sicherheit beeinflussen.

Hersteller von Beleuchtungsausrüstungen (C27.4)

Beispiele für Unternehmen:

  • Hersteller von LED-Technik

  • Produzenten industrieller Beleuchtungssysteme

  • Anbieter von smarten Lichtsteuerungen

Relevanz:
In modernen Anlagen sind Beleuchtungssysteme zunehmend digital vernetzt und können bei Kompromittierung zu Produktionsrisiken führen.

Hersteller von Haushaltsgeräten (C27.5)

Beispiele für Unternehmen:

  • Hersteller von Haushaltsgeräten (weiß & braun)

  • Anbieter smarter, vernetzter Geräte

Relevanz:
Vernetzte Haushaltsgeräte sind Teil der IoT-Landschaft und können über Sicherheitslücken Einfallstore in Produktions- oder Servicenetze darstellen.

Welche Pflichten auf Unternehmen zukommen

NIS2 führt eine Reihe verpflichtender Sicherheitsmaßnahmen ein, die in der Elektrotechnik sowohl IT-Systeme als auch OT-/Produktionsanlagen betreffen.

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Risiken erkennen, bewerten und geeignete Schutzmaßnahmen umsetzen. Dazu gehören Notfallprozesse und Wiederherstellungsstrategien für Fertigungs- und Testsysteme.

Sicherheit der Lieferkette

Zulieferer und Dienstleister – beispielsweise Elektronikfertigung, Halbleiterlieferanten, Cloud-Anbieter oder Maschinenhersteller – müssen hinsichtlich ihrer Sicherheitsstandards bewertet werden.

Incident-Reporting

Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem Bericht nach fünf Tagen.

Verantwortlichkeit der Geschäftsführung

Die Geschäftsleitung haftet für die Umsetzung von NIS2-Vorgaben. Fehlende Maßnahmen können zu erheblichen Sanktionen führen.

Warum die Elektrotechnik-Branche besonders gefährdet ist

Die Branche ist hochautomatisiert, digital vernetzt und häufig von international abhängigen Lieferketten geprägt. Cyberangriffe wirken sich direkt auf:

  • Produktionsanlagen,

  • Qualitätssicherungssysteme,

  • Energieversorgungskomponenten,

  • Lieferketten und Zulieferer

aus.
Ein Angriff kann nicht nur Produktionsausfälle verursachen, sondern auch sicherheitskritische Fehler in elektrischen Komponenten erzeugen, die später in Maschinen, Gebäuden oder kritischen Anlagen verbaut werden.

Ransomware, Sabotage, IP-Diebstahl und Manipulation von Produktionsparametern gehören zu den dominanten Bedrohungen.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Der Maschinenbau gehört im Rahmen der „wichtigen Sektoren“ ausdrücklich dazu. Damit rücken Unternehmen der Maschinenherstellung stärker in den Fokus – von der Konstruktion über die Produktion bis hin zur Installation, Wartung und dem internationalen Vertrieb komplexer technischer Anlagen.

NIS2 verfolgt das Ziel, die Versorgungssicherheit und industrielle Stabilität zu stärken. Für Maschinenbauunternehmen bedeutet das: IT- und OT-Systeme müssen künftig deutlich höhere Sicherheitsanforderungen erfüllen, und die Geschäftsführung trägt hierfür eine klare rechtliche Verantwortung.

Wer im Maschinenbau betroffen ist

Die Zuordnung erfolgt nach der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2, Abschnitt C, Abteilung 28: „Maschinenbau“).
Darunter fallen Unternehmen, die Maschinen, Anlagen oder technische Ausrüstungen entwickeln, produzieren, montieren, warten oder vertreiben – unabhängig von Größe und Rechtsform.

Typische betroffene Kategorien:

  • Hersteller von industriellen Maschinen und Produktionsanlagen

  • Produzenten von Werkzeugmaschinen und Spezialmaschinen

  • Hersteller von Hebe- und Fördertechnik

  • Klimaanlagen-, Pumpen-, Ventilatoren- und Kompressorenhersteller

  • Hersteller von Antriebs- und Steuerungstechnik

  • Anlagenbauer für energie-, verfahrens- und produktionstechnische Systeme

  • Maschinenbauunternehmen mit umfangreichen Service-, Wartungs- und Remote-Support-Leistungen

Für die NIS2-Einstufung gelten zusätzlich Unternehmensgröße und Kritikalität. Besonders relevant werden Unternehmen ab mittlerer Größe sowie Betriebe mit zentraler Bedeutung in industriellen Lieferketten.

Beispiele für Maschinenbau-Unternehmen nach Kategorie

Die folgende Aufteilung orientiert sich an der NACE-Klassifikation (Abteilung 28) und zeigt typische Unternehmensformen, die im Maschinenbau unter NIS2 fallen können.

Herstellung allgemeiner Maschinen und Anlagen

Typische Beispiele:

  • Hersteller von Pumpen, Kompressoren und Hydraulikaggregaten

  • Produzenten von Öfen, Brennern und industriellen Heizsystemen

  • Ventilatoren- und Gebläsehersteller

  • Hebezeuge, Krane, Fördertechnik

  • Klimageräte, Kälteanlagen, Industrieventilation

Relevanz:
Diese Unternehmen liefern zentralen Maschinenbestand für Industrie, Energie, Logistik oder Infrastruktur. Angriffe können direkt zu Produktionsausfällen in kritischen Sektoren führen.

Herstellung von Werkzeugmaschinen

Typische Beispiele:

  • CNC-Maschinenbau

  • Fräs-, Dreh-, Schleif- und Bohrmaschinen

  • Laserschneid- und Blechbearbeitungsmaschinen

  • Additive Fertigungsmaschinen (3D-Druck)

Relevanz:
IT-/OT-Ausfälle oder Manipulation an Steuerungssystemen können Qualitäts- und Sicherheitsprobleme in der gesamten Fertigungskette verursachen.

Herstellung von Spezialmaschinen für spezifische Branchen

Typische Beispiele:

  • Verpackungsmaschinen

  • Maschinen für Lebensmittel, Pharma oder Chemie

  • Druckmaschinen

  • Textilmaschinen

  • Landmaschinen und Forsttechnik

Relevanz:
Diese Maschinen sind oft digital vernetzt und werden per Remote-Service betreut. Angriffe können systemisch mehrere Branchen betreffen.

Hersteller von Antriebs- und Steuerungstechnik

Typische Beispiele:

  • Motoren, Getriebe, Kupplungen

  • Elektrische Antriebe, Frequenzumrichter

  • Steuerungs- und Regeltechnik (SPS, SCADA)

Relevanz:
Diese Komponenten sind sicherheitskritisch. Manipulationen im Steuerungsbereich haben potenziell weitreichende Auswirkungen.

Maschinen- und Anlagenbau mit Service & Remote-Fernwartung

Typische Beispiele:

  • Anlagenbauer mit IoT- oder Condition-Monitoring-Systemen

  • Fernwartungsdienstleister für Maschinen und Produktionssysteme

  • Hersteller mit Software-Bundles, digitalen Zwillingen oder Cloud-Portalen

Relevanz:
Remote-Zugriffe sind ein bevorzugter Angriffsvektor. NIS2 legt hohen Wert auf Absicherung dieser Strukturen.

Welche Pflichten auf Maschinenbauunternehmen zukommen

NIS2 führt verpflichtende Sicherheitsmaßnahmen ein, die sowohl in der IT als auch im Bereich der operativen Technologie (OT) umzusetzen sind.

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Risiken systematisch identifizieren, bewerten und geeignete Schutzmaßnahmen festlegen – inklusive Notfallplänen und Wiederherstellungsprozessen für Produktions- und Leitstandsysteme.

Sicherheit der Lieferkette

Zulieferer und Dienstleister – etwa Elektroniklieferanten, Cloud-Dienste, Engineering-Partner oder externe Wartungsfirmen – müssen aktiv bewertet werden.

Incident-Reporting

IT- und OT-Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem fünf Tage später nachzureichenden Bericht.

Verantwortlichkeit der Geschäftsführung

Die Unternehmensleitung trägt die rechtliche Verantwortung für die Umsetzung. Bei Verstößen drohen persönliche Sanktionen und hohe Bußgelder.

Warum der Maschinenbau besonders gefährdet ist

Der Maschinenbau zählt zu den am stärksten digitalisierten Industrien. Vernetzte Produktionslinien, integrierte IoT-Systeme, Remote-Wartung, Cloud-Portale und softwaregesteuerte Maschinen sind Standard.

Typische Risiken:

  • Manipulation von SPS/SCADA in Produktionsanlagen

  • Ransomware in vernetzten Fertigungslinien

  • Angriffe über unsichere Remote-Wartungszugänge

  • Ausfall von Engineering- oder CAD-Systemen

  • Produktpiraterie durch Angriff auf digitale Zwillinge oder Rezepturen

  • Störungen in der Lieferkette durch Ausfall kritischer Komponentenhersteller

Ein erfolgreicher Angriff kann zu Produktionsstopp, Lieferkettenstörungen und massiven wirtschaftlichen Schäden führen – mit Wirkung auf mehrere Branchen gleichzeitig.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Auch die Automobilindustrie, insbesondere die Herstellung von Kraftwagen und Kraftwagenteilen, gehört zu den Branchen, die im Fokus stehen. Die enge Verzahnung von Entwicklung, Produktion, Logistik, Zuliefererstrukturen und digitalen Dienstleistungen macht Hersteller und Zulieferer besonders anfällig für Cyberangriffe.

NIS2 verfolgt das Ziel, die Versorgungssicherheit zu stärken und Risiken durch Cyberangriffe zu reduzieren. Für Unternehmen der Fahrzeug- und Teilefertigung bedeutet das: IT- und OT-Systeme müssen deutlich höhere Sicherheitsanforderungen erfüllen, und die Geschäftsführung trägt hierfür eine klare rechtliche Verantwortung.

Wer in der Automobilindustrie betroffen ist

Unternehmen der NACE-Kategorie C29 – Herstellung von Kraftwagen und Kraftwagenteilen umfassen eine breite industrielle Wertschöpfung:

  • Hersteller von Personenkraftwagen, Nutzfahrzeugen, Bussen und Spezialfahrzeugen

  • Hersteller von Motoren, Getrieben, Fahrwerkskomponenten, Elektronikmodulen und Steuerungseinheiten

  • Produzenten von Karosserie- und Fahrzeugteilen

  • Automobilzulieferer (Tier 1, Tier 2, Tier 3)

  • Montagewerke und Produktionslinienbetreiber

  • Logistik- und Sequenzierungsbetriebe für Fahrzeugteile

  • Entwicklungszentren für Fahrzeugtechnologie, Elektronik und Software

Für die NIS2-Einstufung gelten zusätzlich Unternehmensgröße und Kritikalität. Betroffen sind vor allem:

  • mittlere und große Unternehmen

  • Zulieferer mit systemrelevanten Komponenten

  • Unternehmen, die Schlüsseltechnologien für die Fahrzeugproduktion liefern

Beispiele für Unternehmen der Automobilindustrie nach Kategorie

Die folgende Einteilung orientiert sich an NACE Rev. 2 – C29 und zeigt typische Unternehmensformen, die unter NIS2 fallen können.

Fahrzeughersteller (OEMs)

Typische Beispiele:

  • Hersteller von Pkw, Lkw, Bussen und leichten Nutzfahrzeugen

  • Montagewerke

  • Entwicklungs- und Testzentren

Relevanz:
Ausfälle oder Angriffe können zu Produktionsstopps führen, Lieferketten blockieren oder sicherheitsrelevante Fahrzeugfunktionen gefährden.

Zulieferbetriebe (Tier 1 / Tier 2 / Tier 3)

Typische Beispiele:

  • Motor- und Getriebehersteller

  • Elektronik- und Steuergeräteproduzenten (ECU, Sensorik, ADAS-Module)

  • Fahrwerk-, Brems- und Lenkkomponentenhersteller

  • Interieur- und Exterieurteilefertiger

Relevanz:
Zulieferer sind essenziell für die globalen Fahrzeugketten. Ein Ausfall kann gesamte Fahrzeugreihen stoppen.

Teilefertigung und Komponentenproduktion

Typische Beispiele:

  • Karosseriewerke

  • Kunststoff-, Metall- und Leichtbaukomponenten

  • Batteriemodulfertigung

  • Hochvoltsysteme und Elektromotoren

Relevanz:
Hochkomplexe Fertigungsabläufe sind oft vollständig vernetzt und damit besonders anfällig für Manipulation oder Stillstand.

Logistik, Sequenzierung und Just-in-Time/Just-in-Sequence-Betriebe

Typische Beispiele:

  • Teilelogistikzentren

  • Sequenzierlogistik für Montagelinien

  • Anbieter von Transport-IT für automatisierte Versorgungsketten

Relevanz:
Cyberangriffe können sofort Montagelinien zum Stillstand bringen, weil Sequenzen nicht mehr bedarfsgerecht geliefert werden.

Entwicklungsdienstleister und Softwareanbieter

Typische Beispiele:

  • Embedded-Software-Entwickler

  • Entwicklungsbüros für Fahrzeug-IT, ADAS, Connectivity

  • Prüfstands- und Testdatenanbieter

Relevanz:
Manipulation oder Diebstahl von Entwicklungsdaten hat erhebliche wirtschaftliche und sicherheitsrelevante Folgen.

Wiederaufbereitung, Teileveredelung und Nachrüstung

Typische Beispiele:

  • Remanufacturing-Betriebe

  • Werkstätten für Komponentenüberholung

  • Spezialisierte Nachrüstungsbetriebe

Relevanz:
Angriffe können die Sicherheit reparierter Teile oder deren Rückverfolgbarkeit beeinflussen.

Welche Pflichten auf Unternehmen zukommen

NIS2 führt verbindliche Maßnahmen ein, die sowohl in IT- als auch OT-Umgebungen umzusetzen sind.

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Risiken systematisch analysieren und geeignete technische wie organisatorische Maßnahmen implementieren. Dazu gehören u. a. Notfall- und Wiederanlaufpläne.

Sicherheit der Lieferkette

Zulieferer, Dienstleister, Softwareanbieter und Cloudanbieter müssen nachweisbar sicherheitskonform agieren.
Besonders relevant in der Automobilindustrie durch:

  • hochvernetzte Fertigung

  • global verteilte Lieferketten

  • kritische Komponentenabhängigkeiten

Incident-Reporting

Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem Bericht innerhalb von fünf Tagen.

Verantwortlichkeit der Geschäftsführung

Die Leitungsebene ist persönlich für die Umsetzung verantwortlich. Verstöße können erhebliche Bußgelder zur Folge haben.

Warum die Automobilindustrie besonders gefährdet ist

Die Branche ist stark digitalisiert und automatisiert. Das macht sie zu einem Hauptziel für Cyberangriffe:

  • Ransomware kann Produktionslinien in Minuten lahmlegen

  • OT-Angriffe können Roboter, Montagestrecken oder Qualitätsprüfanlagen manipulieren

  • Angriffe auf Entwicklungsdaten können Innovationen gefährden

  • Störungen in JIT-/JIS-Prozessen erzeugen sofortige Produktionsstopps

Die hohe Vernetzung mit Zulieferern verstärkt das Risiko zusätzlich.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Auch der sonstige Fahrzeugbau – gemäß Abschnitt C, Abteilung 30 der Statistischen Systematik der Wirtschaftszweige (NACE Rev. 2) – gehört zu den Bereichen, die zunehmend im Fokus stehen. Dazu zählen unter anderem der Bau von Schienenfahrzeugen, Luft- und Raumfahrzeugen, Booten und Schiffen, militärischen Fahrzeugen, Motorrädern sowie sonstigen Spezialfahrzeugen und Fahrzeugteilen.

NIS2 verfolgt das Ziel, die Resilienz der europäischen Wirtschaft zu stärken und Cyberangriffe auf kritische Produktions- und Versorgungsketten zu reduzieren. Für Unternehmen im Fahrzeugbau bedeutet das: IT- und OT-Systeme müssen signifikant höhere Sicherheitsanforderungen erfüllen, und die Geschäftsführung trägt eine unmittelbare rechtliche Verantwortung für die Umsetzung dieser Anforderungen.

Wer im sonstigen Fahrzeugbau betroffen ist

Der Fahrzeugbau umfasst eine breite Palette spezialisierter Herstellungsbereiche. Betroffen sind Unternehmen, die in irgendeiner Form Fahrzeuge, Fahrzeugkomponenten oder komplexe Verkehrssysteme entwickeln, herstellen oder integrieren – unabhängig von Rechtsform, Größe oder Ausrichtung auf Gewinnerzielung.

Für die NIS2-Einstufung gelten zusätzlich Unternehmensgröße, Umsatz und Rolle in der Versorgungskette. Besonders relevant werden mittlere und große Betriebe sowie Unternehmen mit sicherheitskritischen Produkten oder hoher Automatisierung.

Beispiele für Unternehmen im Fahrzeugbau nach Kategorie

Die nachfolgende Struktur orientiert sich an den Unterkategorien der NACE-Abteilung 30 und zeigt typische Unternehmensformen, die unter NIS2 fallen können.

Bau von Schiffen und Booten (30.1)

Typische Beispiele:

  • Werften für Frachtschiffe, Fähren, Passagierschiffe

  • Hersteller von Yachten, Sportbooten und Segelschiffen

  • Spezialschiffbau (z. B. Polizeiboote, Löschboote, Forschungsschiffe)

Relevanz:
Schiffe nutzen umfangreiche OT-Systeme (Navigation, Energieversorgung, Sensorik). Ein Ausfall oder Manipulation kann zu schwerwiegenden Betriebsrisiken führen.

Bau von Schienenfahrzeugen (30.2)

Typische Beispiele:

  • Hersteller von Zügen, Straßenbahnen, U-Bahnen

  • Produzenten von Lokomotiven

  • Produzenten von Waggons und Güterfahrzeugen

Relevanz:
Schienenfahrzeuge sind hochkomplexe, vernetzte Systeme. Manipulationen an Steuerungs- oder Bremssystemen wären sicherheitskritisch. Zudem sind Hersteller oft zentrale Lieferanten nationaler Infrastruktur.

Luft- und Raumfahrzeugbau (30.3)

Typische Beispiele:

  • Hersteller von Flugzeugen, Helikoptern und Drohnen

  • Produzenten von Raumfahrtausrüstung

  • Zulieferer von Avionik-Systemen und Flugzeugteilen

Relevanz:
Die Branche ist sicherheitskritisch. Angriffe können Produktionsprozesse, Flugtauglichkeitsdaten oder Sicherheitszertifikate kompromittieren.

Militärische Fahrzeuge (30.4)

Typische Beispiele:

  • Hersteller von Militärfahrzeugen, gepanzerten Transportern

  • Produzenten von Fahrzeugplattformen für Verteidigungssysteme

Relevanz:
Hohe Sensibilität durch sicherheitsrelevante Produkte, strategische Bedeutung und hohe Angriffswahrscheinlichkeit.

Sonstiger Fahrzeugbau (30.9)

(z. B. Motorräder, Fahrräder, Rollstühle, Spezialfahrzeuge)

Typische Beispiele:

  • Hersteller von Motorrädern, E-Bikes, Quads

  • Produzenten von Anhängern, Aufbauten und Sonderfahrzeugen

  • Produzenten motorisierter oder elektronischer Mobilitätshilfen

Relevanz:
Viele Produkte enthalten moderne Elektronik, Steuerungssoftware oder IoT-Komponenten, die cyberangreifbar sind.

Welche Pflichten auf Unternehmen zukommen

Unternehmen des Fahrzeugbaus müssen die Anforderungen der NIS2-Richtlinie sowohl im IT-Bereich als auch in der OT- und Produktionsumgebung erfüllen.

Risikomanagement und Sicherheitskonzept

Risiken müssen identifiziert, bewertet und mit geeigneten technischen und organisatorischen Maßnahmen adressiert werden.

Sicherheit der Lieferkette

Zulieferer – insbesondere für Elektronik, Steuergeräte, Cloud-Dienste, CAD/PLM-Systeme oder robotergesteuerte Produktionsanlagen – müssen überprüft und vertraglich abgesichert werden.

Incident-Reporting

Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem technischen Bericht nach fünf Tagen.

Verantwortung der Geschäftsführung

Die Unternehmensleitung trägt persönliche Verantwortung für Umsetzung und Einhaltung der Pflichten; Verstöße können zu erheblichen Bußgeldern führen.

Warum der Fahrzeugbau besonders gefährdet ist

Die Branche ist durch folgende Merkmale geprägt:

  • hoher Automatisierungsgrad in Produktion und Logistik

  • komplexe Lieferketten mit vielen digitalen Abhängigkeiten

  • Einsatz vernetzter OT-Systeme (Roboter, SPS, CNC-Maschinen)

  • integrative Softwareplattformen (CAD, PLM, IoT-Fleet-Management)

  • sicherheitskritische Produkte (z. B. Luftfahrt, Eisenbahn, Militär)

Cyberangriffe können unmittelbar zu Produktionsausfällen, sicherheitskritischen Defekten, Lieferkettenstörungen oder Reputationsverlust führen. Vor allem Ransomware, Datenmanipulation und Angriffe auf Produktionsanlagen sind besonders relevant.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Neben klassisch kritischen Infrastrukturen geraten jetzt auch Unternehmen in den Fokus, die digitale Dienste mit hoher gesellschaftlicher und wirtschaftlicher Relevanz anbieten. Dazu zählen Online-Marktplätze, Online-Suchmaschinen sowie Plattformen für Dienste sozialer Netzwerke. Aufgrund ihrer Reichweite, ihrer zentralen Rolle im digitalen Ökosystem und ihres erheblichen Einflusses auf Wirtschaft, Kommunikation und Informationsfluss gelten sie als besonders schutzbedürftig.

NIS2 verfolgt das Ziel, digitale Dienste resilienter gegen Cyberangriffe zu machen, Missbrauch vorzubeugen und die Integrität der digitalen Versorgung sicherzustellen. Für digitale Dienste bedeutet das: Plattform- und Cloud-Infrastrukturen müssen künftig deutlich höhere Sicherheitsanforderungen erfüllen. Gleichzeitig trägt die Geschäftsführung eine klare rechtliche Verantwortung für die Umsetzung.

Wer bei digitalen Diensten betroffen ist

Die NIS2-Richtlinie ordnet verschiedene digitale Dienste als „wichtige Einrichtungen“ ein, sofern sie die relevanten Schwellenwerte erfüllen oder aufgrund ihrer Funktion als besonders kritisch gelten. Typischerweise betroffen sind:

  • Anbieter von Online-Marktplätzen

  • Anbieter von Online-Suchmaschinen

  • Anbieter von sozialen Netzwerken

  • Große Plattformen, die zentrale digitale Dienstleistungen bereitstellen

  • Unternehmen, deren Systeme für Handel, Kommunikation oder Informationszugang unverzichtbar sind

Für die NIS2-Einstufung gelten zusätzlich Unternehmensgröße, Umsatz und Kritikalität. Besonders relevant werden mittelgroße und große Anbieter sowie Unternehmen, die hohe Nutzerzahlen bedienen oder gesellschaftlich relevante Plattformfunktionen erfüllen.

Beispiele für digitale Dienste nach Kategorie

Die folgende Einteilung zeigt typische Unternehmensformen, die im Bereich digitaler Dienste unter NIS2 fallen können.

Online-Marktplätze

Typische Beispiele:

  • Plattformen für B2C- oder B2B-Handel

  • Marktplätze für Dienstleistungen oder digitale Güter

  • Handelsplattformen mit integrierter Zahlungsabwicklung

  • Multi-Vendor-E-Commerce-Plattformen

Relevanz:
Diese Plattformen sind zentrale Wirtschaftsknotenpunkte. Angriffe können Handel, Zahlungsprozesse oder Lieferketten unmittelbar stören.

Online-Suchmaschinen

Typische Beispiele:

  • Allgemeine und thematische Suchdienste

  • Vergleichsportale mit eigener Suchinfrastruktur

  • Unternehmen mit eigener Web-Crawler- und Indexing-Technologie

Relevanz:
Suchmaschinen sind elementar für Zugriff, Navigation und Orientierung im digitalen Raum. Manipulationen oder Ausfälle hätten weitreichende Informations- und Wirtschaftseffekte.

Soziale Netzwerke / Plattformen für soziale Interaktion

Typische Beispiele:

  • Social-Media-Plattformen

  • Messenger- und Kommunikationsdienste mit breiter öffentlicher Nutzung

  • Community-Plattformen mit sozialen Funktionen

  • Video-/Streaming-Portale mit Community-Features

Relevanz:
Diese Plattformen haben starke gesellschaftliche Bedeutung. Angriffe können die öffentliche Kommunikation, die politische Meinungsbildung oder die Privatsphäre großer Nutzergruppen beeinträchtigen.

Unterstützende digitale Dienste

Typische Beispiele:

  • Betreiber großer Cloud-Infrastrukturen

  • Anbieter von API-Marktplätzen

  • Identity-Provider-Dienste

  • Content-Delivery-Netzwerke (CDN)

Relevanz:
Sie bilden das technische Rückgrat des digitalen Ökosystems. Störungen wirken sofort auf zahlreiche Dienste und Unternehmen.

Welche Pflichten auf digitale Dienste zukommen

Digitale Dienste unterliegen umfangreichen Anforderungen, die sowohl technische als auch organisatorische Bereiche betreffen.

Risikomanagement und Sicherheitskonzept

Unternehmen müssen Cyberrisiken systematisch identifizieren und geeignete Schutzmaßnahmen planen und umsetzen. Dazu gehören Notfallkonzepte, Backup-Strategien und Wiederanlaufprozesse.

Sicherheit der Lieferkette

Da digitale Dienste häufig auf Cloud-, Hosting- und API-Infrastrukturen basieren, müssen externe Anbieter aktiv hinsichtlich ihrer Sicherheit bewertet werden. Dies betrifft u. a.:

  • Hosting- und Cloud-Anbieter

  • Software-Dienstleister

  • Plattform-Integrationen

  • Drittanbieter-Plugins und Schnittstellen

Incident-Reporting

Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden. Ein ausführlicher Bericht folgt nach fünf Tagen. Relevante Ereignisse umfassen auch Angriffe auf Backend-Systeme, API-Infrastrukturen oder Datenbanken.

Verantwortlichkeit der Geschäftsführung

Die Leitungsorgane haften persönlich für die korrekte Umsetzung von NIS2-Vorgaben. Ein Versäumnis kann zu erheblichen Bußgeldern und Haftungsfolgen führen.

Warum digitale Dienste besonders gefährdet sind

Digitale Dienste sind aufgrund ihrer hohen Vernetzung, großen Nutzerzahlen und zentralen Rolle im Wirtschaftssystem besonders anfällig für Cyberangriffe. Typische Risiken:

  • Angriffe auf Authentifizierungs- und Zugriffssysteme

  • Manipulation von Suchergebnissen oder Marktplatz-Listings

  • Kompromittierung von Nutzerkonten

  • DDoS-Attacken auf Plattform-Infrastrukturen

  • Angriffe auf API-Schnittstellen

  • Ransomware, die wesentliche Dienste lahmlegt

  • Missbrauch oder Diebstahl großer Datenmengen

Diese Risiken haben unmittelbare Auswirkungen auf Wirtschaft, Handel, Kommunikation und das Vertrauen der Öffentlichkeit.

Die EU-Richtlinie NIS2 erweitert die Anforderungen an die Cybersicherheit in kritischen und wichtigen Sektoren. Forschungseinrichtungen zählen ausdrücklich dazu – insbesondere, wenn sie sicherheitsrelevante Daten verarbeiten, IT-Infrastrukturen betreiben oder als strategische Wissensdrehscheiben fungieren. Damit geraten Universitäten, außeruniversitäre Forschungseinrichtungen und spezialisierte Labore verstärkt in den Fokus – von Grundlagenforschung über angewandte Wissenschaft bis hin zu Technik-, Medizin- und IT-Forschung.

NIS2 verfolgt das Ziel, die wissenschaftliche und wirtschaftliche Stabilität zu schützen und Risiken durch Cyberangriffe zu reduzieren. Für Forschungseinrichtungen bedeutet das: IT-Systeme, High-Performance-Computing, Laborautomatisierung und Forschungsdateninfrastrukturen müssen künftig deutlich höhere Sicherheitsanforderungen erfüllen. Zudem trägt die Leitungsebene eine klare rechtliche Verantwortung für die Umsetzung.

Wer in der Forschungslandschaft betroffen ist

Es gibt keine separate sektorale Definition wie im Lebensmittelrecht; maßgeblich ist die Einstufung als „Forschungseinrichtung“ in den Anhängen der NIS2-Richtlinie. Dazu zählen Einrichtungen, die Forschungs- und Entwicklungstätigkeiten durchführen – unabhängig von Rechtsform, Trägerschaft oder wirtschaftlicher Ausrichtung.

Typische betroffene Kategorien:

  • Universitäten und Hochschulen

  • Forschungseinrichtungen der öffentlichen Hand

  • Institute der außeruniversitären Forschung

  • Wissenschaftliche Einrichtungen mit kritischen Laboren

  • High-Performance-Computing-Zentren (HPC)

  • Medizinische Forschungseinrichtungen

  • Privates Forschungs- und Entwicklungsumfeld (Corporate R&D)

Für die NIS2-Einstufung gelten zusätzlich Unternehmensgröße, Bedeutung der Forschung und Kritikalität der verarbeiteten Daten. Besonders relevant sind Einrichtungen mit umfangreicher IT-Infrastruktur, großen Forschungsdatenmengen oder sicherheitskritischen Projekten.

Beispiele für Forschungseinrichtungen nach Kategorie

Die folgende Einteilung orientiert sich an gängigen Forschungsbereichen und zeigt typische Einrichtungen, die im NIS2-Kontext relevant sein können.

Grundlagenforschung

Typische Beispiele:

  • Universitäten und staatliche Hochschulen

  • Max-Planck-ähnliche Institute (Grundlagenwissenschaft)

  • Akademien und Forschungszentren im Bereich Physik, Chemie, Mathematik

Relevanz:
Grundlagenforschung arbeitet häufig mit großen Datenmengen und international vernetzten IT-Systemen. Angriffe können Langzeitprojekte massiv beeinträchtigen oder Forschungsdaten kompromittieren.

Angewandte Forschung

Typische Beispiele:

  • Ingenieurwissenschaftliche Institute

  • Materialforschung

  • Umwelt- und Energieforschungseinrichtungen

  • Technologietransferzentren

Relevanz:
Diese Einrichtungen wirken direkt auf industrielle Anwendungen ein – ein Angriff kann Innovationsprozesse stören oder geistiges Eigentum gefährden.

Medizinische und biologische Forschung

Typische Beispiele:

  • Medizinische Forschungszentren

  • Molekularbiologische und biotechnologische Labore

  • Klinische Studienzentren

  • Institutsverbünde für Gesundheitsforschung

Relevanz:
Hier sind besonders sensible Daten im Spiel (z. B. Proben, Genome, Patienteninformationen). Manipulationen oder Ausfälle können Forschungsverläufe und klinische Abläufe gefährden.

Digitale und IT-Forschung

Typische Beispiele:

  • KI-Forschungseinrichtungen

  • Institute für Cybersicherheit

  • Rechenzentren und HPC-Cluster

  • Informatikfakultäten mit großen Laborinfrastrukturen

Relevanz:
IT-Forschungseinrichtungen betreiben häufig komplexe und leistungsstarke Infrastrukturen, die attraktive Ziele für Spionage, Sabotage oder wissenschaftliche Datenentwendung sind.

Industrienahe und private Forschung (Corporate R&D)

Typische Beispiele:

  • Labore großer Industrieunternehmen

  • Forschungseinheiten von Technologie-, Chemie- oder Pharmaunternehmen

  • Innovationszentren und Entwicklungsabteilungen

Relevanz:
Hier steht geistiges Eigentum im Zentrum – gezielte Cyberangriffe zielen häufig auf Know-how, Patente und Entwicklungsunterlagen ab.

Welche Pflichten auf Forschungseinrichtungen zukommen

NIS2 führt eine Reihe verpflichtender Sicherheitsmaßnahmen ein, die sowohl in IT-, Labor- als auch Forschungsdatenumgebungen umgesetzt werden müssen.

Risikomanagement und Sicherheitskonzept

Forschungseinrichtungen müssen Risiken identifizieren, analysieren und geeignete Schutzmaßnahmen planen und dokumentieren – auch für Laborautomation, HPC-Systeme und Forschungsdatenplattformen.

Sicherheit der Lieferkette

Zulieferer und Dienstleister – etwa Cloud-Plattformen, Laborausstatter, Softwareanbieter, Rechenzentren oder Projektpartner – müssen hinsichtlich ihrer Sicherheit aktiv bewertet werden.

Incident-Reporting

Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden. Ein ausführlicher Bericht ist innerhalb von fünf Tagen nachzureichen.

Verantwortlichkeit der Leitungsebene

Die Hochschul- oder Institutsleitung haftet persönlich für die Umsetzung. Fehlende Sicherheitsmaßnahmen können zu erheblichen Sanktionen führen.

Warum Forschungseinrichtungen besonders gefährdet sind

Forschungseinrichtungen stehen im Spannungsfeld aus offenem wissenschaftlichem Austausch und hohen Sicherheitsanforderungen. Die Risiken sind vielfältig:

  • stark vernetzte IT-Landschaften

  • internationale Datenkooperationen

  • wertvolles geistiges Eigentum

  • sensibelste Daten in Medizin, Biologie und Materialwissenschaft

  • HPC-Infrastrukturen als hochattraktive Angriffsziele

  • zunehmend automatisierte Labor- und Forschungssysteme

Cyberangriffe können nicht nur erhebliche Forschungsrückschläge verursachen, sondern auch den Verlust kritischer Daten, Manipulation wissenschaftlicher Ergebnisse oder langfristige Ausfälle zentraler IT-Systeme.