Mit der Umsetzung der EU-Richtlinie NIS2 (Network and Information Security) kommen auf den Maschinen- und Anlagenbau weitreichende neue Pflichten zu. Maschinenbauer mit 50 oder mehr Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro müssen mit Inkrafttreten des nationalen Gesetzes zahlreiche Cybersicherheitsmaßnahmen sowie Risikomanagementstrategien und Meldepflichten beachten. Verstöße gegen die Vorgaben können mit Bußgeldern von bis zu 7 Millionen Euro geahndet werden. Betroffene Unternehmen sollten daher umgehend aktiv werden.
Was ist NIS2 und wann wird die EU-Richtlinie in deutsches Recht umgesetzt?
Die NIS2-Richtlinie wurde am 27. Dezember 2022 in der EU verabschiedet und soll ein hohes, einheitliches Sicherheitsniveau für Netz- und Informationssysteme in der Europäischen Union sicherstellen. NIS2 erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie (NIS1) und führt strengere Sicherheitsanforderungen, Meldepflichten sowie Durchsetzungsmaßnahmen ein.
Die Bundesregierung hatte am 24. Juli 2024 einen Regierungsentwurf zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) vorgelegt. Dieser Entwurf konnte in der vergangenen Legislaturperiode jedoch nicht mehr verabschiedet werden, sodass das Verfahren zunächst ruhte. Nach der Bundestagswahl wurde das Gesetzgebungsverfahren wieder aufgenommen. Am 13. November 2025 hat der Deutsche Bundestag das NIS2-Umsetzungsgesetz schließlich beschlossen. Mit diesem Beschluss steht der nationale Rechtsrahmen nun fest; die Anforderungen der EU-Richtlinie werden damit in deutsches Recht überführt. Rechtsverbindlich werden die Vorgaben jedoch erst mit Inkrafttreten des Gesetzes. Ein konkretes Datum liegt noch nicht vor. Fachkreise rechnen damit, dass die gesetzlichen Pflichten ab Ende 2025 oder Anfang 2026 gelten werden.
Welche Unternehmen des Maschinen- und Anlagenbaus sind betroffen?
Das NIS2UmsuCG richtet sich an Unternehmen mit Betriebsstätten in Deutschland sowie an Unternehmen, die Dienstleistungen in Deutschland erbringen. Betroffene Unternehmen werden als „besonders wichtige“ oder „wichtige“ Einrichtungen eingestuft (nach § 28 des Gesetzes zur Umsetzung der NIS2-Richtlinie in Verbindung mit den Anlagen 1 und 2). Der Maschinenbau wird in Anlage 2 ausdrücklich genannt (Nr. 5.4). Das bedeutet: Maschinenbau-Unternehmen mit 50 oder mehr Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro unterliegen dem NIS2UmsuCG. Wichtig: Bei Tochtergesellschaften muss eine Konzernbetrachtung vorgenommen werden, wodurch regelmäßig die Schwellenwerte überschritten werden.
Allein in Deutschland fallen damit mehr als 3.600 Maschinenbauer unter das Gesetz, was 58 Prozent der gesamten Branche entspricht. Von diesen Unternehmen beschäftigen 75 Prozent weniger als 250 Mitarbeitende und zählen somit zum Mittelstand. Der mittelständische Maschinenbau dürfte daher die am stärksten betroffene Branche sein.
Viele Maschinenbauer schätzen eigene Betroffenheit falsch ein
Laut einer Studie des VDMA e. V. aus April 2024 unterschätzen viele VDMA-Mitgliedsunternehmen ihre NIS2-Betroffenheit. 24 Prozent der Befragten gingen davon aus, nicht betroffen zu sein. Eine anschließende Überprüfung durch den VDMA ergab jedoch, dass sich ein Großteil dieser Unternehmen (71 Prozent) in ihrer Einschätzung geirrt hatte.
Mehr dazu können Sie hier lesen.
Sonderproblem: Nebentätigkeit als Managed Service Provider?
Der VDMA weist darauf hin, dass Unternehmen mit maschinennahen Dienstleistungen wie Wartung, Instandhaltung, Fernwartung von Maschinen vor Ort oder Industrie-4.0-Diensten wie „Condition Monitoring“ und „Predictive Maintenance“ als sogenannte Managed Service Provider (MSP) eingestuft werden könnten. Diese Einstufung ist bislang nicht abschließend definiert, kann aber Auswirkungen auf die Einordnung als „wichtige“ oder „besonders wichtige“ Einrichtung haben. Maschinenbauer sollten daher sorgfältig prüfen, ob einzelne Service-Angebote ihre Einstufung beeinflussen könnten, und dies gegebenenfalls fachkundig bewerten lassen.
Arbeitshilfen des BSI zur Betroffenheitsprüfung
Für eine erste Einschätzung, ob Ihr Unternehmen in den Anwendungsbereich des NIS-2-Umsetzungsgesetzes fällt, können Sie die folgenden Hilfsangebote des BSI nutzen:
- Entscheidungsbaum: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-betroffenheit-entscheidungsbaum.pdf?__blob=publicationFile&v=9
- NIS2-Betroffenheitsprüfung:
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html
WICHTIG: Diese Arbeitshilfen bieten nur eine grobe erste Einschätzung. Für eine präzise Prüfung, ob und in welchem Umfang Ihr Unternehmen die Vorgaben des NIS2UmsuCG erfüllen muss, empfiehlt es sich, einen Experten zurate zu ziehen.
Pflichtenkatalog zur Cybersicherheit für „wichtige“ Einrichtungen
In Deutschland gelten Maschinenbau-Unternehmen mit der Haupttätigkeit Maschinenbau, die die relevanten Schwellenwerte erreichen, als „wichtige“ Einrichtungen im Sinne des NIS2UmsuCG. Daraus ergeben sich umfangreiche Cybersicherheitspflichten, die sich grob wie folgt zusammenfassen lassen:
- Risikomanagement: Risikoanalyse- und Informationssicherheitskonzepte
- Incident Management: Vorbeugung, Erkennung, Bewältigung von Cybervorfällen
- Betriebskontinuitätsmanagement: Backups, Notfallpläne, Krisenmanagement
- Lieferketten: Sicherheitsmanagement entlang der Lieferkette
- Personal: Sicherheitsmanagement für das Personal (Richtlinien, Schulungen)
- Zugang: Zugangskontrolle, Multi-Faktor-Authentifizierung, Asset Management
- Cyberhygiene: Cyberhygiene (zum Beispiel Updates) und Schulungen
- Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Effektivität: Konzepte/Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
- Kommunikation: Gesicherte Sprach-, Video- und Textkommunikation
Für Maschinenbauer besonders relevant sind Anforderungen an die Sicherheit von Fernwartungszugängen, Industrie-4.0-Schnittstellen sowie die Dokumentation der IT-Sicherheit entlang der oft internationalen Lieferkette.
Cyberschulungen mit dem VDMA Cyber Awareness Service
Eine der neuen Cybersicherheitspflichten sind Schulungen zur Sicherheit in der Informationstechnik. Umsetzen lässt sich dies zum Beispiel mit dem VDMA Cyber Awareness Service. Dieser bietet ressourcenschonende Cybertrainings für alle Mitarbeitenden. VDMA-Mitgliedsunternehmen können die Plattform zwei Wochen lang kostenlos testen.
Mehr erfahren Sie hier: https://vdma-cyber-awareness.de
Meldepflichten und Registrierung beim BSI
Neben den Cybersicherheitspflichten legt das Gesetz zur Umsetzung der NIS2-Richtlinie fest, dass erhebliche Sicherheitsvorfälle sowohl der nationalen Behörde als auch gegebenenfalls den betroffenen Dienstempfängern gemeldet werden müssen. Die Meldung muss dabei innerhalb von 24 Stunden nach Bekanntwerden erfolgen, ein Zwischenstand ist binnen 72 Stunden vorzulegen und ein Abschluss- beziehungsweise Fortschrittsbericht binnen eines Monats einzureichen.
Darüber hinaus müssen sich Unternehmen, die als „wichtige“ oder „besonders wichtige“ Einrichtung gelten, spätestens drei Monate nach Zugang dieser Einstufung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Bußgelder
Bei Verstößen gegen die festgelegten Pflichten können empfindliche Bußgelder verhängt werden. Gegen Betreiber kritischer Anlagen oder wesentlicher/besonders wichtiger Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden. Für Betreiber wichtiger Einrichtungen, zu denen auch Maschinenbau-Unternehmen zählen, liegt die Obergrenze bei 7 Millionen Euro beziehungsweise 1,4 Prozent des Jahresumsatzes des Gesamtkonzerns.
Haftung der Geschäftsleitung
Neu eingeführt wurde zudem eine unmittelbare Haftung der Geschäftsleitung. Diese ist gemäß § 38 NIS2UmsuCG verpflichtet, die Cybersicherheitsmaßnahmen umzusetzen und deren Durchführung zu überwachen. Bei Verstößen haftet die Geschäftsleitung gemäß den Regelungen des jeweiligen Gesellschaftsrechts. Zudem sind Geschäftsleiter verpflichtet, regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Identifizierung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der IT-Sicherheit zu erlangen. Zudem sind Geschäftsleitungen verpflichtet, regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Identifizierung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der IT-Sicherheit zu erlangen. Konkrete Vorgaben zu Umfang und Inhalt dieser Schulungen gibt es derzeit noch nicht.
Empfehlungen für betroffene Maschinenbauer
Betroffene Unternehmen sollten sich umgehend mit ihren neuen NIS2-Pflichten beschäftigen und sicherstellen, dass die Anforderungen angemessen und wirksam erfüllt werden. Angesichts des umfangreichen Katalogs an Cybersicherheitsauflagen wird empfohlen, sich unverzüglich mit der Umsetzung zu befassen. Falls Sie sich erstmalig mit diesem Thema auseinandersetzen, raten wir Ihnen, professionelle Dienstleister hinzuzuziehen, um den Stand Ihrer Informationssicherheit prüfen zu lassen, notwendige Maßnahmen zur Erfüllung der Anforderungen aus dem NIS2UmsuCG zu identifizieren und geeignete Maßnahmen umzusetzen. Dies gilt auch, wenn Ihr Unternehmen in Sachen Cybersicherheit noch nicht optimal aufgestellt ist. Eine Übersicht, welche Schritte „wichtige“ und „besonders wichtige“ Einrichtungen zur Vorbereitung auf das NIS2UmsuCG einleiten sollten, bietet die Hilfeseite des BSI: NIS2: Was tun?
TIPP: Für Mitgliedsunternehmen bietet der VDMA umfassende Arbeitshilfen, individuelle und kostenfreie Beratung sowie regelmäßige Informationsveranstaltungen zum Thema an: VDMA-Veranstaltungskalender
Bildnachweis: Shutterstock Generate / ID: 2467577981
Unsere Empfehlungen für Sie:
Kontakt
THOMAS VÖLKER
Spartenverantwortlicher Cyber Versicherung
VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1520
tvoelker@vsma.org
www.vsma.de Impressum Datenschutz
