NIS2 für Maschinenbau & verarbeitendes Gewerbe
OT-Sicherheit, TISAX, Cyber Resilience Act und die passende Cyberversicherung
Maschinenbau und verarbeitendes Gewerbe bilden Sektor 16 der Anlage II (wichtig) der NIS2-Richtlinie.
Das ist gleichzeitig die größte NIS2-Sektor-Population in Deutschland - geschätzt 12.000 bis 15.000 Unternehmen sind allein über das verarbeitende Gewerbe pflichtig, dazu kommen Zulieferer, die über den Lieferketten-Effekt mit hineingezogen werden.
Bereits ein 80-MA-Anlagenbauer mit 15 Mio EUR Umsatz fällt unter die Pflicht.
Parallel kommen 2026/2027 weitere Compliance-Schichten: Der Cyber Resilience Act (CRA) ab Dezember 2027 für jede vernetzte Maschine, die Maschinenverordnung 2023/1230 mit Cybersecurity-by-Design, TISAX als faktischer NIS2-Mindeststandard im Automotive-Sektor.
Diese Seite zeigt, wer betroffen ist, wie sich diese Compliance-Stacks überlagern und welche Cyberversicherungs-Bausteine ein Maschinenbau-Mittelständler 2026 braucht.
Inhaltsverzeichnis
Bin ich betroffen? Schwellenwert-Check Maschinenbau und Anlagenbau
Sektor 16 verarbeitendes Gewerbe der NIS2-Anlage II umfasst Hersteller von Medizinprodukten, Maschinen, Fahrzeugen, elektrischen und elektronischen Geräten. Die Schwelle: 50 Mitarbeiter oder 10 Mio EUR Jahresumsatz. Konkret pflichtig sind damit: Maschinenbauer und Anlagenbauer ab dieser Größe, Automobilzulieferer (Tier 1-3), Elektronik- und Elektrotechnik-Hersteller, Werkzeug- und Vorrichtungsbauer, Mess- und Regeltechnik-Hersteller, Schaltschrankbauer, Sondermaschinenbauer. Wichtig: Anders als das Gesundheitswesen oder Energie ist Maschinenbau nur als wichtig (nicht besonders wichtig) eingestuft. Das bedeutet etwas niedrigere Bußgelder (bis 7 Mio EUR statt 10 Mio EUR), aber identische Mindestmaßnahmen nach § 30 BSIG. Lieferketten-Effekt: Auch wer selbst unter der Schwelle liegt, wird vom OEM oder Tier-1-Kunden zur NIS2-äquivalenten Nachweis-Erbringung gezwungen - das ist gelebte Praxis bei Bosch, ZF, VW, Continental.
Die drei größten Cyber-Risiken im Maschinenbau 2026
Erstens OT/IT-Konvergenz. Vernetzte Werkshallen, SPS- und SCADA-Systeme ohne Patch-Disziplin sind das größte Einfallstor. Klassische Pattern: Phishing-Mail in der Verwaltung führt über laterale Bewegung zu Engineering-Workstation, dann ins OT-Netz, dann Ransomware in der Produktion. Folge: Tage- bis wochenlange Produktionsausfälle. Beispiel KraussMaffei 2018: mehrwöchiger Stillstand nach Ransomware-Befall. Zweitens Supply-Chain-Erpressung. Mittelstand wird als Einfallstor zu Tier-1-Zulieferern und OEMs benutzt. Angreifer kompromittieren einen kleinen Sondermaschinenbauer, um über dessen VPN-Zugang oder Software-Auslieferung in Bosch oder ZF zu kommen. Folge: Direkte Schäden plus Vertrauensverlust beim OEM-Kunden, Rauswurf aus Lieferantenketten. Drittens Konstruktionsdaten-Diebstahl und Industriespionage. CAD-, PLM- und FEM-Datensätze werden gestohlen - oft staatlich gelenkt (China, Russland). Wettbewerbsschaden langfristig: Produkte werden 18-24 Monate später als Plagiat in Asien produziert, bevor der Originalhersteller die Innovation kommerziell ausschöpfen kann.
Der Compliance-Stack 2026/2027: NIS2 + CRA + Maschinenverordnung
Maschinenbauer kämpfen 2026 nicht nur mit NIS2, sondern mit einem mehrschichtigen Compliance-Stack. NIS2 (seit 6. Dezember 2025) regelt die organisatorische und technische Cybersicherheit des Unternehmens selbst. Der Cyber Resilience Act (CRA, ab 11. Dezember 2027) regelt die Cybersicherheit jedes einzelnen Produkts mit digitalen Elementen - jede vernetzte Maschine, jede Steuerung, jede IIoT-Komponente. Updates müssen für die typische Produktlebensdauer (mindestens 5 Jahre) bereitgestellt werden, Schwachstellen müssen ans ENISA gemeldet werden. Die Maschinenverordnung 2023/1230 (ab 14. Januar 2027) verlangt Cybersecurity-by-Design als Teil der CE-Konformitätserklärung - keine CE ohne Cybersicherheits-Risikobeurteilung. TISAX (Trusted Information Security Assessment Exchange) ist der De-facto-Standard im Automotive-Sektor, oft vom OEM vertraglich gefordert. Wer NIS2-konform ist, hat 70 Prozent der TISAX-Anforderungen abgedeckt. Praktisches Vorgehen: NIS2 als Grundlinie aufsetzen, TISAX als Marktzugangs-Audit nutzen, CRA-Vorbereitung 2026 starten (Update-Konzept, Schwachstellen-Meldung, SBOM-Erstellung).
Was § 30 BSIG für die Werkshalle bedeutet
Die zehn Mindestmaßnahmen nach § 30 BSIG sind in IT-Sprache formuliert, aber für die Werkshalle bedeuten sie konkret: 1. Risikoanalyse muss OT-Inventar einschließen - alle SPS, HMI, IPC, Engineering-Workstations dokumentiert. 2. Incident-Response-Prozess mit OT-spezifischer Eskalationskette inkl. Ausfall-Plan für Produktion. 3. Backup-Strategie auch für SPS-Programme, HMI-Konfigurationen, NC-Programme - nicht nur IT. 4. Lieferanten-Audits für Maschinenhersteller, Steuerungs-Lieferanten und MES-Anbieter. 5. Patch-Management OT: nicht jede SPS lässt sich monatlich patchen - dokumentierte Compensating Controls (Netzwerk-Segmentierung, Whitelisting) als Ersatz. 6. Penetration Tests mit OT-Expertise - nicht jeder Office-Pentester kann S7-Profinet. 7. Awareness auch für Werker, nicht nur Office-Mitarbeiter (USB-Sticks, Wartungs-Laptops, Fremdfirmen-Zugänge). 8. Verschlüsselung im OT ist herausfordernd (Echtzeit-Anforderungen) - dokumentierte Begründung wo nicht möglich. 9. Privileged Access Management für Engineering-Accounts und Maschinen-Service-Zugänge. 10. MFA für VPN, Remote-Wartung und alle Engineering-Workstations - Wartungslaptops von Fremdfirmen besonders kritisch.
TISAX, ISO 27001, IEC 62443: was zählt für NIS2-Compliance?
Drei Normen prallen aufeinander, wenn ein Automotive-Zulieferer NIS2-pflichtig wird. ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS) und deckt rund 75 Prozent der NIS2-Pflichten ab. Wer ISO 27001-zertifiziert ist, bringt eine solide Grundlage mit - es fehlt aber typischerweise: Lieferketten-Anforderungen, NIS2-spezifische Meldepflichten, OT-Spezifika. TISAX ist die automotive-spezifische Adaption von ISO 27001 (mit VDA-ISA-Fragenkatalog) und wird von BMW, Mercedes, VW, Audi, Porsche, Bosch und ZF vertraglich gefordert. Für reine Automotive-Zulieferer ist TISAX praktisch Pflicht-Audit. IEC 62443 ist die Norm für industrielle Cybersicherheit (OT) und ergänzt ISO 27001 / TISAX um die OT-Schicht. Wer nach IEC 62443-3-3 (Security Level 2 oder höher) gebaut hat, erfüllt die OT-Spezifika von § 30 BSIG ohne Zusatzarbeit. Empfehlung: NIS2-Risikoanalyse als Single Source of Truth aufsetzen, ISO 27001 / TISAX / IEC 62443 als Audit-Frameworks darauf mappen, nicht parallel pflegen.
Lieferketten-Druck: wenn der OEM NIS2-Nachweise einfordert
2026 hat sich der NIS2-Lieferketten-Effekt massiv beschleunigt. OEMs (BMW, Daimler, VW) und Tier-1-Zulieferer (Bosch, ZF, Continental) fordern von ihren Tier-2- und Tier-3-Lieferanten vertragliche NIS2-Nachweise - auch wenn der Zulieferer selbst nicht direkt NIS2-pflichtig ist. Typische Vertragsformulierungen: Verpflichtung zur Umsetzung der NIS2-Mindestmaßnahmen (auch ohne eigene Pflicht), 24h-Meldepflicht bei Cyber-Vorfällen ans OEM-Cybersecurity-Team, Recht auf Lieferanten-Audit, Vertragsstrafen bei Verstößen. Wer hier nicht liefert, fliegt aus der Lieferantenkette - in der Automotive- und Maschinenbau-Branche bedeutet das oft Existenzbedrohung. Praktisches Vorgehen: NIS2-Nachweise vorbereiten, auch wenn nicht direkt pflichtig. TISAX als Marktzugangs-Audit nutzen. Cybersecurity-Klauseln in OEM-Verträgen vor Unterzeichnung juristisch prüfen lassen. Eigene Lieferanten ebenfalls in die NIS2-Kaskade einbinden - die Pflicht wird weitergereicht.
Cyberversicherung Maschinenbau: BU, OT-Schaden, Lieferketten-Ausfall, Erpressung
Eine NIS2-fitte Cyberversicherung für Maschinenbau-Mittelständler muss fünf Bausteine abdecken. Erstens Betriebsunterbrechung mit OT-spezifischer Klausel: Ein Ransomware-Befall in der Produktion erzeugt Schäden bis weit über 1 Mio EUR pro Woche Stillstand - klassische BU-Klauseln rechnen oft nur Verwaltungs-IT, nicht Produktion. Zweitens OT-Schaden / Sachschaden durch Cyber-Vorfall: vernetzte CNC-Maschinen können durch fehlerhafte SPS-Programmierung physische Schäden erleiden - klassische Maschinenbruch-Police schließt Cyber-Ursachen oft aus. Drittens Lieferketten-Ausfall: Wenn ein Lieferant gehackt wird und Sie deshalb nicht produzieren können - selten gedeckt, aber bei wenigen Tarifen optional zubuchbar. Viertens Cyber-Erpressung: Lösegeld-Klausel kritisch prüfen, viele Tarife schließen Zahlungen aus oder verlangen Vorab-Freigabe. Fünftens IP-Diebstahl: Industriespionage-Schäden sind meist nicht direkt versicherbar (Schwer messbarer Vermögensschaden) - aber Forensik, Anwaltskosten und Notbenachrichtigungen sehr wohl. Für Maschinenbau-Mittelständler sind Allianz, HDI und Markel typischerweise gut aufgestellt - unser Anbieter-Vergleich zeigt die Unterschiede.
90-Tage-Roadmap für den Maschinenbau-Mittelstand
Phase 1 (Tag 1-30): NIS2-Betroffenheitsprüfung dokumentieren, BSI-Registrierung falls noch nicht erfolgt, OT-Inventar erstellen (alle SPS, HMI, Engineering-Workstations, IPC mit IP, Hostname, Firmware-Stand), Risiko-Workshop mit Werks- und IT-Leitung. Phase 2 (Tag 31-60): § 30 BSIG-Gap-Analyse mit OT-Fokus, Incident-Response-Prozess in Schriftform inkl. Produktions-Ausfall-Plan, Lieferanten-Inventur mit Cybersicherheits-Vertragsstatus, OEM-Verträge auf NIS2-Klauseln prüfen. Phase 3 (Tag 61-90): MFA-Rollout für Engineering und Remote-Wartung, Netzwerk-Segmentierung Office/OT mit dokumentierter Architektur, Backup-Strategie für SPS-Programme und MES-Daten testen, Geschäftsführer-Schulung nach § 38 BSIG durchführen und dokumentieren, Cyberpolice-Vergleich mit OT-Spezialisten abschließen. Danach: TISAX-Vorbereitung falls Automotive-relevant, CRA-Roadmap für 2027 aufsetzen, jährliche Pentests mit OT-Expertise, halbjährliche Tabletop-Exercises mit Produktionsausfall-Szenario.
Häufige Fragen
Mein Maschinenbau-Betrieb hat 75 MA und 12 Mio EUR Umsatz - bin ich NIS2-pflichtig?
Ich bin als Zulieferer unter der Schwelle - muss ich trotzdem NIS2 umsetzen?
Reicht meine bestehende ISO 27001-Zertifizierung als NIS2-Nachweis?
Versichert eine Cyberpolice auch physische Maschinenschäden durch Cyber-Ursache?
Welche Versicherungssumme braucht ein 200-MA-Maschinenbauer?
Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.
Kostenlos beraten lassen – in 60 Sekunden
Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.
DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte