NIS2 und OT-Sicherheit: KRITIS-Leitfaden
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Was bedeutet NIS2 für die OT-Sicherheit in Deutschland?
Die NIS2-Richtlinie der EU ist seit Oktober 2024 in deutsches Recht umgesetzt und erweitert den Kreis der verpflichteten Einrichtungen erheblich. Das BSI schätzt, dass NIS2 rund 30.000 zusätzliche deutsche Unternehmen zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet (BSI, 2024). Für OT-Betreiber bedeutet das konkrete Anforderungen an industrielle Steuerungssysteme, SCADA-Systeme und kritische Infrastruktur.
Wichtige Erkenntnisse
- NIS2 verpflichtet rund 30.000 zusätzliche deutsche Unternehmen (BSI, 2024)
- 18 Sektoren sind erfasst, darunter Energie, Wasser, Verkehr und Fertigung
- Meldepflichten: 24h Erstmeldung, 72h Folgemeldung bei erheblichen Vorfällen
- Bußgelder bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes
- KRITIS-Verordnung und IT-SiG 2.0 bleiben parallel zu NIS2 gültig
NIS2 ist keine bloße Compliance-Übung. Die Richtlinie definiert konkrete Mindestmaßnahmen, die OT-Sicherheit explizit einschließen. Wer OT-Systeme als außerhalb des Scopes betrachtet, riskiert erhebliche Bußgelder und Haftungsrisiken.
[INTERNAL-LINK: OT-Sicherheitsgrundlagen → Was ist OT-Sicherheit?]
Wer ist von NIS2 in Deutschland betroffen?
NIS2 unterscheidet zwischen "wesentlichen Einrichtungen" (Essential Entities) und "wichtigen Einrichtungen" (Important Entities). Das Bundesinnenministerium hat die deutschen Schwellenwerte und Sektoren im NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) konkretisiert (BMI, 2024).
Wesentliche Einrichtungen
Wesentliche Einrichtungen sind Unternehmen mit mehr als 250 Mitarbeitern oder mehr als 50 Mio. Euro Umsatz in den Sektoren: Energie, Transport, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur und IT-Verwaltungsdienste. Sie unterliegen den strengsten Anforderungen und proaktiven BSI-Aufsichtsmaßnahmen.
Wichtige Einrichtungen
Wichtige Einrichtungen sind Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Mio. Euro Umsatz in den Sektoren: Post und Kurier, Abfallwirtschaft, Chemie, Ernährung, Fertigung, digitale Anbieter und Forschung. Diese Kategorie ist neu und erfasst viele mittelständische Industrieunternehmen erstmals.
KRITIS: Weiterhin parallele Regulierung
Für Unternehmen, die als KRITIS-Betreiber eingestuft sind, gilt weiterhin das IT-Sicherheitsgesetz 2.0 parallel zu NIS2. KRITIS-Betreiber haben höhere Anforderungen als NIS2-wesentliche Einrichtungen. Sie müssen beispielsweise Systeme zur Angriffserkennung (SzA) nach BSI-Technischer Richtlinie implementieren.
Brauchen Sie Unterstützung bei NIS2 und OT-Sicherheit: KRITIS-Leitfaden?
Unsere Cloud-Architekten unterstützen Sie bei NIS2 und OT-Sicherheit: KRITIS-Leitfaden — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Welche konkreten OT-Sicherheitsanforderungen stellt NIS2?
NIS2 definiert in Artikel 21 konkrete Mindestmaßnahmen, die explizit OT-Systeme einschließen. Der Bereich OT-Sicherheit ist damit erstmals in EU-Recht verankert. ENISA hat Leitlinien zur Umsetzung dieser Anforderungen für OT-Umgebungen veröffentlicht (ENISA, 2024).
Risikomanagement (Artikel 21 Abs. 2)
Betroffene Unternehmen müssen geeignete technische und organisatorische Maßnahmen zum Risikomanagement implementieren. Für OT bedeutet das: eine formale Risikoanalyse aller OT-Systeme, dokumentierte Sicherheitsmaßnahmen nach dem Stand der Technik und regelmäßige Überprüfung der Risikolage. IEC 62443 bietet hierfür einen anerkannten Rahmen.
Vorfallmanagement und Meldepflichten
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung an das BSI gemeldet werden. Innerhalb von 72 Stunden folgt eine vollständige Vorfallmeldung. Nach einem Monat ist ein Abschlussbericht einzureichen. "Erheblich" bedeutet: spürbarer Betriebsausfall, erhebliche finanzielle Verluste oder Auswirkungen auf andere Einrichtungen.
Supply-Chain-Sicherheit
NIS2 fordert explizit Sicherheitsmaßnahmen für die Lieferkette. Für OT-Umgebungen bedeutet das: Sicherheitsanforderungen an Maschinenlieferanten, Wartungsdienstleister und Software-Anbieter für OT-Systeme. Verträge müssen Mindest-Sicherheitsanforderungen definieren.
Physische Sicherheit
NIS2 schließt explizit physische Sicherheitsmaßnahmen ein. Für OT-Umgebungen: gesicherte Zugangskontrolle zu Steuerungsräumen und Schaltschränken, Schutz vor Sabotage und Diebstahl von OT-Komponenten. Physische und Cybersicherheit sind nach NIS2 untrennbar.
Wie bereiten Sie sich auf NIS2-Compliance vor?
Die Vorbereitung auf NIS2-Compliance folgt einem strukturierten Prozess. Das BSI empfiehlt, mit einer Gap-Analyse zu beginnen, die den aktuellen Stand mit den NIS2-Anforderungen vergleicht (BSI, 2024). Für OT-Bereiche ist eine separate OT-spezifische Analyse notwendig.
Schritt 1: Betroffenheitsanalyse
Prüfen Sie zunächst, ob und als welche Art von Einrichtung Sie unter NIS2 fallen. Berücksichtigen Sie dabei Ihre Branchenzugehörigkeit, Unternehmensgröße und ob Sie kritische Dienstleistungen erbringen. Das BSI stellt ein Online-Tool zur Selbstauskunft bereit. Holen Sie rechtlichen Rat, wenn Sie unsicher sind.
Schritt 2: OT-Gap-Analyse
Führen Sie eine strukturierte Gap-Analyse Ihrer OT-Sicherheitslage gegen die NIS2-Anforderungen durch. Dokumentieren Sie, welche Maßnahmen bereits umgesetzt sind und wo Lücken bestehen. Priorisieren Sie Lücken nach Risikoauswirkung und Umsetzungsaufwand.
Schritt 3: Maßnahmenplan und Umsetzung
Entwickeln Sie einen priorisierten Maßnahmenplan mit realistischen Umsetzungszeiten. OT-Sicherheitsmaßnahmen brauchen Zeit, weil sie ohne Produktionsunterbrechung implementiert werden müssen. Dokumentieren Sie alle Maßnahmen sorgfältig, da das BSI Nachweise anfordern kann.
[PERSONAL EXPERIENCE] In unserer NIS2-Beratungsarbeit stellen wir fest, dass Unternehmen, die bereits ein formales OT-Sicherheitsprogramm nach IEC 62443 haben, typischerweise 60-70% der NIS2-Anforderungen ohne zusätzliche Maßnahmen erfüllen. Der Aufwand für NIS2-Compliance hängt stark vom Ausgangszustand ab.
[UNIQUE INSIGHT] Die Bußgeldregelungen von NIS2 (bis zu 10 Mio. Euro) sind nur ein Teil des Risikos. Persönliche Haftung der Geschäftsführung für NIS2-Verstöße ist im NIS2UmsuCG explizit geregelt. Das ändert die Risikowahrnehmung auf Vorstandsebene fundamental.
Wie unterscheiden sich KRITIS-Verordnung und NIS2?
KRITIS und NIS2 koexistieren im deutschen Recht. Für Unternehmen, die unter beide Regime fallen, gelten die strengeren KRITIS-Anforderungen. Die wesentlichen Unterschiede sind Schwellenwerte, Prüfpflichten und spezifische technische Anforderungen.
KRITIS-Betreiber müssen Systeme zur Angriffserkennung (SzA) implementieren, eine Anforderung, die NIS2 nicht explizit fordert. Sie unterliegen proaktiven BSI-Überprüfungen, während NIS2-wesentliche Einrichtungen primär reaktive Aufsicht erfahren. KRITIS-Betreiber müssen beim BSI registriert sein; NIS2-Einrichtungen melden sich im NIS2-Register.
Häufig gestellte Fragen
Was ist der Unterschied zwischen NIS1 und NIS2 für OT?
NIS1 (2016) hatte wenige OT-spezifische Anforderungen und galt nur für große KRITIS-Betreiber. NIS2 erweitert den Geltungsbereich massiv, definiert explizite OT-Sicherheitsmaßnahmen und erhöht die Strafen erheblich. Der wichtigste Unterschied: NIS2 erfasst viele mittelständische Industrieunternehmen erstmals.
Bis wann muss NIS2 in Deutschland umgesetzt sein?
Das NIS2UmsuCG ist seit Oktober 2024 in Kraft. Unternehmen sind ab diesem Zeitpunkt verpflichtet, die Anforderungen zu erfüllen. Das BSI hat angekündigt, Übergangsfristen für spezifische technische Maßnahmen zu definieren. Warten Sie aber nicht auf Übergangsfristen - starten Sie mit der Gap-Analyse jetzt.
Muss ich als NIS2-Einrichtung OT-Systeme beim BSI registrieren?
Wesentliche und wichtige Einrichtungen müssen sich beim BSI registrieren und Kontaktdaten hinterlegen. Die Registrierung schließt eine Beschreibung der betriebenen OT-Systeme ein, wenn diese zur kritischen Dienstleistungserbringung genutzt werden. Das BSI stellt ein Online-Registrierungsportal bereit.
Fazit: NIS2 als Treiber für OT-Sicherheitsinvestitionen
NIS2 schafft den regulatorischen Rahmen, den viele Unternehmen als Treiber für längst fällige OT-Sicherheitsinvestitionen nutzen sollten. Die Anforderungen sind anspruchsvoll, aber mit einem strukturierten Ansatz und anerkannten Rahmenwerken wie IEC 62443 erreichbar.
Beginnen Sie mit der Betroffenheitsanalyse und Gap-Analyse. Dokumentieren Sie alles. Und nutzen Sie NIS2 als Anlass, OT-Sicherheit auf die Vorstandsagenda zu bringen.
Erfahren Sie mehr über unsere OT-Sicherheitsservices und NIS2-Compliance-Unterstützung für deutsche Unternehmen.
[INTERNAL-LINK: IEC 62443 Standard → Was ist IEC 62443?]
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.