Illustration Absmeier foto freepik ki

Viele Unternehmen unterschätzen ihre Betroffenheit durch NIS2 – und überschätzen zugleich ihre eigene Cyberabwehr, obwohl die Zahl erfolgreicher Angriffe steigt. Warum die Richtlinie weit mehr ist als eine Compliance‑Pflicht und wie sie zum strategischen Hebel für stabile Produktion, klare Verantwortlichkeiten und mehr Vertrauen in der Lieferkette werden kann. Wer OT‑Cybersicherheit proaktiv denkt, verschafft sich nicht nur regulatorische Sicherheit, sondern einen echten Wettbewerbsvorteil.

»48 Prozent der potenziell betroffenen Unternehmen erkennen ihre regulatorische Rolle unter NIS2 noch gar nicht. Bei umsatzstarken kleineren Betrieben mit 10 bis 49 Mitarbeitenden schätzen sogar neun von zehn ihre Lage falsch ein. Gleichzeitig ordnen 65 Prozent ihre eigene Abwehrbereitschaft als gut oder sehr gut ein, obwohl bereits deutschlandweit jedes fünfte Unternehmen einen erfolgreichen Cyberangriff erlebt hat.[1] Dazu kommt eine weitere Zahl mit Sprengkraft: Rund 29.000 Organisationen in Deutschland fallen nach Einschätzung von TÜV SÜD unter die neuen NIS2-Pflichten, viele davon ohne ausreichende Vorbereitung.[2] Zwei Wochen vor Ablauf der Frist am 6. März 2026 hatten sich aber lediglich 4.856 wichtige und besonders wichtige Einrichtungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren lassen – damit ist nicht einmal jedes sechste meldepflichtige Unternehmen seiner Pflicht nachgekommen.[3]«

Lücke zwischen Pflicht und Praxis

»Genau in dieser Lücke zwischen Selbstbild und Realität liegt für regulierte Industrie die eigentliche Bruchstelle, aber auch eine große Chance. Die Richtlinie (EU) 2022/2555 (NIS2) markiert eine umfassende Überarbeitung der EU-Vorgaben zur Netz- und Informationssicherheit, um wachsenden Cyberbedrohungen für kritische Infrastrukturen zu begegnen. Im Vergleich zu NIS1-Richtlinie von 2016 erweitert sie den Geltungsbereich auf 18 Sektoren mit einem »Size-Cap«-Ansatz: Automatisch betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz.[4] Diese niedrige Registrierquote macht deutlich, dass trotz klarer gesetzlicher Frist und umfangreicher Informationskampagnen viele Unternehmen entweder ihre Betroffenheit noch nicht durchschauen oder sie nicht ernst nehmen.«

Strategischer Hebel statt juristischer Pflichtübung

»Für Betriebsleiter, IT- und OT-Verantwortliche sowie Entscheider in regulierten Industrien ergibt sich daraus eine klare thematische Positionierung: NIS2 taugt nicht als juristische Fleißaufgabe für das Regal, sondern als strategischer Hebel für robustere Produktion, schnellere Reaktion und mehr Vertrauen im Markt. Wer NIS2 nicht nur als Pflichtenkatalog, sondern als Anlass für mehr Transparenz im eigenen Betrieb versteht, stärkt seine Handlungsfähigkeit im Alltag. Genau darin steckt die Kernbotschaft: Proaktive OT-Cybersicherheit schützt nicht allein vor Sanktionen, sondern verbessert auch die Wettbewerbsposition. Gleichzeitig verschiebt sich der Fokus weg von rein technischen Maßnahmen hin zu einer betrieblichen Gesamtverantwortung: Cybersecurity entwickelt sich von einer IT-Disziplin zu einer Managementaufgabe mit direktem Einfluss auf Produktionsstabilität und Lieferfähigkeit.«

Was NIS2 operativ wirklich verlangt

»NIS2 fordert keine symbolischen Maßnahmen, sondern ein belastbares Risikomanagement. Das BSI benennt für regulierte Unternehmen unter anderem Sicherheitsmaßnahmen, Meldepflichten und Registrierungspflichten – ergänzt durch den verbindlichen Katalog aus Artikel 21 der Richtlinie. Die europäische Richtlinie verlangt zudem einen All-Gefahren-Ansatz für technische, operative und organisatorische Maßnahmen, darunter Risikoanalyse, Icident Handling, Business Continuity, Lieferkettensicherheit, Sicherheitslückenmanagement, Schulungen und den Einsatz geeigneter Verfahren zur Bewertung der Wirksamkeit. Damit rückt Cybersecurity direkt in die operative Verantwortungsebene. Für Produktionsunternehmen bedeutet das: Sicherheitsfragen gehören nicht mehr an den Rand der Organisation, sondern direkt in Leitstand, Instandhaltung und Betriebsführung. Entscheidungen über Sicherheit beeinflussen unmittelbar die Stabilität von Anlagen und Prozessen. Gleichzeitig entsteht eine besondere Herausforderung: Sicherheitsmaßnahmen dürfen Produktionsprozesse nicht beeinträchtigen. Anders als in der IT steht in der OT nicht Vertraulichkeit, sondern Verfügbarkeit im Vordergrund.«

Wo in der OT der größte Schaden entsteht

»Gerade in regulierten Industrien entsteht der größte Schaden oft nicht durch Datendiebstahl allein, sondern durch Stillstand, Qualitätsverlust, unsichere Betriebszustände und Lieferprobleme. Genau deshalb greift ein rein formaler Compliance-Ansatz zu kurz. Ein Auditordner beruhigt keinen Leitstand. Eine Checkliste verhindert keine unentdeckte Anomalie im Produktionsnetz. Ein Prozess entfaltet nur dann Wirkung, wenn im entscheidenden Moment jemand die Lage schnell einordnen und sicher handeln kann. Hinzu kommt ein strukturelles Problem: Produktionsumgebungen wachsen oft über Jahrzehnte. Moderne Systeme treffen auf Altanlagen, die ursprünglich für isolierte Netzwerke konzipiert wurden. Durch zunehmende Vernetzung über Fernwartung, Datenplattformen und Leitsysteme erweitert sich die Angriffsfläche erheblich.«

Baustein einer proaktiven NIS2-Strategie

»An dieser Stelle passt IRMA® inhaltlich gut in eine proaktive NIS2-Strategie. Das System unterstützt die organisatorische Einbindung zur Erkennung von Angriffen auf informationstechnische Systeme und orientiert sich an Empfehlungen für Monitoring und Anomalieerkennung in Produktionsnetzwerken. Es ermöglicht zudem eine kontinuierliche Analyse des Kommunikationsverhaltens von Maschinen, Steuerungen und industriellen Komponenten und schafft damit erstmals eine belastbare Transparenz über OT-Strukturen. Ein entscheidender Vorteil liegt in der passiven Arbeitsweise: IRMA® greift nicht aktiv in Netzwerkkommunikation ein, erzeugt keine zusätzliche Last und analysiert Daten ausschließlich lokal im Kundennetz. Es erfolgt keine Cloud-Auswertung und keine externe Datenübertragung. Das System richtet sich bewusst nicht ausschließlich an Security-Experten. Auch Leittechniker und andere Fachkräfte ohne tiefen Security-Hintergrund erhalten eine verständliche Sicht auf die Bedrohungslage. Eine übersichtliche Darstellung des Bedrohungslevels erleichtert die Einordnung und beschleunigt Entscheidungen im laufenden Betrieb. So rückt OT-Sicherheit aus der Nische einzelner Spezialisten heraus und entwickelt sich zur Teamaufgabe im Unternehmen.«

Differenzierungsmerkmal entlang der Lieferkette

»Gerade deshalb taugt NIS2 als Differenzierungsmerkmal im Markt. Viele Unternehmen diskutieren noch, ob sie betroffen sind. Andere verlassen sich auf ihr gutes Gefühl. Wieder andere behandeln Cybersecurity nur als kleines Spezialthema für externe Berater. Wer dagegen schon heute Strukturen schafft, Zuständigkeiten klärt und die OT-Mannschaft in die Lage versetzt, Bedrohungen sicher einzuordnen, verschafft sich einen Vorsprung. Dieser Vorsprung zeigt sich nicht erst im Audit, sondern schon vorher: in stabileren Prozessen, souveränen Entscheidungen und höherer Glaubwürdigkeit entlang der Lieferkette. OT-Security entwickelt sich damit von einem reinen Schutzmechanismus zu einem strategischen Bestandteil moderner Produktion. NIS2 markiert damit keinen Endpunkt, sondern einen Startpunkt. Die Richtlinie zieht eine klare Linie unter die alte Haltung, nach der Cybersecurity erst nach einem Vorfall volle Aufmerksamkeit erhält.

Tim Karnau

Tim Karnau ist Leiter Vertrieb der Business Unit OT Networks & OT Security bei der VIDEC Data Engineering GmbH. Mit über 30 Jahren Erfahrung in der industriellen Kommunikation und OT-Sicherheit unterstützt er produzierende Unternehmen dabei, Ihre Netzwerke robuster, sicherer und transparenter zu machen. Zuvor war er langjähriger Geschäftsführer der PROCENTEC GmbH und gilt als ausgewiesener Experte für PROFIBUS.

Weitere Informationen finden Sie unter www.videc.de/security .

[1] https://schwarz-digits.de/publikationen/cyber-security-report

[2] https://www.tuev-verband.de/fileadmin/user_upload/Content_local/Studien_local/2025_TUEV-Verband_Cybersecurity-Studie_Studienbericht.pdf

[3] https://www.it-business.de/nis2-unternehmen-versaeumen-meldung-beim-bsi-a-c0ada35b54cc8f728095bf0d49b8aeef/

[4] https://schwarz-digits.de/publikationen/cyber-security-report

743 Artikel zu „NIS2“

News | IT-Security | Kommentar | Services | Tipps

NIS2 im Microsoft-365-Umfeld: Wenn Cloud-Produktivität zur Sicherheitsarchitektur wird

1. April 2026

Kommentar von Umut Alemdar, Senior Vice President Cybersecurity bei Hornetsecurity by Proofpoint »Ein kompromittiertes Benutzerkonto, das innerhalb weniger Minuten die interne Kommunikation übernimmt. Phishing-Links, die sich über Teams verbreiten. Dokumente, auf die plötzlich niemand mehr zugreifen kann. Solche Vorfälle sind längst kein Ausnahmefall mehr. Sie zeigen vor allem eines: Wie abhängig Geschäftsprozesse heute von cloudbasierten…

Jetzt 25 % Ticketrabatt für »manage it« Leser