Illustration Absmeier ki

Die NIS2-Richtlinie verschärft die Anforderungen an die Cybersicherheit in kritischen Infrastrukturen – und das aus gutem Grund. Mit zunehmender Digitalisierung und Vernetzung industrieller Organisationen reichen die Auswirkungen von Cybervorfällen weit über klassische Datenverluste hinaus. Sie können essenzielle Dienste beeinträchtigen, die öffentliche Sicherheit gefährden und sich entlang ganzer Lieferketten auswirken.

Viele Organisationen machen dabei jedoch denselben Fehler. Sie setzen auf technische Lösungen, ohne vorher geeignete Strukturen und Prozesse zu etablieren. Gerade in industriellen Umgebungen greift dieser Ansatz zu kurz. Wer die Gründe dafür versteht, erkennt auch den wirksameren Weg zu NIS2-Konformität und robuster OT-Sicherheit.

Menschen, Prozesse, Technologie

In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) konkrete Hinweise zur Umsetzung der NIS2 Richtlinie veröffentlicht. In der Praxis zeigt sich, dass Aufsichtsbehörden organisatorische Strukturen und klar festgelegte Verantwortlichkeiten als Grundlage der Umsetzung betrachten. Darauf aufbauend gewinnen dokumentierte Prozesse an Bedeutung. Technische Maßnahmen entfalten ihre Wirksamkeit erst im Zusammenspiel mit diesen organisatorischen und prozessualen Voraussetzungen.

Das ist entscheidend, weil NIS2-Prüfungen nicht bei einzelnen technischen Maßnahmen ansetzen. Im Mittelpunkt der Bewertung stehen zunächst Organisation und Abläufe. Zuständigkeiten müssen klar geregelt sein, Verfahren müssen dokumentiert vorliegen und das Unternehmen muss nachvollziehbar darstellen, wie es Risiken im Bereich der Betriebstechnologie steuert.

Dabei wird eine grundlegende Realität oft unterschätzt. IT- und OT-Systeme sind unterschiedliche Bereiche, die unterschiedliche Expertise, unterschiedliche Ansätze und unterschiedliche organisatorische Strukturen erfordern. Beide Bereiche unterscheiden sich deutlich in Anforderungen, Arbeitsweisen und Fachwissen. Man kann dies an Bürocomputern im Vergleich zu industriellen Steuerungssystemen und den damit verbundenen Cyberbedrohungen und Risiken für das Unternehmen erkennen. Ein Sicherheitsvorfall in einer Produktionsanlage erfordert unmittelbares operatives Verständnis, das IT-Sicherheitsteams in dieser Form nicht haben. Umgekehrt gilt das ebenso.

Der Aufbau einer geeigneten Organisationsstruktur umfasst u.a.:

dedizierte OT-Sicherheitsfunktionen mit ausgewiesener Expertise in operativer Technologie
klar abgegrenzte Zuständigkeiten für IT- und OT-Sicherheit
definierte Eskalationswege, die sowohl Cyberrisiken als auch operative Auswirkungen berücksichtigen
eine enge, funktionsübergreifende Abstimmung zwischen Sicherheits- und Betriebsteams

Sobald diese organisatorische Basis geschaffen ist, lassen sich darauf wirksame Prozesse aufbauen:

Verfahren zur Risikoanalyse, die sich an realistischen OT-Bedrohungsszenarien orientieren
Incident-Response-Abläufe, die Sicherheitsaspekte ebenso wie Arbeitssicherheit und Produktionskontinuität berücksichtigen
Bewertungen der Lieferkettensicherheit, insbesondere im Hinblick auf den Fernzugriff von Dienstleistern
Workflows für das Schwachstellenmanagement, bei denen operative Auswirkungen priorisiert werden

Erst dann entfaltet Technologie ihre volle Wirkung. Sind die richtigen Menschen und Prozesse etabliert, lassen sich technische Lösungen so einsetzen, dass sie die Sicherheitslage tatsächlich stärken und nicht nur formale Compliance Anforderungen erfüllen.

Warum IT-Sicherheit nicht ausreicht

Artikel 21 der NIS2-Richtlinie verpflichtet Organisationen dazu, Cybersicherheitsmaßnahmen umzusetzen, die ihrem jeweiligen Risikoniveau angemessen sind. Dazu zählen u.a. Richtlinien zur Risikoanalyse, Incident-Response-Pläne, Maßnahmen zur Absicherung der Lieferkette, ein wirksames Schwachstellenmanagement sowie grundlegende Cyberhygiene. Artikel 23 ergänzt diese Anforderungen um ein gestuftes Melderegime für Sicherheitsvorfälle: Innerhalb von 24 Stunden ist eine erste Frühwarnmeldung abzugeben, nach 72 Stunden eine weitergehende Meldung mit zusätzlichen Details und spätestens innerhalb eines Monats ein Abschlussbericht.

Kommt es zu einem Sicherheitsvorfall im OT-Umfeld, zählt vor allem sofortige Transparenz. Es muss klar sein, ob sicherheitskritische Systeme beeinträchtigt wurden, ob Angreifer auf operative Störungen hinarbeiten, welche industriellen Protokolle betroffen sind und welche betrieblichen sowie potenziell physischen Auswirkungen zu erwarten sind. Klassische IT-Sicherheitswerkzeuge sind für diese Fragestellungen in der Regel nicht ausgelegt. Sie können industrielle Protokolle nur eingeschränkt interpretieren, bilden den operativen Kontext von Änderungen an speicherprogrammierbaren Steuerungen (SPS) nicht ab und liefern keine belastbaren Erkenntnisse zu Bedrohungsakteuren, die gezielt industrielle Steuerungssysteme angreifen.

Genau deshalb sind organisatorische Strukturen und Prozesse so entscheidend. Erforderlich sind klar verankerte Verantwortlichkeiten und Kompetenzen mit spezifischem OT-Fachwissen, dokumentierte Abläufe, die operative Rahmenbedingungen berücksichtigen, sowie Risikobewertungen, die die industrielle Realität widerspiegeln und nicht auf generischen IT-Sicherheitsmodellen beruhen.

Mehr als Compliance: NIS2 richtig verstehen

Bei der Umsetzung von NIS2 geht es um mehr als reine Compliance. Es geht um strategische Entscheidungen zur OT-Sicherheit. Werden Organisationsstrukturen und Prozesse sauber definiert, entsteht eine tragfähige Grundlage, auf der technische Maßnahmen wirksam umgesetzt werden können.

Kai Thomsen, Strategic Outreach Lead Intelligence and Services Organization bei Dragos

746 Artikel zu „NIS2“

News | Industrie 4.0 | IT-Security | Services | Tipps

NIS2 als Wettbewerbsvorteil: Von der Pflicht zur Proaktivität

14. April 2026

Viele Unternehmen unterschätzen ihre Betroffenheit durch NIS2 – und überschätzen zugleich ihre eigene Cyberabwehr, obwohl die Zahl erfolgreicher Angriffe steigt. Warum die Richtlinie weit mehr ist als eine Compliance‑Pflicht und wie sie zum strategischen Hebel für stabile Produktion, klare Verantwortlichkeiten und mehr Vertrauen in der Lieferkette werden kann. Wer OT‑Cybersicherheit proaktiv denkt, verschafft sich nicht…

Jetzt 25 % Ticketrabatt für »manage it« Leser

Menschen, Prozesse, Technologie

Warum IT-Sicherheit nicht ausreicht

Mehr als Compliance: NIS2 richtig verstehen

746 Artikel zu „NIS2“