Sind Sie wirklich für NIS 2 geeignet – und was bedeutet das für Ihren Fertigungsbetrieb?
Für Hersteller der NACE-Codes C26–C30 (Hersteller von Elektronik, Maschinen, Fahrzeugen, Batterien und fortschrittlicher Ausrüstung) ist die NIS-2-Konformität eine betriebliche Realität – wenn nicht heute, dann im nächsten großen Vertragszyklus. Die Schwelle ist nicht nur die Unternehmensgröße oder der Umsatz (≥50 Mitarbeiter, 10 Mio. €+ Umsatz), sondern die Rolle des Sektors in Europas kritischer wirtschaftlicher und gesellschaftlicher Infrastruktur. Wenn Ihr Unternehmen oder Ihre Gruppe eine regulierte Kategorie berührt – Halbleiter, kritische Fahrzeugsysteme, Batterien, Robotik oder industrielle Automatisierung –, gilt die „wichtige Einheit“-Kriterien wahrscheinlich in vollem Umfang. Dies bringt Aufsichtspflichten, Sorgfaltspflichten in der Lieferkette, detaillierte Vorfallsberichting und geht über klassische „Cyber“-Ereignisse hinaus und umfasst jegliche Betriebsstörungen mit digitalem Ursprung.
Wie prägen Konzernstrukturen, Tochtergesellschaften oder paneuropäische Lieferketten Ihre Aufgaben?
Die Aufsichtsbehörden interessieren sich für Ihren Konzern als Ganzes, nicht nur für die Berichte Ihrer lokalen Niederlassung oder einzelner Tochtergesellschaften. Mitarbeiterzahl, Umsatz und konzernweite Aktivitäten werden geprüft. Dabei wird jede Organisation ins Visier genommen, die versucht, Teile abzutrennen, um unter den Schwellenwert zu fallen. Wenn Sie in mehreren EU-Mitgliedsstaaten oder innerhalb einer globalen Muttergesellschaft tätig sind, müssen Sie damit rechnen, dass die regulatorischen Erwartungen konzernweit den höchsten Standards entsprechen. Die Wahl der Lieferanten und Partner birgt gleichermaßen Risiken in Ihrem Bereich: Die ENISA weist darauf hin, dass kein Papierkram Sie vor Fehlern schützen kann, wenn ein in den Geltungsbereich fallender Lieferant versagt oder Abstriche macht.
Warum jetzt die Schnellbereitschaft beschleunigen?
Geschwindigkeit ist mehr als nur eine Frage des „Abhakens“. Einkäufer in der Automobil-, Energie- und Elektronikbranche verlangen zunehmend NIS-2-konforme Nachweise, bevor sie einen Vertrag unterzeichnen. Dabei bevorzugen sie vorab qualifizierte, zuverlässig konforme Partner. Dies wirkt sich nicht nur risikomindernd, sondern auch kommerziell beschleunigend aus.
Warum die Cyber-Bedrohungslage für die Fertigungsindustrie zunimmt – und warum eine saubere Weste nicht ausreicht
Im Gegensatz zu weniger integrierten Branchen sehen sich Hersteller mit Gegnern konfrontiert, die entschlossen sind, ganze Lieferketten zu unterbrechen, wertvolle Opfer zu erpressen oder kompromittierte Systeme für größere geopolitische Vorteile zu nutzen. Veraltete OT-Umgebungen, ungepatchte Automatisierung, verwaiste Entwickler-Laptops und globale Lieferantenintegrationen schaffen unbekanntes Terrain für Verteidiger und Angreifer. Die Realität: Angreifer nutzen fortschrittliche Aufklärung, unvorbereitete Taktiken und Geduld – und lauern oft monatelang unentdeckt, bevor sie einen Angriff auslösen.
Warum ist das Drittparteirisiko nicht mehr „ihr Problem“?
Ein kompromittierter Lieferant kann nun zu Ausfallzeiten, behördlichen Untersuchungen oder sogar obligatorischen Produktionsstopps führen. NIS 2 verlangt von Ihnen, dass Sie nicht nur intern Best Practices einhalten, sondern auch, dass kritische Lieferanten und Dienstleister dies tun – mit schriftlichen Aufzeichnungen. Buchungsprotokolleund Eskalationspfade. Ein Ausfall in einem Werk oder bei einem Partner kann sich schnell ausbreiten und rechtliche, finanzielle und rufschädigende Folgen über Märkte und Grenzen hinweg nach sich ziehen.
Warum stehen Brownfield- und Mixed-Tech-Anlagen im Fadenkreuz?
Ältere Fabriken, ein „Tech-Stack-Suppe“ und überstürzte digitale Upgrades erhöhen das Risiko: inkompatible Patches, schwer inventarisierbare Geräte, Mitarbeiter, die eigene Workarounds entwickeln, und eine starke Abhängigkeit von menschlichen Verfahren. Diese Schwachstellen sind kein Todesurteil, wenn sie gemanagt, inszeniert und mit Beweisen eskaliert werden. NIS 2 akzeptiert schrittweise Verbesserungen – solange jedes Risiko einen dokumentierten Eigentümer und einen Sanierungsplan hat.
Bottom line: Ein leerer Vorfallbericht verspricht weniger Komfort. Was zählt, ist die Live-Identifizierung, Dokumentation und Verwaltung von Risikopfaden.
Auditfähige Rückverfolgbarkeitstabelle
| Auslösen | Risiko-Update | Steuerungs-/SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Lieferantenverletzung | ergänzen Gefahrenregister | 5.19 | Störungsmeldung, Vertragsprüfung |
| Ungepatchte Firmware | OT-Sicherheitslücken-Update | 8.8 | Patch-Tracker, Risikobegründung |
| Verdacht auf Phishing | Interne Vorfallsüberprüfung | 5.25 | SIEM-Alarm, Aktionsprotokoll |
| Brownfield-IP-Leck | Anlagenbestand/-kategorie. | 8.1, 8.22 | Karte, Eigentümer, Schließungsfrist |
Bei echter Resilienz geht es weniger um das Fehlen von Schlagzeilen, sondern vielmehr um sichtbares Management in Echtzeit und eine live aufgezeichnete, schrittweise Risikominderung.
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Was hat sich beim NIS 2-Risikomanagement und der Vorfallreaktion für die Fertigung geändert?
Statische Compliance ist veraltet. NIS 2 verlangt von Herstellern die Pflege lebendiger, rollenzugeordneter und dynamisch dokumentierter Risikomanagement und Vorfallreaktion Systeme. Vorstandsgenehmigungen, regelmäßige Szenarioübungen und Echtzeitberichte haben die Überprüfungen am Jahresende ersetzt. Bedeutende Vorfälle – alle Ereignisse, die die Produktion, Verträge, rechtliche Verpflichtungen oder die Sicherheit gefährden – müssen nun innerhalb von 24 bis 72 Stunden in beweisgestützter, für die Aufsichtsbehörde zugänglicher Form gemeldet werden.
Wichtige Veränderungen in der Praxis
- Kontinuierliches Risikoregister: Wird bei jeder Produktions-, Lieferanten- oder Technologieänderung aktualisiert. Das Register muss aktuelle und neu entstehende Risiken widerspiegeln und durch die Genehmigung des Vorstands und regelmäßige Überprüfungen untermauert werden.
- Spielbücher für lebende Vorfälle: Keine generischen Krisenordner mehr. Die Verfahren müssen das tatsächliche Spiel, die Proben des Personals, Übungen und lessons learned- mit Zeitstempel versehen und für die Prüfung abrufbar.
- Dokumentierte Rollen für Benachrichtigung/Eskalation: Eine Vertretung bei Feiertagen, Nachtschichten und Personalfluktuation ist zwingend erforderlich.
Beispiel: Rückverfolgbarkeitstabelle für Anlagen-/Ereignisbenachrichtigungen
| Anlage/Ereignis | Eigentümerrolle | Meldepflicht | Eskalationspfad | Beweise protokolliert |
|---|---|---|---|---|
| SCADA OT-Ausfallzeit | Betriebsleiter | 24 Stunden bis CSIRT | Ops > Vorstand > CSIRT | Ausfallprotokoll, Benachrichtigung. |
| Lieferantenverletzung | Lieferantenleitung | Schnelle Überprüfung | Recht > CISO | Benachrichtigungsemail |
| IT-Ransomware | Sicherheitsoperationen | IT-Eskalation | CISO > Vorstand | SIEM-Aufzeichnung, Ticket |
| Schwerer Vorfall | KKV | 72 Stunden bis zum Regulator | Vorstand > Regler | Vorfallsbericht |
Was ist „genug“ für prüfungsreife Nachweise?
- Gefahrenregister zeigt, wann, warum und von wem jede Änderung vorgenommen wurde.
- Live-getestetes Vorfall-Playbook (letzte Übung, Szenario, Teilnehmer).
- Prüfbare Protokolle für alle Vorfälle (einschließlich Versuche), nicht nur für erfolgreiche Angriffe.
Hinweis: Versuchte Vorfälle sind keine formellen Meldungen, müssen aber protokolliert, klassifiziert und überprüft werden. Die Dokumentation ist ebenso wichtig wie Vorfallreaktion.
Überbrückung von Legacy-OT und moderner IT für echte NIS 2-Konformität: Anlageninventar und Lückenmanagement
Perfektion ist nicht das Maß aller Dinge – glaubwürdige, schrittweise und dokumentierte Verbesserungen schon. Hersteller können selbst bei Altanlagen und komplexen Brownfield-Betrieben die Vorschriften einhalten, solange jede kritische Anlage abgebildet, jede Ausnahme begründet und die Verantwortung für die Schließung zugewiesen wird.
Digitales Inventar: Erforderlich, nicht unpraktisch
Eine perfekte Datenbank ist nicht erforderlich, Sie müssen jedoch eine regelmäßig aktualisierte Karte kritischer Anlagen und ein Risikoregister führen und darin vermerken, was nicht digitalisiert werden kann und warum. Lückenprotokolle, Papierkontrollen und schrittweise Upgrades sind für Anlagen mit langsamer Modernisierung zulässig.
OT/IT-Asset-Control-Mapping-Tabelle
| Vermögenswert | Risiko | Mindestaktion | Anhang A Ref |
|---|---|---|---|
| PLC | Malware/Sperre | Netzwerkzone, physische Isolation | 8.20,8.22 |
| Dateiserver | Ransomware/IP | MFA/Protokollierung | 8.5, 7.10 |
| Air-Gap-SCADA | Insider-Bedrohung | Zugriffsprotokolle, Schlüsselkontrolle | 7.3, 7.4 |
| VPN-Gateway | Lieferkette | Lieferanten-ISO-Prüfung, MFA | 5.19,8.31 |
Können physische Kontrollen digitale Lücken ausgleichen?
Bis zur vollständigen digitalen Aktualisierung sind physische Kontrollen (abschließbare Schränke, Besucherprotokolle in Papierform) gültig – sofern sie durchgesetzt und dokumentiert werden. NIS 2 verlangt Transparenz, Begründung und Verbesserungsfortschritt – keine Ausreden.
Eine schrittweise, gerechtfertigte Verbesserung mit integrierten Abschlüssen und Verantwortlichkeit wird immer wichtiger sein als eine Verbesserung, die auf dem Papier perfekt ist, in der Praxis jedoch vernachlässigt wird.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Warum ist die Sorgfaltspflicht in der Lieferkette jetzt einsatzbereit – und wie viele Beweise sind ausreichend?
NIS 2 erweitert die Supply-Chain-Governance über traditionelle Lieferantenprüfungen hinaus. Sie müssen nun jeden kritischen Lieferantenvorfall, jede Statusänderung, jede Vertragsausnahme und jede fehlgeschlagene Compliance-Maßnahme aktiv verfolgen, dokumentieren und eskalieren. Vierteljährliche Risikoprüfungen sind für kritische Lieferanten ein Minimum. Jeder fehlgeschlagene Nachweis, jede Prozessänderung oder jeder Vorfall muss registriert, das neue Risiko erläutert und den zuständigen Verantwortlichen zur Bearbeitung oder Genehmigung zugeordnet werden.
Trigger-Tabelle für die Sorgfaltspflicht in der Lieferkette
| Auslösen | Aktualisierung des Risikoregisters | Steuerungs-/SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Datenleck beim Lieferanten | Risikoeintrag, -bewertung | 5.19, 8.29 | Inc.-Protokoll, Benachrichtigungs-E-Mail |
| Gescheiterter Vertrag | Eskalation, Neuvertrag | 5.20, 5.21 | Protokolle, Kommunikation |
| Compliance-Verweigerung | Risikoakzeptanz/Risikominderung | 2.1,8.2 | Board-Notizen, Dateiprotokoll |
| Lieferantenprozessänderung | Risiko aktualisieren/kategorisieren | 6.1, A5 | Gefahrenregister |
| Status-Upgrade (auf NIS 2) | Umklassifizierung, benachrichtigen | 5.22, 8.23 | Lieferantendatei |
Verfolgen, bewerten und dokumentieren Sie die Eskalation jeder fehlgeschlagenen Prüfung oder Prozessänderung. Die Aufsichtsbehörden erwarten heute ein lebendiges Protokoll dieser Austausche ohne Lücken bei der Prüfung durch das Gedächtnis.
Welche ISO/IEC-Standards entsprechen NIS 2 – und wie schließen Sie standardübergreifende Lücken in der Fertigung?
ISO 27001 und IEC 62443 übernehmen einen Großteil der Schwerstarbeit – wenn Ihr Steuerungssystem nicht nur ein SoA auf Papier ist, sondern ein digitalisiertes, versioniertes und aktiv aktualisiertes Framework. Die neuen Branchenrichtlinien der EU fordern kontinuierliche Aktualisierungen der Anwendbarkeitserklärung (SoA): Live-Mapping, Rollenzuweisung und Verfolgung aller Lücken in Echtzeit.
ISO/NIS 2 Brückentabelle (kompakt)
| NIS 2 Artikel | Was Sie zeigen müssen | ISO/Anhang A Ref |
|---|---|---|
| Artikel 21 | Risikoregister, Aktualisierungsprotokoll, Nachweise | 6.1, A5.7, A8.2 |
| Artikel 23 | Rollen festlegen, benachrichtigen, Antworten verfolgen | A5.24, A5.26 |
| Supply Chain | Nachweis der Sorgfaltspflicht | 5.19-5.21, 8.29 |
| Bestandsaufnahme | OT/IT abbilden, Legacy-Lücken erklären | 8.9, 8.10, A8.1 |
| Audit/Nachweis | Testpfade, Verknüpfen von Datensätzen mit Ereignissen | 9.2, 9.3, A8.15 |
Rückverfolgbarkeitstabelle: Beispiel
| Auslösen | Risikoregister | Steuerung/SoA | Beweisbar |
|---|---|---|---|
| Lieferantenvorfall | Ja | 5.19 | Vorfallprotokoll, Planke |
| OT-Asset nicht patchbar | Ja | 8.8 | Begründung, Protokoll |
| Prozessänderung im Angebot | Ja | 6.1 | Risiko-Update, E-Mail |
Bedenken Sie: Eine ehrliche Lücke mit geplanter Schließung wird von Prüfern unbegründeten Behauptungen einer „vollständigen Einhaltung“ vorgezogen.
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Wie sehen ausreichende, „auditfähige“ Nachweise für einen Hersteller gemäß NIS 2 tatsächlich aus?
Die Auditbereitschaft entwickelt sich von „gut organisierten Dateien“ hin zu einer täglichen Gewohnheit der Beweisprotokollierung, Rollenzuweisung und Versionsprüfung. Prüfer und Aufsichtsbehörden erwarten heute: lebendige Änderungs- und Risikoregister, versionierte, abrufbare Vorfall- und Lieferkettenaufzeichnungen; Prüfpfads für jede geltend gemachte Kontrolle, Genehmigung und Abhilfemaßnahme sowie zugängliche, mit Zeitstempel versehene Protokolle – wenn möglich digital, für Altanlagen sind jedoch vorübergehend auch physische Protokolle zulässig.
Was genügt einer externen Überprüfung?
- Risikoregister mit Angaben dazu, wer/was/wann und warum Änderungen vorgenommen wurden.
- Live, versionskontrolliert Vorfallprotokolle und Spielbücher.
- „Pull-ready“-unterstützende Datensätze: Richtlinienpakete, Schulungsprotokolle, SoA-Trails.
- Planmäßige und stichprobenartige Auditparität: Die Bereitschaft muss kontinuierlich gewährleistet sein.
Audit-ready ist keine Datei, sondern ein System. Lebendig, mit Querverweisen versehen, abrufbar und von jeder Rolle, von der Fabrikhalle bis zum Vorstand, als vertrauenswürdig eingestuft.
Compliance vom Aufwand zum Vorteil machen – Wie ISMS.online die Widerstandsfähigkeit der Fertigung stärkt
Für Hersteller, die mit fragmentierten Tabellen, unzusammenhängenden Vorfallprotokollen und zusammengewürfelten Risikoregistern zu kämpfen haben, kann Compliance eher eine Belastung als ein Wettbewerbsvorteil sein. Mit der richtigen Plattform – die alles vereint, von Richtlinien und Kontrollen bis hin zu Asset Mapping, Risikoregistermanagement, Vorfall-Triage und Sorgfaltspflicht in der Lieferkette – wird Compliance jedoch von einem kostspieligen, reaktiven Nachgedanken zu einem Wachstumskatalysator.
Mit ISMS.online reduzieren Hersteller routinemäßig Prüfungsvorbereitung Halbieren Sie die Zeit, beseitigen Sie Beweissilos und schaffen Sie Vertrauen bei Käufern und Aufsichtsbehörden. Automatisierte Erinnerungen, Richtlinieneinbindung, versionierte Nachweise und Lieferantenverfolgung werden in einem einzigen, aktiven Arbeitsbereich zusammengeführt. Dies beschleunigt das Onboarding in der Lieferkette, verkürzt Risikoeskalationszyklen und stellt sicher, dass Ihre Auditbereitschaft täglich unter Beweis gestellt – und nicht nur versprochen – wird.
Identitäts-CTA:
Sorgen Sie dafür, dass Ihr Team in der neuen Ära der Compliance in der Fertigung führend ist – und nicht hinterherhinkt: Audit-bereit, glaubwürdig für den Vorstand und bereit zum Erfolg, wenn NIS 2 seinen Einfluss auf den Sektor festigt.
KontaktHäufig gestellte Fragen (FAQ)
Wer fällt unter NIS 2 für die Fertigung als „wichtige Einheit“ – und bedeutet NACE C26–C30, dass Sie immer eingeschlossen sind?
Hersteller werden als „wichtige Einheit“ gemäß NIS 2 eingestuft, wenn ihre Betriebe oder ihr Hauptsitz unter die NACE-Codes C26–C30 fallen – die Elektronik, elektrische Geräte, Maschinen, Fahrzeuge und Transportausrüstung abdecken – und die Gruppe die entweder dieser Kriterien: mindestens 50 Mitarbeiter oder Jahresumsatz/übersteigt 10 Mio. €Was sich unter NIS 2 ändert: Der Test erfolgt bei der Gruppenebene über alle EU-Tochtergesellschaften hinweg, nicht nur über eigenständige juristische Personen. Selbst wenn jedes einzelne Werk unter dem Schwellenwert liegt, kann ein multinationaler Konzern mit mehreren kleinen Tochtergesellschaften nach der Zusammenlegung in den Geltungsbereich geraten. Ihre Positionierung in der Lieferkette ist ebenso wichtig – wenn Ihr Betrieb Komponenten an regulierte „systemrelevante Unternehmen“ (z. B. Energie, Gesundheit oder Finanzen) liefert, können Verträge oder Ausschreibungen die Einhaltung von NIS 2 verlangen, auch wenn Ihre Aufsichtsbehörde Sie noch nicht darauf hingewiesen hat [EU-Digitalstrategie – NIS 2].
Jeder Vertrag, jede Lieferantenerweiterung oder Akquisition kann Ihre Compliance-Grenzen verändern. Behandeln Sie sie als flexibel, nicht als starr.
Schnelle Einschlusstabelle für die Fertigung
| Situation | Im Rahmen? | Begründung |
|---|---|---|
| Eigenständiges Werk, über 50 Mitarbeiter | Ja | NIS 2 direkt, nach Größe/Umsatz |
| Gruppierte Subs, jeweils unter 50, insgesamt >50 | Ja | NIS 2 gilt auf EU-Konzernebene |
| Hauptlieferant für den systemrelevanten Sektor | Ja | Kritische Versorgungsfunktion löst Inklusion aus |
| Nicht-EU-Muttergesellschaft, EU-Tochtergesellschaft | Ja | Die Gerichtsbarkeit gilt für in der EU ansässige Unternehmen |
Wenn Ihre Konzernstruktur oder Ihr Kundenstamm dynamisch ist, sollten Sie Ihren Umfang kontinuierlich überprüfen. Die Aufsichtsbehörden erwarten dies von Ihnen mindestens einmal jährlich oder bei jeder größeren Geschäftsänderung.
Welchen Cyberbedrohungen sind Hersteller – insbesondere Brownfield- und angebotsorientierte Hersteller – unter NIS 2 am stärksten ausgesetzt?
Die Fertigungsindustrie ist ein Hauptziel für hochentwickelte Bedrohungsakteure. Brownfield-Standorte (Standorte, in denen alte Maschinen mit neuen digitalen OT/IT-Schichten kombiniert werden) und komplexe Lieferketten verstärken das Risiko zusätzlich. Zu den wichtigsten Risiken zählen:
- Veraltete ICS/PLC-Schwachstellen: Nicht patchbare oder nicht unterstützte Steuerungssysteme sind häufige Einstiegspunkte für Ransomware oder Remote-Exploits, was in der Praxis zu mehrtägigen Werksschließungen und Produktionsausfällen führt.
- Angriffe auf die Lieferkette: Kompromittierte Remote-Support-Tools, Laptops von Lieferanten, die Fertigungsnetzwerke infizieren, und infizierte Software-Updates können Schadsoftware verbreiten. Der Verstoß Ihres Lieferanten kann schnell zu einem Verstoß gegen die Vorschriften für Sie selbst werden.
- Geisteranlagen und schlechte Sichtbarkeit: Alte Computer oder vergessene Geräte können unentdeckte Hintertüren bieten, insbesondere wenn die Bestandsaufnahme hinter der Realität zurückbleibt.
- Menschen riskieren Social Engineering: Wartungspersonal, Auftragnehmer oder Leiharbeiter mit rotierendem Zugriff können Opfer von Phishing werden, was Angreifern einen Quereinstieg in die Produktionsumgebung ermöglicht.
Angreifer nutzen die am wenigsten sichere Verbindung aus. Manchmal ist das nicht Ihre Firewall, sondern ein Laptop eines Lieferanten oder ein übersehenes Gerät in einer Ecke der Fabrik.
Vorfälle, die Ihre Lieferanten oder Kunden betreffen und Ihre Kontinuität oder Ihren Datenfluss stören, gelten jetzt auch als Ihr Compliance-Problem gemäß NIS 2 [].
Welche Nachweise zu Risiken, Vorfallreaktionen und Vorstandsberichten müssen C26–C30-Hersteller für NIS 2 vorhalten?
Das Risikomanagement gemäß NIS 2 ist eine lebendige und keine statische Verpflichtung. Ihr Risikoregister ist nicht länger ein jährliches Artefakt: Es muss aktualisiert werden, wenn Vorfälle auftreten, sich Vermögenswerte ändern oder bedeutende Ereignisse bei Lieferanten eintreten. Dokumentieren Sie für jedes Risiko:
- Zugewiesener Eigentümer (nach Name/Rolle – nicht nur „IT“ oder „Compliance“)
- Datum der letzten Überprüfung/Version
- Dokumentierte Entscheidung oder Abschluss (nicht nur „abgeschlossen“, sondern warum/wie)
- Gespeicherte Aufzeichnung aller Eskalations- und Entscheidungspunkte (Audit-Trail der Benachrichtigungen)
- Nachweis der regelmäßigen Überprüfung und Freigabe durch den Vorstand
Für Reaktionspläne auf Vorfälle sind jetzt konkrete Beweise erforderlich: Benachrichtigungshandbücher mit Eskalationsfristen von 24 und 72 Stunden (Artikel 23) sowie Protokolle, die den tatsächlichen Verlauf eines Vorfalls veranschaulichen – von der lokalen Eskalation (vom Werk zum CISO) über den Vorstand/Berater bis hin zur Aufsichtsbehörde, falls erforderlich.
Beispiel: Für die Prüfung durch Vorstand und Aufsichtsbehörde erforderliche Nachweise
| Auslösen | Eigentümer | Eskalationspfad | Beweisbeispiele |
|---|---|---|---|
| Lieferantenvorfall | Lieferantenmanager | CISO → Regulierungsbehörde | Risikoregister, Kommunikationsprotokoll |
| Anlagenausfall | Vorgesetzter/Manager | CSIRT → Vorstand | SIEM-Alarm, Schichtprotokoll |
| Ransomware-Ereignis | Sicherheits-/IT-Leiter | CISO → Regulierungsbehörde/Vorstand | Vorfall-Handbuch, Dienstplan |
Führen Sie Ihre Dokumentation stets in Echtzeit oder nahezu in Echtzeit. Statische, jährliche Einreichungen stellen ein regulatorisches Risiko dar [].
Wie bringen Hersteller mit veralteter OT die NIS 2-Konformität mit der Praxis (und der Kontrolle durch die Aufsichtsbehörden) in Einklang?
Die Regulierungsbehörden sind sich bewusst, dass veraltete OT-Systeme nicht über Nacht gepatcht werden können. Was Prüfer wollen: eine glaubwürdige, Stufenfahrplan mit ehrlicher Ausnahmebehandlung und „Sprungbrett“-Kontrollen. Beweisen Sie, dass Sie:
- Führen Sie ein aktuelles Anlagenregister: (inkl. Teilinventar für Altlasten)
- Implementieren Sie kompensierende Kontrollen: wo Patching nicht praktikabel ist - manuelle Netzwerksegmentierung, Badge-Protokolle, Zugriffsschlüssel, geplante Überprüfungen
- Dokumentieren Sie schriftliche Ausnahmen: Geben Sie für jedes nicht geminderte Risiko detailliert an, warum, für wie lange und wann die Schließung/Behebung erfolgen soll, mit der Genehmigung des CISO oder des Vorstands.
- Überprüfen Sie die Kontrollen regelmäßig: Vierteljährlich/nach wesentlichen Änderungen – niemals nur jährlich
Ein sichtbarer, versionierter Verbesserungsplan ist wichtiger als das Versprechen sofortiger Fehlerbehebungen. Transparenz, nicht Perfektion, genügt dem Audit.
Indem Sie Absichten und Ausnahmen dokumentieren und Ihren Verbesserungsfahrplan mit dem Budget und der Vorstandsprüfung abstimmen, behalten Sie die Kontrolle über Ihren Compliance-Weg [].
Welche Aufzeichnungen zur Sorgfaltspflicht und Eskalation in der Lieferkette müssen Hersteller für ein NIS 2-Audit vorlegen?
NIS 2 macht Lieferantenrisiken zu einem versionierten Echtzeit-Datensatz – nicht zu einem Kontrollkästchen auf Onboarding-Formularen. Für jeden kritischen Lieferanten müssen Sie Folgendes pflegen:
- Unterzeichnete Cybersicherheit und Vorfallbenachrichtigung Klauseln in Verträgen (mit nachverfolgter Verhandlung, falls nicht akzeptiert)
- Nachweiskette für jede Vertragsänderung, Risikoakzeptanz oder Eskalation (E-Mail, digitales Protokoll, Vorstandsprotokoll)
- Laufende Kommunikation im Risikoregister: jede Mahnung, jede Fristüberschreitung oder jede vom Lieferanten gelieferte Begründung
- Dokumentation der Genehmigung durch den Vorstand für jedes Risiko, das aufgrund mangelnder Kooperation des Lieferanten „akzeptiert“ wurde
| Lieferantenproblem | Aktion (Wer/Was) | Aktualisierung der Risikodatei | Prüfungsnachweis |
|---|---|---|---|
| Ablehnung der Vertragsklausel | Vorstands-/Rechtsabnahme | Ja | Board-Notiz, E-Mail-Protokoll |
| Verpasste Zertifizierung | Beschaffungs-/CISO-Eskalation | Ja | E-Mail, Risikoregister |
| Laufende Probleme/Vorfälle | Risikovorstandsprüfung, Aktionsplan | Ja | Prüfprotokoll, Plankopie |
Jede Eskalation oder Entscheidung zur Risikoakzeptanz muss vom Eigentümer übernommen werden – die Einhaltung ist hier kumulativ und fortlaufend [].
Wo überschneiden sich die Anforderungen von NIS 2, ISO 27001 und IEC 62443 – und wo fallen die SoAs (Statements of Applicability) für die Fertigung bei Audits am häufigsten durch?
Alle drei Rahmenwerke erfordern Risikomanagement, Anlagenverzeichniss, zugewiesene Kontrollen und Sorgfaltspflicht gegenüber Lieferanten. Was NIS 2 auszeichnet: Jede Kontrolle muss „live verknüpft“ sein, d. h. mit einem aktuellen Risiko, einem expliziten Eigentümer, einem Versions-/Überprüfungszyklus verknüpft und mit Nachweisen über behandelte Vorfälle und angewandte Lehren abgeglichen werden. Typische Fehler bei der Anwendbarkeitserklärung (SoA) in Audits:
- Kein Eigentümer oder letztes Überprüfungsdatum für bestimmte Kontrollen
- Kontrollen, die nicht den Risiken/Ereignissen in der Lieferkette zugeordnet sind
- Veraltete Beweise: „Richtlinie vorhanden“, aber seit der letzten Prüfung keine Aktualisierung
- Fehlen von Incident-Response-Playbooks mit getesteten Benachrichtigungspfaden
Kompakter ISO 27001/NIS 2 Brückentisch
| NIS 2 Erwartung | Operationalisierungsaktion | ISO 27001 / Anhang A Ref |
|---|---|---|
| Lebensrisikoregister | Dynamische Updates, Board-Überprüfung | 6.1, A5.7 |
| Rollenbasierte Eskalation | Spielbücher, Personalabdeckungsprotokolle | A5.24, A5.26 |
| Due Diligence des Lieferanten | Versionierte Verträge, Risikoprotokolle | 5.19, 5.21, 8.29 |
| Board-ready Dashboards | Echtzeit-Beweise Berichterstattung | 9.3, A5.35, A5.36 |
Die Hersteller, die am besten auf Audits vorbereitet sind, zeigen eine Live-Digitalzuordnung der Verantwortlichen für die einzelnen Risiken/Kontrollen sowie reale Nachweise für Überprüfung, Eskalation und Schließung.
Was definiert „auditfähige Nachweise“ für die Fertigung und wie können Sie diese für NIS 2 automatisieren und zentralisieren?
Auditfähige Nachweise bedeutet, dass jedes Risiko, jeder Vermögenswert, jedes Lieferkettenereignis und jeder Vorfall zentralisiert, versioniert, einem Eigentümer zugewiesen und sofort abrufbar für den Vorstand, die Wirtschaftsprüfer oder die Aufsichtsbehörden. In der Praxis sieht das so aus:
- Digitale, dynamische Register: Risiken, Vermögenswerte, Lieferanten-Compliance, Vorfälle
- Dashboard zur Überprüfung durch Vorstand und Management mit Eigentümerzuweisung und Protokollierung der letzten Aktualisierung
- Automatisierte Erinnerungen für jede Richtlinie, jeden Vertrag oder jeden Eskalationsschritt
- Mit Zeitstempel versehene Protokolle für jedes Risiko-Update oder jede Vorfallsaktion
Bei Ausführung über eine Plattform wie ISMS.onlineJede Aktion – Aktualisierung des Risikoregisters, Vertragseskalation, Vorfallzuweisung – ist versionskontrolliert, rollengebunden und wird bei Fälligkeit zur Aufmerksamkeit des Managements gekennzeichnet. Dadurch wird Compliance von einem Last-Minute-Stressfaktor in eine sichtbare Stärke auf Vorstandsebene verwandelt [].
Ein Compliance-System, das Resilienzkapital schafft: Jede digitale Aktion ist ein sichtbares, überprüfbares Signal für Prüfer, Partner und Aufsichtsbehörden.
Tabelle zum Rückverfolgbarkeits-Workflow (Beispiel)
| Auslösen | Risiko-Update | Steuerung/SoA-Referenz | Beweise protokolliert |
|---|---|---|---|
| Lieferantenverletzung | Anmeldung, Vorstandsnotiz | A5.21 | Vertrag, Kommunikationsprotokoll |
| Anlagenausfall | Protokollaktualisierung, Ursache | A5.26, 8.13 | SIEM-Protokoll, Vorfallsbericht |
| Mitarbeiterfluktuation | Rollenaktualisierung | 5.2 | Dienstplan, Schichtprotokolle |
Wie können Fertigungsunternehmen durch die Verwendung einer einheitlichen Plattform wie ISMS.online von der Compliance-Belastung zu einem Wettbewerbsvorteil unter NIS 2 gelangen?
Zentralisieren Sie Ihr Risiko-, Anlagen-, Vorfall- und Lieferantenmanagement in einer einzelne, digital vernetzte Umgebung macht die NIS 2-Compliance zu einem operativen Vorteil, nicht zu einer lästigen Pflicht. Jede praktische Aktion – Risikoprüfung, Vertragseskalation, Richtlinienaktualisierung oder Vorfallmanagement – wird mit einem Zeitstempel versehen, dem Eigentümer zugewiesen und versioniert. Dies bietet Führungskräften, Aufsichtsbehörden und Kunden sofortigen Nachweis und Übersicht. Automatisierte Erinnerungen, Eigentümerverfolgung und Berichterstattung stellen sicher, dass nichts übersehen wird und Prüfungsbereitschaft wird zur Routine.
Strategische Vorteile:
- Versionierte Nachweise auf Abruf für den Vorstand/die Aufsichtsbehörde, wodurch die Prüfungsmüdigkeit reduziert wird und die Beweisdauer von Wochen auf Minuten sinkt.
- Echtzeit-Berichterstattung zu Risikolücken und Eskalation: Probleme werden sichtbar und es wird darauf reagiert, anstatt sie zu verdrängen.
- Jeder Compliance-Zyklus steigert Ihr „Resilienzkapital“ und macht Sie zur Benchmark-Fabrik für Kunden und Partner.
In einer Welt mit steigenden regulatorischen Erwartungen vermeiden Hersteller, die eine lebendige, vom Eigentümer zugewiesene und vollständig überprüfbare Compliance nachweisen können, nicht nur Strafen – sie gewinnen auch Aufträge, bauen Vertrauen auf und sind führend in ihrer Branche.
Positionieren Sie Ihr Fertigungsteam als Branchenführer. Mit aktuellen Risikoregistern, klaren Verantwortlichkeiten und lückenlosen Nachweisen wird die NIS 2-Konformität zu einem Zeichen Ihrer operativen Stärke und Ihres Partnerschaftswerts – und nicht zu einem Hindernis.
