← Übersicht
Khosla·Compliance
OT-Sicherheit · §30 BSIG
Einordnung · OT und NIS2
Mai 2026 · Khosla Compliance
ca. 9 Minuten

NIS2 und OT-Sicherheit: Was Produktion, IT und Geschäftsführung jetzt prüfen müssen

Produzierende Unternehmen haben Maschinen, Linien und Anlagen über Fernwartung, Sensorik, MES-/ERP-Anbindungen, Cloud-Portale und Retrofit schrittweise vernetzt. Unter NIS2 werden genau diese Verbindungen prüfpflichtig: Wer hat Zugriff, welche Anlage ist kritisch, welcher Dienstleister beeinflusst den Betrieb, und wie gelingt Wiederanlauf im Ereignisfall?

OT ist unter NIS2 besonders, weil Cybersecurity hier den physischen Betrieb berührt: Produktion, Anlagenverfügbarkeit, Safety, Lieferfähigkeit und Wiederanlauf.

Kernthese

Unter NIS2 müssen Unternehmen ihre OT-Verbindungen als Risikofeld führen: Zugriff, Lieferanten, Verfügbarkeit, Wiederanlauf und Meldewege. Dieser Artikel ordnet ein, wo die Anforderungen greifen und womit ein erster Arbeitsstand beginnt.

IT-Sicherheit und OT-Betriebsfähigkeit gehören heute in eine gemeinsame Risikobetrachtung. Die Schnittstelle zwischen beiden ist der Ort, an dem NIS2 ansetzt.
!
Sofortprüfung

Die 6 OT-Prüfpunkte unter NIS2

Wer OT unter NIS2 einordnet, sollte nicht mit Normen beginnen, sondern mit den betrieblichen Verbindungen: Anlagen, Zugänge, Dienstleister, Schnittstellen, Wiederanlauf und Meldewege.

01

Kritische Anlagen und Linien

Welche Produktionsbereiche sind für Betrieb, Lieferfähigkeit oder Safety wesentlich?

02

Fernwartung und externe Zugriffe

Wer greift auf Steuerungen, Engineering Workstations, HMI, SCADA oder Herstellerportale zu?

03

IT-/OT-Schnittstellen

Wo verbinden sich OT und IT: MES, ERP, Historian, Cloud-Portale, Gateways, Retrofit-Sensorik?

04

Lieferanten und Integratoren

Welche Maschinenbauer, MSPs, Integratoren oder Plattformanbieter können den Betrieb beeinflussen?

05

Wiederanlauf und Notbetrieb

Welche Linie startet zuerst, wer gibt frei, welche Dienstleister werden benötigt, wurde das getestet?

06

Meldewege und Verantwortlichkeit

Wer entscheidet, ob aus einem OT-Ereignis ein meldepflichtiger Sicherheitsvorfall wird?

Kernpunkt

Die NIS2-Relevanz entsteht oft nicht an der Maschine selbst, sondern an den Zugängen, Schnittstellen und Dienstleistern rund um die Maschine.

A
Grundbegriff

OT ist besonders, weil Cybersecurity physische Wirkung haben kann

IT verarbeitet Informationen. OT — Operational Technology — steuert oder überwacht physische Vorgänge: Maschinen, Produktionslinien, Anlagen, Gebäude- oder Versorgungssysteme. Der Unterschied ist keine Frage der Technologie, sondern der Wirkung: Ein IT-Vorfall betrifft Daten und Prozesse. Ein OT-Vorfall kann Produktion, Versorgung oder die Sicherheit von Menschen direkt betreffen.

Leitebene

Steuerung und Prozessführung

Übergeordnete Systeme zur Überwachung und Steuerung von Prozessen

SCADA · DCS · HMI · Historian
Feldebene

Maschinen und Anlagensteuerung

Systeme zur direkten Steuerung und Regelung von Maschinen und Anlagen

SPS / PLC · Engineering WS · Feldgeräte
Betriebsebene

Produktions­planung und Betrieb

Systeme zur Planung, Steuerung und Auswertung der Produktion

MES · ERP-Anbindung · Qualitätssysteme

Für OT-Umgebungen gilt IEC 62443 als international anerkannter Strukturrahmen — er adressiert genau diese Eigenheiten: Security Levels, Zonen- und Konduit-Konzepte, Lieferantenverantwortung und Systempflege in Produktionsumgebungen. NIS2 setzt keine spezifische Norm voraus, verweist aber auf anerkannte Standards als Nachweisoption.

Eine besondere Eigenheit der OT: Safety und Security sind hier keine getrennten Themen. Sicherheitsmaßnahmen dürfen den physischen Betrieb nicht destabilisieren. Ein Patch, der in der IT routinemäßig ausgerollt wird, kann in der OT einen Produktionsstopp bedeuten — oder schlimmer, eine Steuerung in einen undefinierten Zustand versetzen. Das erklärt, warum OT eigene Bewertungskriterien braucht, und warum klassische IT-Sicherheitslogik dort nicht direkt übertragbar ist.

Prioritäten in der OT

In der klassischen IT gilt: Vertraulichkeit vor Integrität vor Verfügbarkeit. In vielen OT-Umgebungen gilt die umgekehrte Reihenfolge: Verfügbarkeit und Prozessstabilität zuerst — weil Produktionsstopp, unkontrollierter Anlagenzustand oder Safety-Ereignisse unmittelbare Konsequenzen haben können.

B
IT/OT-Verflechtung

OT und IT sind längst vernetzt

Die NIS2-Relevanz entsteht häufig nicht an der isolierten Maschine, sondern an der Verbindung: Fernwartung, Engineering Workstations, MES-/ERP-Anbindung, Historian, Cloud-Portale, Sensorik, Gateways und Retrofit schaffen Übergänge zwischen IT und OT. Aus früher abgeschotteten Anlagen werden erreichbare Betriebssysteme.

IT-NetzERP · E-Mail · Cloud · Unternehmensnetzwerk
◀──── Schnittstelle ────▶
OT-NetzSCADA · SPS · MES · Anlagensteuerung
Fernwartung

Maschinenbauer und Integratoren greifen über VPN oder dedizierte Verbindungen direkt auf Steuerungen zu

MES / ERP-Anbindung

Produktionsdaten fließen zwischen Steuerungsebene und kaufmännischen Systemen

Cloud-Portale

Herstellerplattformen greifen auf Anlagendaten zu — oft mit eigenem Zugangsmanagement

Retrofit-Sensorik

Ältere Maschinen werden nachträglich mit Gateways und Sensoren ans Datennetz angebunden

Folge dieser Verflechtung: IT-Sicherheitslücken — kompromittierte Zugangsdaten, ungepatchte Systeme, ungesicherter Fernzugriff — können über diese Verbindungen zu OT-Betriebsereignissen werden.
C
Geschäftsführung

Viele OT-Risiken wurden schrittweise mitgekauft

§38 BSIG
Was die Geschäftsführung wissen muss — ohne jede Steuerungsanlage zu kennen
01
Welche Anlagen und Produktionslinien sind für den Betrieb geschäftskritisch — und was ist bei einem Ausfall zu erwarten?
02
Wer hat Fernzugriff auf Steuerungs- und Anlagensysteme — und welche Zugriffsregelungen gelten?
03
Welche Dienstleister, Maschinenbauer und Integratoren können den OT-Betrieb beeinflussen oder unterbrechen?
04
Wie ist ein kontrollierter Wiederanlauf nach einem Sicherheitsereignis vorbereitet und getestet?
05
Welche offenen Punkte bestehen — und wer ist für die Bearbeitung verantwortlich?
§38 BSIG — Leitungsverantwortung

Die Geschäftsführung muss Cybersicherheitsrisiken verstehen, Maßnahmen billigen und Umsetzung überwachen. Für OT bedeutet das: nicht jede technische Entscheidung, aber die wesentlichen Abhängigkeiten, Risiken und Wiederanlauffähigkeiten gehören auf die Leitungsagenda.

D
OT-Risikofelder

OT-Risikofelder: gewachsene Strukturen, neue Anforderungen

Fernwartungszugänge

Hersteller- und Integratorkonten mit privilegierten Rechten, oft ohne regelmäßige Prüfung oder zeitliche Begrenzung

Privilegierte Rechte auf Steuerungssystemen

Administrative Zugänge auf Engineering Workstations oder SPS ohne Rollenmodell und Audit-Trail

Fehlende IT-/OT-Segmentierung

IT- und OT-Netze ohne ausreichende Trennung — Angriffe im IT-Netz können direkt auf Steuerungssysteme wirken

Eingeschränkte Patchbarkeit

Alte Steuerungssysteme und Betriebssysteme, die nicht oder nur mit Produktionsstopp aktualisiert werden können

Ungetestete Backups und Wiederanlaufpläne

Backup-Konzepte vorhanden, aber selten unter realen Produktionsbedingungen geprobt — Wiederanlaufzeiten unbekannt

Hersteller- und Integratorabhängigkeit

Kein Wiederanlauf ohne Herstellerunterstützung, keine Exit-Regelung, keine dokumentierten Ansprechpartner für den Ernstfall

E
OT-Nachweise · Mindestarbeitsstand

Welche OT-Nachweise zuerst aufgebaut werden sollten

§30 BSIG verlangt technische und organisatorische Maßnahmen — aber auch deren Nachweis. Für OT-Umgebungen fehlt dieser Nachweis in der Praxis häufig nicht wegen mangelnder Maßnahmen, sondern wegen fehlender Dokumentation: Wer hat welchen Zugang? Welche Abhängigkeit besteht? Was passiert im Ausfall? Diese Fragen müssen schriftlich beantwortet sein.

Nachweislandkarte OT

Anlagen und Systeme: Übersicht kritischer Anlagen, Steuerungssysteme und ihrer Betriebswirkung bei Ausfall.

Schnittstellen: IT-/OT-Verbindungen, Datenflüsse, Fernwartungszugänge, Berechtigungskonzept und Protokollierung.

Lieferanten und Integratoren: Wer hat Zugriff, wer beeinflusst den Betrieb, welche Subunternehmer und Herstellerplattformen sind eingebunden?

Betriebsfähigkeit: Getestete Backup- und Wiederanlaufpläne, Notbetriebskonzept, Prioritätenreihenfolge.

Meldewege und offene Punkte: Incident-Kommunikation zwischen Produktion, IT und Dienstleistern — mit Verantwortlichkeit und Wiedervorlage.

F
Rechtlicher Rahmen

Wo NIS2 bei OT konkret anschließt

Drei Paragrafen des BSIG schaffen den konkreten Rahmen für OT-relevante Pflichten — mit direktem Bezug auf Anlagen, Fernzugriff, Lieferanten und Wiederanlauf.

§30 BSIG

Risikomanagement

OT-Anlagen, Fernzugriffe, Lieferanten, Segmentierung, Schwachstellen, Wiederanlauf und Nachweise müssen risikobasiert geführt werden.

§32 BSIG

Meldebewertung

Ein OT-Ereignis kann meldepflichtig werden, wenn Betrieb, Dienste, Versorgung, Kundenleistung oder externe Wirkung erheblich betroffen sind. Meldewege zwischen Produktion, IT und Dienstleistern müssen vorher geregelt sein.

§38 BSIG

Leitungsverantwortung

Die Geschäftsleitung muss nicht jede technische OT-Komponente steuern, aber kritische Abhängigkeiten, Restrisiken, Verantwortlichkeiten und Wiedervorlagen nachvollziehbar führen können. Billigung und Überwachung der Maßnahmen sind Leitungspflichten.

Praxisbeispiel

Ein Produktionsunternehmen hat mit einem Maschinenbauer einen Fernwartungsvertrag geschlossen. Der Anbieter nutzt einen VPN-Zugang zur SPS und kann Konfigurationen ändern. Es gibt keine schriftliche Regelung zu Meldewegen, Subunternehmern oder Reaktionszeiten im Störfall.

Unter §30 Abs. 2 Nr. 4 BSIG ist dieser Anbieter ein sicherheitsrelevanter Lieferant: direkter Systemzugriff, Betriebswirkung, kritische Abhängigkeit. Eine Lieferantenbewertung ist erforderlich. Die Freigabe sollte Meldewege, Subunternehmertransparenz und Wiederanlaufinformationen einschließen.

Der Fernwartungsvertrag ist der sicherheitsrelevante Kern — nicht die Maschine.
G
Lieferkette und Dritte

OT-Sicherheit entsteht zu großen Teilen in der Lieferkette

Ein charakteristisches Merkmal der OT-Lieferkette: Maschinenbauer und Integratoren kennen einzelne Anlagenkomponenten oft besser als die interne IT. Der Fernwartungsvertrag ist ihr Zugangsweg — und damit ein sicherheitsrelevanter Bestandteil der eigenen Betriebsinfrastruktur. Welche Vereinbarungen gelten, wenn dieser Zugang in einem Sicherheitsereignis eine Rolle spielt?

Hinzu kommt die Subunternehmerkette: Viele Maschinenbauer und MSPs setzen selbst auf spezialisierte Anbieter für Teile der Leistung. Diese Kette ist in OT-Umgebungen häufig weniger transparent als in klassischen IT-Lieferantenbeziehungen — und oft vertraglich nicht geregelt.

§30 Abs. 2 Nr. 4 BSIG · IEC 62443-2-1

§30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Unternehmen, sicherheitsbezogene Beziehungen zu unmittelbaren Anbietern und Diensteanbietern zu berücksichtigen. Für OT bedeutet das: Maschinenbauer, Integratoren und Fernwartungsanbieter sind keine Außenstehenden — sie sind Teil des zu bewertenden Risikoraums. IEC 62443-2-1 gibt dafür einen anerkannten Strukturrahmen für Lieferantenbeziehungen in OT-Umgebungen.

Viele OT-Risiken werden erst greifbar, wenn externe Dienstleister, Maschinenbauer oder Integratoren Zugriff auf Anlagen, Gateways, Engineering Workstations oder Fernwartungskanäle erhalten. Vertiefung: NIS2 angewandt: Lieferantenzugriff und OT-Fernwartung einordnen.

H
Betriebsfähigkeit

Im Ereignisfall zählt kontrollierter Wiederanlauf

Drei Sätze zur Praxis

Ein Backup ohne getesteten Wiederanlauf bleibt eine Annahme. Die Frage ist nicht, ob ein Backup existiert — sondern ob der Wiederanlauf unter realen Bedingungen jemals geprobt wurde.

Ein Fernwartungsvertrag ohne Meldeweg bleibt eine Lücke. Im Ereignisfall fehlt die Zeit, Kommunikationswege erst zu organisieren.

Eine Anlagenliste ohne Kritikalität bleibt eine Inventur. Der Mehrwert entsteht, wenn bekannt ist, welcher Ausfall welche Konsequenz hat.

Im Ereignisfall entscheidet sich OT-Sicherheit nicht an vollständiger Dokumentation, sondern an der Fähigkeit zum kontrollierten Wiederanlauf: Welche Linie hat Priorität? Welche Freigaben sind erforderlich? Wer koordiniert mit welchem Dienstleister? Und in welchem Zeitfenster muss welche Kommunikation nach außen erfolgen? Diese Fragen sind Managementfragen — und sie müssen beantwortet sein, bevor der Ernstfall eintritt.

In Produktionsumgebungen lassen sich Patches häufig nicht sofort einspielen. Herstellerfreigaben, Wartungsfenster, Legacy-Systeme und Wiederanlaufplanung müssen deshalb als Arbeitsstand geführt werden. Vertiefung: NIS2 Patch Management für Schwachstellen, Ausnahmen und Wiedervorlagen.

I
Erster Arbeitsstand

Was Unternehmen jetzt prüfen sollten

Ein erster Arbeitsstand muss nicht vollständig sein. Er muss zeigen, was bekannt ist, was fehlt und wer die Lücke trägt.

Wenn eine Produktionsstörung einen möglichen Cyberbezug hat, kann daraus eine Meldebewertung entstehen. Vertiefung: §32 BSIG Meldepflicht und 24h-Frist einordnen. Wenn zuerst die Lieferkettenseite gebraucht wird, führt die Einordnung von Lieferantenrisiken nach §30 BSIG in denselben Risikoraum.

1

Kritische Anlagen und Linien benennen

Welche Produktionsbereiche, Anlagen oder Systeme sind für den Betrieb unverzichtbar — und was passiert bei deren Ausfall?

2

IT-/OT-Schnittstellen erfassen

Wo verbinden sich IT-Netze und OT-Systeme? Welche Verbindungen bestehen über Fernwartung, MES, ERP oder Cloud-Portale?

3

Fernzugänge dokumentieren und einschränken

Für jeden aktiven Fernwartungszugang: Wer darf zugreifen, auf welches System, über welchen Kanal, mit welcher Authentifizierung — und liegt das schriftlich vor?

4

Dienstleister nach Zugriff und Betriebswirkung klassifizieren

Welcher Lieferant kann den OT-Betrieb beeinflussen? Welche Nachweise, Meldewege und Exit-Informationen liegen vor?

5

Wiederanlauf unter realen Bedingungen proben

Nicht nur: Existiert ein Wiederanlaufplan? Sondern: Wurde er getestet — unter Betriebsbedingungen, mit den beteiligten Dienstleistern, in der tatsächlichen Prioritätenreihenfolge?

6

Meldewege zwischen Produktion, IT und Lieferanten festlegen

Wer informiert wen bei einem OT-Sicherheitsereignis — und in welchem Zeitfenster? Gelten diese Wege auch für externe Dienstleister?

7

Offene Punkte mit Verantwortlichkeit und Wiedervorlage festhalten

Welche Lücken bestehen? Wer ist für die Bearbeitung verantwortlich? Bis wann, und wann wird erneut geprüft?

Nächste Schritte

OT-Risiken beginnen bei Zugriff, Lieferanten und Wiederanlauf

Ein geführter Arbeitsstand macht OT-Risiken erklärbar — gegenüber Kunden, Prüfern und der Geschäftsführung. Die Lieferantenbewertung ist ein konkreter Einstieg: Wer hat Zugriff, welche Betriebswirkung besteht, welche Nachweise liegen vor?

Häufige Fragen
IT verarbeitet Informationen. OT — Operational Technology — steuert oder überwacht physische Prozesse: Maschinen, Produktionslinien, Anlagen, Gebäude- oder Versorgungssysteme. Ein IT-Vorfall betrifft Daten und Kommunikation. Ein OT-Vorfall kann Produktion, Versorgung, Anlage und im Extremfall die Sicherheit von Menschen betreffen.
Weil moderne OT-Umgebungen nicht mehr isoliert sind. Fernwartung, MES-/ERP-Anbindung, Cloud-Portale, Retrofit-Sensorik und Dienstleisterzugänge verbinden OT mit IT-Netzen. Dadurch können IT-Sicherheitslücken operative Betriebsereignisse auslösen — und das fällt unter die Risikomanagementpflichten des §30 BSIG.
Maschinenbauer, Systemintegratoren, MSPs und Cloud-Plattformen kennen Teile der OT-Umgebung oft besser als die interne IT. Fernwartungszugänge, privilegierte Konten und Subunternehmerketten sind typische OT-Risikofelder, die in der Lieferantenbewertung nach §30 Abs. 2 Nr. 4 BSIG zu erfassen und zu dokumentieren sind.
Relevante Nachweise umfassen: Übersicht kritischer Anlagen und Schnittstellen, Fernwartungs- und Zugriffsregelungen, Lieferantenbewertungen nach Systemzugang und Betriebswirkung, dokumentierte Backup- und Wiederanlaufpläne — idealerweise getestet — sowie Meldewege für Vorfälle zwischen Produktion, IT und Dienstleister.
Relevant sind insbesondere eine Übersicht kritischer Anlagen und Steuerungssysteme, IT-/OT-Schnittstellen, Fernwartungszugänge, Berechtigungskonzepte, Lieferanten- und Integratorenbewertung, Backup- und Wiederanlaufinformationen, Incident-Meldewege sowie offene Punkte mit Verantwortlichkeit und Wiedervorlage. Diese Nachweise bilden die Grundlage für Risikobewertung nach §30 BSIG und Meldeprozesse nach §32 BSIG.
Die Geschäftsführung muss nicht jede Steuerungsanlage kennen. Sie muss wissen: Welche Anlagen sind geschäftskritisch? Wer hat Fernzugriff? Welche Dienstleister können die Produktion beeinflussen? Wie ist ein Wiederanlauf vorbereitet? Diese Fragen sind Managementfragen — und unter §38 BSIG liegt die Verantwortung bei der Geschäftsführung.