NIS2 und OT-Sicherheit: Was Produktion, IT und Geschäftsführung jetzt prüfen müssen
Produzierende Unternehmen haben Maschinen, Linien und Anlagen über Fernwartung, Sensorik, MES-/ERP-Anbindungen, Cloud-Portale und Retrofit schrittweise vernetzt. Unter NIS2 werden genau diese Verbindungen prüfpflichtig: Wer hat Zugriff, welche Anlage ist kritisch, welcher Dienstleister beeinflusst den Betrieb, und wie gelingt Wiederanlauf im Ereignisfall?
OT ist unter NIS2 besonders, weil Cybersecurity hier den physischen Betrieb berührt: Produktion, Anlagenverfügbarkeit, Safety, Lieferfähigkeit und Wiederanlauf.
Unter NIS2 müssen Unternehmen ihre OT-Verbindungen als Risikofeld führen: Zugriff, Lieferanten, Verfügbarkeit, Wiederanlauf und Meldewege. Dieser Artikel ordnet ein, wo die Anforderungen greifen und womit ein erster Arbeitsstand beginnt.
IT-Sicherheit und OT-Betriebsfähigkeit gehören heute in eine gemeinsame Risikobetrachtung. Die Schnittstelle zwischen beiden ist der Ort, an dem NIS2 ansetzt.
Die 6 OT-Prüfpunkte unter NIS2
Wer OT unter NIS2 einordnet, sollte nicht mit Normen beginnen, sondern mit den betrieblichen Verbindungen: Anlagen, Zugänge, Dienstleister, Schnittstellen, Wiederanlauf und Meldewege.
Kritische Anlagen und Linien
Welche Produktionsbereiche sind für Betrieb, Lieferfähigkeit oder Safety wesentlich?
Fernwartung und externe Zugriffe
Wer greift auf Steuerungen, Engineering Workstations, HMI, SCADA oder Herstellerportale zu?
IT-/OT-Schnittstellen
Wo verbinden sich OT und IT: MES, ERP, Historian, Cloud-Portale, Gateways, Retrofit-Sensorik?
Lieferanten und Integratoren
Welche Maschinenbauer, MSPs, Integratoren oder Plattformanbieter können den Betrieb beeinflussen?
Wiederanlauf und Notbetrieb
Welche Linie startet zuerst, wer gibt frei, welche Dienstleister werden benötigt, wurde das getestet?
Meldewege und Verantwortlichkeit
Wer entscheidet, ob aus einem OT-Ereignis ein meldepflichtiger Sicherheitsvorfall wird?
Die NIS2-Relevanz entsteht oft nicht an der Maschine selbst, sondern an den Zugängen, Schnittstellen und Dienstleistern rund um die Maschine.
OT ist besonders, weil Cybersecurity physische Wirkung haben kann
IT verarbeitet Informationen. OT — Operational Technology — steuert oder überwacht physische Vorgänge: Maschinen, Produktionslinien, Anlagen, Gebäude- oder Versorgungssysteme. Der Unterschied ist keine Frage der Technologie, sondern der Wirkung: Ein IT-Vorfall betrifft Daten und Prozesse. Ein OT-Vorfall kann Produktion, Versorgung oder die Sicherheit von Menschen direkt betreffen.
Steuerung und Prozessführung
Übergeordnete Systeme zur Überwachung und Steuerung von Prozessen
Maschinen und Anlagensteuerung
Systeme zur direkten Steuerung und Regelung von Maschinen und Anlagen
Produktionsplanung und Betrieb
Systeme zur Planung, Steuerung und Auswertung der Produktion
Für OT-Umgebungen gilt IEC 62443 als international anerkannter Strukturrahmen — er adressiert genau diese Eigenheiten: Security Levels, Zonen- und Konduit-Konzepte, Lieferantenverantwortung und Systempflege in Produktionsumgebungen. NIS2 setzt keine spezifische Norm voraus, verweist aber auf anerkannte Standards als Nachweisoption.
Eine besondere Eigenheit der OT: Safety und Security sind hier keine getrennten Themen. Sicherheitsmaßnahmen dürfen den physischen Betrieb nicht destabilisieren. Ein Patch, der in der IT routinemäßig ausgerollt wird, kann in der OT einen Produktionsstopp bedeuten — oder schlimmer, eine Steuerung in einen undefinierten Zustand versetzen. Das erklärt, warum OT eigene Bewertungskriterien braucht, und warum klassische IT-Sicherheitslogik dort nicht direkt übertragbar ist.
In der klassischen IT gilt: Vertraulichkeit vor Integrität vor Verfügbarkeit. In vielen OT-Umgebungen gilt die umgekehrte Reihenfolge: Verfügbarkeit und Prozessstabilität zuerst — weil Produktionsstopp, unkontrollierter Anlagenzustand oder Safety-Ereignisse unmittelbare Konsequenzen haben können.
OT und IT sind längst vernetzt
Die NIS2-Relevanz entsteht häufig nicht an der isolierten Maschine, sondern an der Verbindung: Fernwartung, Engineering Workstations, MES-/ERP-Anbindung, Historian, Cloud-Portale, Sensorik, Gateways und Retrofit schaffen Übergänge zwischen IT und OT. Aus früher abgeschotteten Anlagen werden erreichbare Betriebssysteme.
Maschinenbauer und Integratoren greifen über VPN oder dedizierte Verbindungen direkt auf Steuerungen zu
Produktionsdaten fließen zwischen Steuerungsebene und kaufmännischen Systemen
Herstellerplattformen greifen auf Anlagendaten zu — oft mit eigenem Zugangsmanagement
Ältere Maschinen werden nachträglich mit Gateways und Sensoren ans Datennetz angebunden
Viele OT-Risiken wurden schrittweise mitgekauft
Die Geschäftsführung muss Cybersicherheitsrisiken verstehen, Maßnahmen billigen und Umsetzung überwachen. Für OT bedeutet das: nicht jede technische Entscheidung, aber die wesentlichen Abhängigkeiten, Risiken und Wiederanlauffähigkeiten gehören auf die Leitungsagenda.
OT-Risikofelder: gewachsene Strukturen, neue Anforderungen
Fernwartungszugänge
Hersteller- und Integratorkonten mit privilegierten Rechten, oft ohne regelmäßige Prüfung oder zeitliche Begrenzung
Privilegierte Rechte auf Steuerungssystemen
Administrative Zugänge auf Engineering Workstations oder SPS ohne Rollenmodell und Audit-Trail
Fehlende IT-/OT-Segmentierung
IT- und OT-Netze ohne ausreichende Trennung — Angriffe im IT-Netz können direkt auf Steuerungssysteme wirken
Eingeschränkte Patchbarkeit
Alte Steuerungssysteme und Betriebssysteme, die nicht oder nur mit Produktionsstopp aktualisiert werden können
Ungetestete Backups und Wiederanlaufpläne
Backup-Konzepte vorhanden, aber selten unter realen Produktionsbedingungen geprobt — Wiederanlaufzeiten unbekannt
Hersteller- und Integratorabhängigkeit
Kein Wiederanlauf ohne Herstellerunterstützung, keine Exit-Regelung, keine dokumentierten Ansprechpartner für den Ernstfall
Welche OT-Nachweise zuerst aufgebaut werden sollten
§30 BSIG verlangt technische und organisatorische Maßnahmen — aber auch deren Nachweis. Für OT-Umgebungen fehlt dieser Nachweis in der Praxis häufig nicht wegen mangelnder Maßnahmen, sondern wegen fehlender Dokumentation: Wer hat welchen Zugang? Welche Abhängigkeit besteht? Was passiert im Ausfall? Diese Fragen müssen schriftlich beantwortet sein.
Anlagen und Systeme: Übersicht kritischer Anlagen, Steuerungssysteme und ihrer Betriebswirkung bei Ausfall.
Schnittstellen: IT-/OT-Verbindungen, Datenflüsse, Fernwartungszugänge, Berechtigungskonzept und Protokollierung.
Lieferanten und Integratoren: Wer hat Zugriff, wer beeinflusst den Betrieb, welche Subunternehmer und Herstellerplattformen sind eingebunden?
Betriebsfähigkeit: Getestete Backup- und Wiederanlaufpläne, Notbetriebskonzept, Prioritätenreihenfolge.
Meldewege und offene Punkte: Incident-Kommunikation zwischen Produktion, IT und Dienstleistern — mit Verantwortlichkeit und Wiedervorlage.
Wo NIS2 bei OT konkret anschließt
Drei Paragrafen des BSIG schaffen den konkreten Rahmen für OT-relevante Pflichten — mit direktem Bezug auf Anlagen, Fernzugriff, Lieferanten und Wiederanlauf.
Risikomanagement
OT-Anlagen, Fernzugriffe, Lieferanten, Segmentierung, Schwachstellen, Wiederanlauf und Nachweise müssen risikobasiert geführt werden.
Meldebewertung
Ein OT-Ereignis kann meldepflichtig werden, wenn Betrieb, Dienste, Versorgung, Kundenleistung oder externe Wirkung erheblich betroffen sind. Meldewege zwischen Produktion, IT und Dienstleistern müssen vorher geregelt sein.
Leitungsverantwortung
Die Geschäftsleitung muss nicht jede technische OT-Komponente steuern, aber kritische Abhängigkeiten, Restrisiken, Verantwortlichkeiten und Wiedervorlagen nachvollziehbar führen können. Billigung und Überwachung der Maßnahmen sind Leitungspflichten.
Ein Produktionsunternehmen hat mit einem Maschinenbauer einen Fernwartungsvertrag geschlossen. Der Anbieter nutzt einen VPN-Zugang zur SPS und kann Konfigurationen ändern. Es gibt keine schriftliche Regelung zu Meldewegen, Subunternehmern oder Reaktionszeiten im Störfall.
Unter §30 Abs. 2 Nr. 4 BSIG ist dieser Anbieter ein sicherheitsrelevanter Lieferant: direkter Systemzugriff, Betriebswirkung, kritische Abhängigkeit. Eine Lieferantenbewertung ist erforderlich. Die Freigabe sollte Meldewege, Subunternehmertransparenz und Wiederanlaufinformationen einschließen.
OT-Sicherheit entsteht zu großen Teilen in der Lieferkette
Ein charakteristisches Merkmal der OT-Lieferkette: Maschinenbauer und Integratoren kennen einzelne Anlagenkomponenten oft besser als die interne IT. Der Fernwartungsvertrag ist ihr Zugangsweg — und damit ein sicherheitsrelevanter Bestandteil der eigenen Betriebsinfrastruktur. Welche Vereinbarungen gelten, wenn dieser Zugang in einem Sicherheitsereignis eine Rolle spielt?
Hinzu kommt die Subunternehmerkette: Viele Maschinenbauer und MSPs setzen selbst auf spezialisierte Anbieter für Teile der Leistung. Diese Kette ist in OT-Umgebungen häufig weniger transparent als in klassischen IT-Lieferantenbeziehungen — und oft vertraglich nicht geregelt.
§30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Unternehmen, sicherheitsbezogene Beziehungen zu unmittelbaren Anbietern und Diensteanbietern zu berücksichtigen. Für OT bedeutet das: Maschinenbauer, Integratoren und Fernwartungsanbieter sind keine Außenstehenden — sie sind Teil des zu bewertenden Risikoraums. IEC 62443-2-1 gibt dafür einen anerkannten Strukturrahmen für Lieferantenbeziehungen in OT-Umgebungen.
Viele OT-Risiken werden erst greifbar, wenn externe Dienstleister, Maschinenbauer oder Integratoren Zugriff auf Anlagen, Gateways, Engineering Workstations oder Fernwartungskanäle erhalten. Vertiefung: NIS2 angewandt: Lieferantenzugriff und OT-Fernwartung einordnen.
Im Ereignisfall zählt kontrollierter Wiederanlauf
Ein Backup ohne getesteten Wiederanlauf bleibt eine Annahme. Die Frage ist nicht, ob ein Backup existiert — sondern ob der Wiederanlauf unter realen Bedingungen jemals geprobt wurde.
Ein Fernwartungsvertrag ohne Meldeweg bleibt eine Lücke. Im Ereignisfall fehlt die Zeit, Kommunikationswege erst zu organisieren.
Eine Anlagenliste ohne Kritikalität bleibt eine Inventur. Der Mehrwert entsteht, wenn bekannt ist, welcher Ausfall welche Konsequenz hat.
Im Ereignisfall entscheidet sich OT-Sicherheit nicht an vollständiger Dokumentation, sondern an der Fähigkeit zum kontrollierten Wiederanlauf: Welche Linie hat Priorität? Welche Freigaben sind erforderlich? Wer koordiniert mit welchem Dienstleister? Und in welchem Zeitfenster muss welche Kommunikation nach außen erfolgen? Diese Fragen sind Managementfragen — und sie müssen beantwortet sein, bevor der Ernstfall eintritt.
In Produktionsumgebungen lassen sich Patches häufig nicht sofort einspielen. Herstellerfreigaben, Wartungsfenster, Legacy-Systeme und Wiederanlaufplanung müssen deshalb als Arbeitsstand geführt werden. Vertiefung: NIS2 Patch Management für Schwachstellen, Ausnahmen und Wiedervorlagen.
Was Unternehmen jetzt prüfen sollten
Ein erster Arbeitsstand muss nicht vollständig sein. Er muss zeigen, was bekannt ist, was fehlt und wer die Lücke trägt.
Wenn eine Produktionsstörung einen möglichen Cyberbezug hat, kann daraus eine Meldebewertung entstehen. Vertiefung: §32 BSIG Meldepflicht und 24h-Frist einordnen. Wenn zuerst die Lieferkettenseite gebraucht wird, führt die Einordnung von Lieferantenrisiken nach §30 BSIG in denselben Risikoraum.
Kritische Anlagen und Linien benennen
Welche Produktionsbereiche, Anlagen oder Systeme sind für den Betrieb unverzichtbar — und was passiert bei deren Ausfall?
IT-/OT-Schnittstellen erfassen
Wo verbinden sich IT-Netze und OT-Systeme? Welche Verbindungen bestehen über Fernwartung, MES, ERP oder Cloud-Portale?
Fernzugänge dokumentieren und einschränken
Für jeden aktiven Fernwartungszugang: Wer darf zugreifen, auf welches System, über welchen Kanal, mit welcher Authentifizierung — und liegt das schriftlich vor?
Dienstleister nach Zugriff und Betriebswirkung klassifizieren
Welcher Lieferant kann den OT-Betrieb beeinflussen? Welche Nachweise, Meldewege und Exit-Informationen liegen vor?
Wiederanlauf unter realen Bedingungen proben
Nicht nur: Existiert ein Wiederanlaufplan? Sondern: Wurde er getestet — unter Betriebsbedingungen, mit den beteiligten Dienstleistern, in der tatsächlichen Prioritätenreihenfolge?
Meldewege zwischen Produktion, IT und Lieferanten festlegen
Wer informiert wen bei einem OT-Sicherheitsereignis — und in welchem Zeitfenster? Gelten diese Wege auch für externe Dienstleister?
Offene Punkte mit Verantwortlichkeit und Wiedervorlage festhalten
Welche Lücken bestehen? Wer ist für die Bearbeitung verantwortlich? Bis wann, und wann wird erneut geprüft?
OT-Risiken beginnen bei Zugriff, Lieferanten und Wiederanlauf
Ein geführter Arbeitsstand macht OT-Risiken erklärbar — gegenüber Kunden, Prüfern und der Geschäftsführung. Die Lieferantenbewertung ist ein konkreter Einstieg: Wer hat Zugriff, welche Betriebswirkung besteht, welche Nachweise liegen vor?