• News | Kontron AIS
  • NIS-2-Umsetzungsgesetz beschlossen: Was Sie als Maschinenbauer und Fabrikbetreiber jetzt wissen müssen

NIS-2-Umsetzungsgesetz beschlossen: Was Sie als Maschinenbauer und Fabrikbetreiber jetzt wissen müssen

6. Dezember 2025

Deutschland steht weiter unter hohem Cyberdruck. Der aktuelle Lagebericht¹ des Bundesamts für Sicherheit in der Informationstechnik (BSI) beschreibt eine Situation, in der Angriffsflächen wachsen und professionelle Tätergruppen gezielt Schwachstellen ausnutzen. In dieses Umfeld fällt die Entscheidung des Deutschen Bundestags vom 13. November 2025. Das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 ist beschlossen und modernisiert das nationale IT-Sicherheitsrecht grundlegend. Die Verkündung erfolgte am 5. Dezember 2025 im Bundesgesetzblatt², das Gesetz gilt somit seit dem 6. Dezember 2025. Für die Praxis heißt das: Verantwortlichkeiten, Prozesse und Nachweise sollten jetzt geordnet und belastbar dokumentiert werden.

Beschluss und Startsignal: Was NIS-2 für Maschinenbauer und Fabrikbetreiber bedeutet

Kern der Reform ist eine klare Rollenverteilung. Das Bundesamt für Sicherheit in der Informationstechnik führt die Aufsicht über die Unternehmen, die unter NIS-2 fallen. In der Bundesverwaltung koordiniert es die Cybersicherheit als CISO Bund. Dieser ist die zentrale Stelle der Bundesregierung für Informationssicherheit: Er legt Vorgaben fest, bündelt Zuständigkeiten und überwacht die Umsetzung. Damit kommen Vorgaben, Beratung und Kontrolle aus einer Hand. Für Maschinenbauer und Fabrikbetreiber heißt das: ein klarer Ansprechpartner, der Anforderungen erklärt, bei der Umsetzung unterstützt und die Einhaltung prüft.

Welche Maschinenbauer und Fabrikbetreiber sind von NIS-2 betroffen?

NIS-2 erfasst neben klassischen Infrastrukturen auch Teile der industriellen Herstellung, darunter Computer und Elektronik, Elektrotechnik, Maschinen und Ausrüstung, Kraftfahrzeuge sowie sonstige Transportmittel. In der Regel gelten die Pflichten ab 50 Mitarbeitenden; Umsatz und Bilanzsumme spielen ebenfalls eine Rolle. In besonders sensiblen Bereichen greifen die Vorgaben unabhängig von der Größe. Der Adressatenkreis wächst damit in Deutschland von rund 4.500 auf etwa 30.000 Unternehmen und Organisationen, darunter viele mittelständische Maschinen und Anlagenbauer, die bisher nicht unter kritische Infrastrukturen (KRITIS) fielen, aber wichtige Teile von Lieferketten tragen.

Wenn Ihr Unternehmen unter NIS-2 fällt, registrieren Sie sich innerhalb von drei Monaten nach Eintritt der Betroffenheit. Zuständig ist die gemeinsame Registrierungsstelle von BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Das BBK bringt seine Rolle im Zivilschutz und Krisenmanagement ein. Gemeinsam mit dem BSI betreibt es die zentrale Anlaufstelle für Registrierung und Meldungen. Für die Registrierung sollten Firmenstammdaten, Ansprechpersonen und der interne Meldeweg vorliegen, damit der Prozess ohne Hektik läuft.

Was ändert sich in der Praxis für Maschinenbauer und Fabrikbetreiber?

Das Gesetz hebt das Sicherheitsniveau auf eine verbindliche, überprüfbare Grundlage. Gefordert sind ein wirksames Risikomanagement, klare Prozesse für das Schließen von Schwachstellen und das Patchen, geübte Notfall- und Wiederanlaufpläne, durchgängige Protokollierung und Überwachung, eine starke Zugriffssicherung mit Mehrfaktor-Anmeldung sowie Regeln für die Zusammenarbeit mit Lieferanten und Dienstleistern. Diese Mindestmaßnahmen sind konkret aus der EU-Vorgabe in deutsches Recht übernommen. In der Praxis heißt das für Maschinen und Anlagen: Steuerungen und Gateways brauchen einen planbaren Updatepfad, verteilte Geräteflotten benötigen eine dokumentierte Freigabe und Rollback, Fernzugriffe müssen restriktiv verwaltet werden und die Lieferkette verlangt belastbare Nachweise über eingesetzte Komponenten. Die Geschäftsleitung trägt hierfür Verantwortung und muss Entscheidungen sowie Schulungen nachvollziehbar dokumentieren.

Das müssen Sie bei einem Sicherheitsvorfall beachten

Bei einem erheblichen Sicherheitsvorfall gilt ein dreistufiges Verfahren: Erstmeldung binnen 24 Stunden, Ergänzung nach 72 Stunden, Abschlussbericht nach einem Monat. Die Meldung geht an die gemeinsame Stelle von BSI und BBK, auf Anforderung können zusätzliche Zwischenmeldungen nötig sein. Um die Fristen sicher zu erfüllen, braucht es einen geübten Ablauf zwischen Produktion, IT, Informationssicherheit und Kommunikation – mit klaren Rollen, Stellvertretungen, erreichbaren Ansprechpersonen und vorbereiteten Textbausteinen. Von Beginn an sollten Nachweise wie Logs, Zeitlinie, betroffene Systeme, getroffene Maßnahmen und eine erste Einschätzung der Auswirkungen gesammelt werden.

Verstöße können teuer werden: Für besonders wichtige Einrichtungen drohen bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder bis zu 1,4 Prozent. Der konkrete Betrag hängt vom Einzelfall und der Schwere des Verstoßes ab. Gute Vorbereitung senkt das Risiko für Ausfälle und Bußgelder.

NIS-2 has been in force since 6 December 2025 and brings clear rules and fixed deadlines. Operators of distributed Production Facilities, device fleets and complex supplier networks now benefit from a clean foundation. The clock is ticking. Companies that define responsibilities, update paths and reporting lines now will be able to act under pressure instead of paying for rushed decisions.

You need advice or support to implement the necessary measures for your embedded hardware or software? Feel free to talk to us.

Quellen

¹: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2025_Achtseiter.html, 09.12.2025

²: https://www.recht.bund.de/bgbl/1/2025/301/VO.html?, 09.12.2025