Ab wann gilt ein Automotive-Betrieb als NIS2-pflichtig?

Automotive-Betriebe (OEM, Tier-1- bis Tier-3-Zulieferer) fallen unter NIS2 Anhang II Nr. 10 (verarbeitendes Gewerbe), sobald sie mittlere Unternehmensgröße (50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz nach KMU-Empfehlung 2003/361/EG Art. 2) und industrielle Fertigungsstruktur erfüllen. OEM und Tier-1-Zulieferer mit kritischen Kundensystemen können als Wesentliche Einrichtungen eingestuft werden, wenn ihre Unterbrechung die Versorgung kritischer Sektoren beeinträchtigt.

Was ist der Unterschied zwischen NIS2 und TISAX für Automotive-Unternehmen?

TISAX (Trusted Information Security Assessment Exchange, VDA ISA 6) ist ein branchenspezifisches Informationssicherheitsaudit-Framework der Automobilindustrie, das OEM-Anforderungen an Zulieferer umsetzt. NIS2 ist gesetzlich verbindlich und gilt für alle relevanten Sektoren. Beide Anforderungen überlappen stark: TISAX-Konformität deckt viele NIS2-Maßnahmen nach § 30 BSIG-neu ab (Zugangskontrolle, Verschlüsselung, Vorfallsmanagement), ersetzt aber nicht die NIS2-Meldepflichten und BSI-Registrierung.

Welche Lieferkettenpflichten gelten für Automotive-Zulieferer unter NIS2?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Sicherheit in der Lieferkette. Für Automotive-Betriebe bedeutet das: Sicherheitsanforderungen an Tier-n-Zulieferer weitergeben, Verträge mit AUTOSAR- und Karosseriesteuerungssoftware-Anbietern um Sicherheitsklauseln ergänzen und kritische Sub-Supplier regelmäßig auditieren. OEM können ihrerseits NIS2-Anforderungen per Einkaufsbedingungen an Zulieferer weitergeben, was den Druck auf den gesamten Automotive-Sektor erhöht.

Welche Bußgelder drohen Automotive-Unternehmen bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Zulieferer) Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (große OEM, Tier-1-Konzerne) werden mit denselben Obergrenzen belegt. Hinzu kommt persönliche Geschäftsführerhaftung nach § 38 BSIG-neu. Im Schadensfall können zudem vertragliche Schadensersatzansprüche der OEM an Zulieferer entstehen.

Wann müssen sich Automotive-Unternehmen beim BSI registrieren?

§ 33 BSIG-neu verlangt die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Für Betriebe, die direkt ab Inkrafttreten des BSIG-neu die Kriterien erfüllen, gilt eine dreimonatige Übergangsfrist. Die Registrierung umfasst Angaben zu Sektorklassifikation, Einrichtungskategorie und Kontaktstelle und erfolgt über das elektronische BSI-Meldeportal.

Wie verhält sich NIS2 zur bestehenden TISAX-Zertifizierung?

Eine bestehende TISAX-Zertifizierung (Level 2 oder 3) zeigt, dass grundlegende Informationssicherheitsmaßnahmen nach VDA ISA 6 vorhanden sind, die viele NIS2-Anforderungen nach § 30 BSIG-neu abdecken. TISAX ersetzt jedoch nicht die gesetzlichen Pflichten: BSI-Registrierung nach § 33 BSIG-neu, Meldekette nach § 32 BSIG-neu und Managementhaftung nach § 38 BSIG-neu bleiben eigenständige Anforderungen. Eine Gap-Analyse zwischen TISAX-Assessment und NIS2 hilft, Doppelarbeit zu vermeiden.

Haften Automotive-Geschäftsführer persönlich für NIS2-Compliance?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen zur Billigung und Überwachung von Risikomanagementmaßnahmen sowie zur aktiven Schulungsteilnahme. Schuldhaftes Unterlassen kann persönliche Haftung auslösen. Automotive-Unternehmen mit TISAX-Prozessen sollten die Geschäftsführungsverpflichtungen nach NIS2 explizit in ihr ISMS integrieren und Beschlüsse sowie Schulungsnachweise revisionssicher archivieren.

Branchengenauer Self-Check

Ist mein Automotive-Betrieb von NIS2 betroffen?

OEM, Tier 1, Tier 2, Tier 3: Im Automotive-Sektor zählt die Lieferkettensicherheit doppelt - NIS2 trifft den Mittelstand mit 50 MA oder 10 Mio. EUR Umsatz.

Schritt 1 / 2

Produktions- und Lieferstruktur

NIS2 Anhang II Nr. 10 erfasst verarbeitendes Gewerbe. Kreuze an, was auf deinen Betrieb zutrifft.

Direkte OEM-Zulieferung (Tier 1)Beliefert Endhersteller wie VW, BMW, Mercedes, Audi, Stellantis, Ford direktIndirekte Zulieferung (Tier 2 / Tier 3)Liefert an andere Automotive-Zulieferer, die wiederum OEMs beliefernAutomatisierte SerienfertigungCNC-Linien, Schweißroboter, Lackierstraßen, Press- oder SpritzgussanlagenTISAX-zertifiziert oder in VorbereitungBranchen-Indikator für OEM-relevante Aufträge und strukturierte IT-Sicherheit

Schritt 2 / 2

Unternehmensgröße

Automotive: Der vollständige NIS2-Leitfaden

Unternehmen in der Automobilbranche - von OEMs bis zu Tier-1- und Tier-2-Zulieferern - sind nach NIS2-Anhang II Nr. 5 (Verarbeitendes Gewerbe) betroffen, wenn sie 50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz überschreiten. Wer bereits TISAX-Pflichten erfüllt, hat einen erheblichen Vorsprung bei NIS2 - aber nicht alle TISAX-Anforderungen decken NIS2 ab. Dieser Leitfaden richtet sich an IT-Sicherheitsverantwortliche, CISOs und Compliance-Manager im Automotive-Umfeld.

Wer ist betroffen?

Automobilhersteller (OEMs), Tier-1- und Tier-2-Zulieferer, Softwareentwickler für Fahrzeugsysteme und Fahrzeugprüfdienstleister fallen unter NIS2-Anhang II Nr. 5 (Verarbeitendes Gewerbe, NACE C.29) bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Große OEMs (VW, BMW, Mercedes, Stellantis) sind mit mehr als 250 Mitarbeitenden und >50 Mio. EUR Umsatz Wesentliche Einrichtung nach NIS2-Anhang I, sofern ihre Fertigungskapazität eine kritische nationale Wirtschaftsfunktion darstellt.

Ein Tier-1-Zulieferer mit 200 Mitarbeitenden und 50 Mio. EUR Umsatz, der Steuergeräte für mehrere OEMs produziert, ist Wichtige Einrichtung nach NIS2-Anhang II.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu listet sieben Pflichtbereiche, die für die Automobilbranche durch die enge Vernetzung von Entwicklungs-IT, Fertigungs-OT und OEM-Anforderungen besonders relevant sind:

Risikoanalyse und -management: Entwicklungs-IT (CAD, PLM, Testinfrastruktur), Fertigungs-OT (MES, Robotik-Steuerung) und die Anbindung an OEM-Portale müssen bewertet werden.
Incident Handling: Ein Angriff auf das PLM-System kann die gesamte Modellentwicklung gefährden. Eskalation und Krisenkommunikation müssen OEM-Meldepflichten berücksichtigen.
Business Continuity: Automobilzulieferer sind JIT-/JIS-Zulieferer. Ein IT-Ausfall von mehr als 4 Stunden kann Bandstillstände beim OEM auslösen.
Supply-Chain-Sicherheit: OEMs verlangen bereits nach § 30 Abs. 2 Nr. 4 BSIG-neu entsprechende Sicherheitsnachweise von Zulieferern. Vertragsanpassungen sind zu erwarten.
Zugangskontrolle und MFA: Zugang zu Entwicklungsumgebungen, OEM-Portalen und Fertigungssystemen muss durch MFA gesichert sein.
Verschlüsselung: Entwicklungsdaten, Fahrzeugentwicklungspläne (NDA-geschützt) und Kundendaten müssen verschlüsselt gespeichert und übertragen werden.
Schulung und Awareness: Ingenieure, Fertigungsmitarbeitende und Verwaltung müssen regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Vorfall, der die Lieferfähigkeit für einen OEM-Kunden beeinträchtigt, ist gleichzeitig NIS2-meldepflichtig (an BSI) und meldepflichtig gegenüber dem OEM nach Liefervertragsklauseln.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz.

§ 38 BSIG-neu: Persönliche Haftung der Geschäftsleitung. Bei OEM-Verträgen kommen Vertragsstrafen bei Bandstillstand hinzu - NIS2-Bußgeld plus OEM-Vertragsstrafe können sich summieren.

TISAX Level 3 und NIS2: Doppelregulierung klug managen

TISAX (Trusted Information Security Assessment Exchange) ist der Branchenstandard der Automobilbranche für Informationssicherheit. TISAX basiert auf VDA ISA (Information Security Assessment), das wiederum stark an ISO 27001 angelehnt ist.

TISAX Level 3 (Schutz von Prototypen und hochsensiblen Daten) deckt viele Anforderungen ab, die auch § 30 BSIG-neu fordert: Risikoanalyse, Zugangskontrolle, Verschlüsselung, Incident Management. Wer TISAX Level 3 zertifiziert ist, erfüllt damit bereits Kernteile von NIS2.

Was NIS2 zusätzlich erfordert: BSI-Meldepflichten (TISAX-Assessments melden nicht an Behörden), persönliche Geschäftsführerhaftung und die explizite Supply-Chain-Pflicht. Eine Gap-Analyse zwischen TISAX-Konformität und NIS2 ist empfehlenswert, um Doppelarbeit zu vermeiden.

Erste Schritte

Prüfe Mitarbeiterzahl und Umsatz. Über 50 MA oder 10 Mio. EUR: Wichtige Einrichtung.
Führe eine Gap-Analyse zwischen bestehendem TISAX-Status und NIS2-Anforderungen durch.
Überprüfe alle OEM-Portalzugänge und Anbindungen an Entwicklungsplattformen.
Kartiere die Abhängigkeiten zwischen Entwicklungs-IT und Fertigungs-OT.
Prüfe aktuelle Lieferantenverträge auf NIS2-spezifische Sicherheitsklauseln.
Entwickle einen BCP, der OEM-Bandstillstand als Szenarien abbildet.
Registriere dich beim BSI.

Typische Fehler vermeiden

TISAX = NIS2-Konformität: TISAX erfüllt viele NIS2-Anforderungen, aber nicht alle. Meldepflichten, Geschäftsführerhaftung und Lieferkettenpflichten sind NIS2-spezifisch.

OEM-Portalzugänge ohne MFA: Zugang zu OEM-Entwicklungsplattformen (z.B. VW Group Supplier Portal) mit Passwort allein ist nicht NIS2-konform.

PLM-System aus Risikoanalyse ausgeklammert: Das PLM-System enthält sensible Entwicklungsdaten. Ein Angriff darauf ist ein erheblicher Sicherheitsvorfall.

JIT/JIS-Abhängigkeiten im BCP nicht berücksichtigt: Ein IT-Ausfall von 8 Stunden kann mehrere OEM-Bänder stilllegen und zu Vertragsstrafen führen.

Cyberversicherung ohne NIS2-Compliance: Viele Cyberversicherungsverträge beinhalten seit 2024 Klauseln, die den Versicherungsschutz an die Einhaltung gesetzlicher Mindest-Standards koppeln. NIS2-Verstöße können zur Verweigerung von Schadensersatz führen.

Besondere Situation: Software-defined Vehicles und Cybersicherheit

Neuere OEM-Plattformen (z.B. VW Scalable Systems Platform, BMW New Class) setzen auf Software-defined Vehicles. Das bedeutet: Software-Updates über OTA (Over-the-Air) werden Standard. Zulieferer, die Software-Komponenten für Fahrzeugsysteme entwickeln, müssen ihre gesamte Software-Entwicklungsinfrastruktur absichern - von der Build-Pipeline bis zur Code-Signing-Infrastruktur.

§ 30 Abs. 2 Nr. 6 BSIG-neu verlangt explizit "Sicherheit bei der Entwicklung, Beschaffung und Wartung von Netz- und Informationssystemen". Für Automotive-Zulieferer heißt das: Secure Software Development Lifecycle (SSDLC) als NIS2-Pflicht, nicht als optionale Best Practice.

Nutze den branchengenauen NIS2-Rechner für Automotive, um deine Betroffenheit zu prüfen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Automotive-Betrieb von NIS2 betroffen?

Automotive: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

TISAX Level 3 und NIS2: Doppelregulierung klug managen

Erste Schritte

Typische Fehler vermeiden

Besondere Situation: Software-defined Vehicles und Cybersicherheit

Häufig gestellte Fragen

01Ab wann gilt ein Automotive-Betrieb als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und TISAX für Automotive-Unternehmen?

03Welche Lieferkettenpflichten gelten für Automotive-Zulieferer unter NIS2?

04Welche Bußgelder drohen Automotive-Unternehmen bei NIS2-Verstößen?

05Wann müssen sich Automotive-Unternehmen beim BSI registrieren?

06Wie verhält sich NIS2 zur bestehenden TISAX-Zertifizierung?

07Haften Automotive-Geschäftsführer persönlich für NIS2-Compliance?