Ab wann gilt ein Chemiebetrieb als NIS2-pflichtig?

Chemiebetriebe fallen unter NIS2 Anhang II Nr. 7 (Chemische Stoffe), sobald sie mittlere Unternehmensgröße (50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz nach KMU-Empfehlung 2003/361/EG Art. 2) und industrielle Produktionsstruktur erfüllen. Betriebe mit Herstellung, Verarbeitung und Vertrieb gefährlicher Chemikalien können unabhängig von der Größe als Wesentliche Einrichtung eingestuft werden, wenn ihr Ausfall kritische Versorgungsketten gefährdet.

Wie verhält sich NIS2 zur Störfall-Verordnung (12. BImSchV) in der Chemie?

Die Störfall-Verordnung (12. BImSchV) regelt physische Sicherheitspflichten für Betriebe mit gefährlichen Stoffen; NIS2 ergänzt um Cybersicherheitspflichten für IT- und OT-Systeme. Beide Regelwerke überlappen bei Notfallplänen und internen Alarmierungssystemen. Ein Cyberangriff auf eine Prozesssteuerung, der einen Störfall auslöst, kann sowohl NIS2-Meldepflichten nach § 32 BSIG-neu als auch Behördenmeldepflichten nach § 19 Störfall-VO auslösen.

Welche OT-Schutzpflichten gelten für Chemiebetriebe nach NIS2?

Prozessleitsysteme (DCS), SPS-Sicherheitssteuerungen (SIS) und Feldgeräte gelten als kritische OT-Infrastruktur nach § 30 BSIG-neu. Pflichtmaßnahmen umfassen Netzwerksegmentierung zwischen Prozessebene und Office-IT, Zugangskontrolle für Leitwarten, Patch-Management für DCS-Systeme und Backup-Konzepte für Rezepturdaten. IEC 62443 liefert ergänzende Sicherheitsanforderungen für industrielle Automatisierungssysteme in der Chemie.

Welche Bußgelder drohen Chemiebetrieben bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Chemieunternehmen) Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (große Konzerne) werden mit denselben Obergrenzen belegt. Geschäftsführer haften persönlich nach § 38 BSIG-neu. Bei Vorfällen, die die Störfall-Verordnung auslösen, können zudem Bußgelder nach BImSchG § 62 entstehen.

Was bedeuten NIS2-Lieferkettenpflichten für Chemiebetriebe?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Lieferkettensicherheit. Chemiebetriebe müssen Sicherheitsanforderungen an Anbieter von DCS-/SIS-Systemen (z. B. Emerson, Honeywell, Yokogawa), Rohstofflieferanten mit IT-Schnittstellen und Logistikpartner stellen. Ausgehende Pflichten gelten, wenn der Chemiebetrieb selbst kritische Zulieferer für Pharmabetriebe, Energieerzeuger oder Wasserversorger ist.

Wann müssen sich Chemiebetriebe beim BSI registrieren?

§ 33 BSIG-neu verlangt die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Für Betriebe, die ab Inkrafttreten des BSIG-neu die Kriterien erfüllen, gilt eine dreimonatige Übergangsfrist. Die Registrierung erfolgt über das BSI-Meldeportal mit Angaben zu Sektorklassifikation (chemische Stoffe), Einrichtungskategorie und Kontaktstelle.

Haften Chemieunternehmen-Geschäftsführer persönlich für NIS2-Compliance?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Bei nachgewiesenem Organisationsverschulden droht persönliche Haftung. Chemiebetriebe sollten NIS2-Anforderungen in ihre bestehenden Sicherheitsmanagementsysteme integrieren, die Störfall-Verordnung und IEC 62443 koordinieren und alle Managementbeschlüsse sowie Schulungsnachweise revisionssicher archivieren.

Branchengenauer Self-Check

Ist mein Chemiebetrieb von NIS2 betroffen?

Grundchemie, Spezialchemie, Formulierer: Die Chemiebranche fällt direkt unter Anhang II NIS2. Störfall-Verordnung und REACH schaffen zusätzlich erhöhte Anforderungen.

Schritt 1 / 2

Produktions- und Prozessstruktur

NIS2 Anhang II Nr. 7 erfasst die Herstellung chemischer Stoffe. Kreuze an, was auf deinen Betrieb zutrifft.

Herstellung von Grund- oder SpezialchemikalienOrganische / anorganische Synthese, Polymerisation, Katalyse, RaffinationBetrieb prozessautomatisierter ProduktionsanlagenDCS / SCADA / Prozessleitsysteme, chargenweise oder kontinuierliche ProduktionAnwendung der Störfall-Verordnung (12. BImSchV)Erweiterte Pflichten nach Seveso-III-Richtlinie, Sicherheitsbericht erforderlichB2B-Belieferung von Weiterverarbeitern oder EndkundenPharma-Industrie, Automotive-Lackhersteller, Agrochemie, Handel, Export

Schritt 2 / 2

Unternehmensgröße

Chemie: Der vollständige NIS2-Leitfaden

Chemieunternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz sind nach NIS2-Anhang II Nr. 5 (Verarbeitendes Gewerbe) betroffen. Betreiber von Anlagen mit gefährlichen Stoffen nach Seveso-III-Richtlinie unterliegen dabei einer Regulierungs-Überschneidung, die eine koordinierte Compliance-Strategie erfordert. Dieser Leitfaden richtet sich an Betriebsleiter, Sicherheitsbeauftragte und IT-Verantwortliche in der Chemieindustrie.

Wer ist betroffen?

Chemieunternehmen (NACE C.20) fallen unter NIS2-Anhang II Nr. 5 bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Große Chemiekonzerne (BASF, Bayer, Evonik etc.) sind in der Regel Wesentliche Einrichtung nach Anhang I, sofern ihre Produktionskapazität kritische Versorgungsfunktionen erfüllt. Betreiber von Seveso-III-Anlagen (obere Klasse) sind darüber hinaus nach § 3 der 12. BImSchV zur Sicherheitsanalyse verpflichtet.

Ein Spezialchemie-Unternehmen mit 200 Mitarbeitenden, einer Produktionsanlage mit gefährlichen Stoffen und einem Labornetzwerk ist klar NIS2-pflichtig und Wichtige Einrichtung.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu fordert sieben Pflichtkategorien, die für Chemieunternehmen durch die Kombination von IT und Prozesssteuerung sowie die Seveso-Sicherheitsanforderungen besonders relevant sind:

Risikoanalyse und -management: Prozessleitsysteme (DCS/PLC), Laborinformationssysteme (LIMS), ERP und die Anbindung zu Kundenportalen müssen bewertet werden. Störfall-relevante IT-Systeme sind mit besonderer Priorität zu behandeln.
Incident Handling: Ein Cyberangriff auf das Prozessleitsystem ist gleichzeitig ein IT-Sicherheitsvorfall (NIS2) und potenziell ein Störfall nach BImSchG. Beide Eskalationswege müssen koordiniert sein.
Business Continuity: Anlagenabschaltungen aus IT-Gründen können gefährlich sein (exotherme Prozesse, Druckaufbau). BCPs müssen sichere Abschaltverfahren und manuelle Steuerungsoptionen beschreiben.
Supply-Chain-Sicherheit: Lieferanten von Prozessleittechnik, LIMS-Software und Logistikdienstleister müssen auf Sicherheitsstandards bewertet werden.
Zugangskontrolle und MFA: Zugang zu Prozessleitsystemen und Unternehmensnetzen muss durch MFA gesichert sein. Insbesondere Wartungszugänge von Anlagenherstellern sind kritisch.
Verschlüsselung: Rezepturdaten, Forschungsdaten und Kundendaten müssen verschlüsselt sein. Patent-kritische Forschungsergebnisse genießen besonderen Schutzstatus.
Schulung und Awareness: Betriebspersonal, Labormitarbeitende und Verwaltung müssen regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Cyberangriff auf das Prozessleitsystem einer Chemieanlage muss innerhalb von 24 Stunden an das BSI gemeldet werden. Gleichzeitig können Meldepflichten nach § 19 BImSchG (erhebliche Störfälle) ausgelöst werden.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz.

§ 38 BSIG-neu: Persönliche Haftung der Geschäftsleitung. In Kombination mit Umwelthaftung (UmwHG) und Störfallverordnungs-Sanktionen ist das Risiko für Geschäftsführer von Chemieunternehmen erheblich.

Seveso-III und NIS2: Sicherheitskonzepte harmonisieren statt duplizieren

Die Seveso-III-Richtlinie (2012/18/EU, umgesetzt als 12. BImSchV) verpflichtet Betreiber von Anlagen mit gefährlichen Stoffen zu umfassenden Sicherheitsmanagementsystemen. Die Schnittmenge mit NIS2 ist erheblich:

Seveso-III Art. 8 verlangt ein "Konzept zur Verhütung schwerer Unfälle" (KVSU) mit systematischer Gefahrenanalyse. NIS2 § 30 BSIG-neu verlangt eine Risikoanalyse für IT-Systeme. Beide Pflichten greifen in Chemieunternehmen ineinander: IT-Ausfälle können Störfälle auslösen, und Störfälle können IT-Infrastruktur beschädigen.

Harmonisierungspotenzial: Das KVSU kann die IT-Sicherheitsrisikoanalyse nach NIS2 integrieren. Notfallpläne nach Seveso-III Art. 12 können NIS2-Notfallpläne umfassen. So lassen sich Doppelarbeiten vermeiden und ein integriertes Sicherheitsmanagementsystem aufbauen.

Erste Schritte

Kläre Mitarbeiterzahl und Umsatz. Wichtige oder Wesentliche Einrichtung?
Prüfe: Ist die Anlage Seveso-III-pflichtig? Wenn ja: Gap-Analyse zwischen KVSU und NIS2.
Kartiere alle IT-Systeme, die Einfluss auf Produktionsprozesse haben.
Identifiziere alle Fernwartungszugänge für Prozessleittechnik.
Stelle sicher, dass Netzwerksegmentierung OT-Netz und Office-IT trennt.
Entwickle einen Incident-Response-Plan, der NIS2-Meldung und BImSchG-Eskalation koordiniert.
Registriere dich beim BSI.

Typische Fehler vermeiden

NIS2 und Störfallverordnung separat behandelt: Beide Regelwerke betreffen die Sicherheit von Chemieanlagen. Ein integrierter Ansatz ist effizienter und reduziert Compliance-Kosten.

Prozessleitsystem als "Closed System" betrachtet: Moderne DCS und PLC sind über Netzwerke erreichbar. Der Angriffsweg "von Büronetz zu Prozessleitsystem" ist die häufigste Angriffstechnik auf Chemieunternehmen.

Patent-kritische Forschungsdaten nicht gesondert geschützt: Diebstahl von Rezepturen und Forschungsdaten durch Industrie-Espionage ist ein unterschätztes Risiko.

Wartungszugänge von Anlageherstellern nicht bewertet: Externe Dienstleister mit Zugang zur Prozessleittechnik sind kritische Lieferanten nach § 30 Abs. 2 Nr. 4 BSIG-neu.

Betriebliche Sicherheit und Cybersicherheit in Silos: In Chemieunternehmen gibt es oft einen Sicherheitsbeauftragten für den Anlagenbetrieb (HSE) und einen für IT-Sicherheit. Beide müssen für NIS2-Compliance zusammenarbeiten.

Besonderheit: REACH, CLP und Datenschutzverpflichtungen für Stoffdaten

Chemiebetriebe verarbeiten hochsensible Stoffdaten: Sicherheitsdatenblätter (SDS), Exposition-Szenarien und Rezepturdaten sind sowohl nach REACH als auch nach NIS2 schützenswert. Ein Datenverlust durch Cyberangriff kann REACH-Compliance-Konsequenzen haben, wenn Sicherheitsdaten für Lieferkettenkunden nicht mehr bereitgestellt werden können.

§ 30 BSIG-neu verlangt für solche Szenarien: Backup und Wiederherstellung kritischer Datenbanken (Stoffdatenmanagement), Zugriffskontrolle auf sensible Chemiedaten und Verschlüsselung von Formulierungsdaten (Rezepturen).

Praktisch: Klassifiziere deine Daten nach Schutzbedarf. REACH-relevante Sicherheitsdaten und patentierte Rezepturen gehören in die höchste Schutzklasse.

Nutze den branchengenauen NIS2-Rechner für Chemie, um deine Betroffenheit zu bestimmen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Chemiebetrieb von NIS2 betroffen?

Chemie: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Seveso-III und NIS2: Sicherheitskonzepte harmonisieren statt duplizieren

Erste Schritte

Typische Fehler vermeiden

Besonderheit: REACH, CLP und Datenschutzverpflichtungen für Stoffdaten

Häufig gestellte Fragen

01Ab wann gilt ein Chemiebetrieb als NIS2-pflichtig?

02Wie verhält sich NIS2 zur Störfall-Verordnung (12. BImSchV) in der Chemie?

03Welche OT-Schutzpflichten gelten für Chemiebetriebe nach NIS2?

04Welche Bußgelder drohen Chemiebetrieben bei NIS2-Verstößen?

05Was bedeuten NIS2-Lieferkettenpflichten für Chemiebetriebe?

06Wann müssen sich Chemiebetriebe beim BSI registrieren?

07Haften Chemieunternehmen-Geschäftsführer persönlich für NIS2-Compliance?