Ab wann gilt ein Elektronikhersteller als NIS2-pflichtig?

Elektronikhersteller fallen unter NIS2 Anhang II Nr. 10 (verarbeitendes Gewerbe), sobald sie mittlere Unternehmensgröße (50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz nach KMU-Empfehlung 2003/361/EG Art. 2) und industrielle Fertigungsstruktur erfüllen. Industrielle Fertigung umfasst automatisierte SMT-Linien, ICT-Prüfsysteme und vernetzte Produktionssteuerung. Hersteller von Komponenten für kritische Infrastruktur (z. B. Halbleiter für Energieversorgung) können als Wesentliche Einrichtung eingestuft werden.

Was ist der Unterschied zwischen NIS2 und KRITIS für Elektronikhersteller?

Elektronikhersteller sind standardmäßig Anhang-II-Einrichtungen (Wichtige Einrichtungen) unter NIS2. KRITIS nach BSI-KritisV greift nur, wenn ein Elektronikhersteller gleichzeitig kritische Infrastruktur betreibt (z. B. als Betreiber eines Telekommunikationsnetzes). Als reiner Hersteller unterliegen Elektronikunternehmen ausschließlich NIS2. Zulieferer von Schlüsselkomponenten für kritische Sektoren können durch vertragliche Weitergabe von NIS2-Anforderungen indirekt betroffen sein.

Welche Schutzpflichten gelten für vernetzte Fertigungsanlagen bei Elektronikherstellern?

Automatisierte SMT-Linien, ICT-Testsysteme und MES-Plattformen gelten als OT-Infrastruktur nach § 30 BSIG-neu. Pflichtmaßnahmen umfassen Netzwerksegmentierung OT/IT, Zugangskontrolle für Fertigungsrechner, Patch-Management für Produktionssoftware und Backup-Konzepte für Fertigungsprogramme und Prüfdaten. Die IEC 62443 liefert ergänzende Sicherheitsanforderungen für Automatisierungssysteme in der Elektronikproduktion.

Welche Bußgelder drohen Elektronikherstellern bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Elektronikhersteller) Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (große Konzerne) werden mit denselben Obergrenzen belegt. Persönliche Geschäftsführerhaftung nach § 38 BSIG-neu kommt bei schuldhaftem Organisationsverschulden hinzu.

Was bedeuten NIS2-Lieferkettenpflichten für Elektronikhersteller?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Lieferkettensicherheit. Elektronikhersteller müssen Sicherheitsanforderungen an Zulieferer von ERP-Systemen, PCB-Design-Software (CAD/CAM), Fertigungssoftware und Logistikplattformen stellen. Als Komponentenlieferant für NIS2-pflichtige Kunden können Elektronikhersteller ihrerseits Sicherheitsanforderungen von Abnehmern empfangen und müssen diese erfüllen.

Wann müssen sich Elektronikhersteller beim BSI registrieren?

§ 33 BSIG-neu verlangt die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Für Betriebe, die ab Inkrafttreten des BSIG-neu direkt die Kriterien erfüllen, gilt eine dreimonatige Übergangsfrist. Die Registrierung erfolgt über das BSI-Meldeportal mit Sektorklassifikation (verarbeitendes Gewerbe), Einrichtungskategorie und Kontaktstelle.

Haften Geschäftsführer von Elektronikherstellern persönlich für NIS2-Compliance?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Schuldhaftes Unterlassen kann persönliche Haftung auslösen. Elektronikhersteller sollten ein ISMS nach ISO/IEC 27001 aufbauen, das OT-Systeme einschließt (IEC 62443), und Managementbeschlüsse sowie Schulungsnachweise revisionssicher archivieren.

Branchengenauer Self-Check

Ist mein Elektronik-Betrieb von NIS2 betroffen?

Platinenbestückung, Industrieelektronik, Consumer-Geräte, Sensorik: Elektronikhersteller sind explizit in Anhang II NIS2 als verarbeitendes Gewerbe gelistet.

Schritt 1 / 2

Fertigungs- und Produktstruktur

NIS2 Anhang II Nr. 10 erfasst verarbeitendes Gewerbe inkl. Elektronikhersteller. Kreuze an, was auf deinen Betrieb zutrifft.

Serienfertigung elektronischer Geräte oder BaugruppenSMT-Bestückung, Gehäuseendmontage, Funktionsprüfung, VerpackungAutomatisierte SMT- oder THT-LinienPick-and-Place, Reflow-Öfen, automatische optische Inspektion (AOI), RöntgentestsODM- / OEM-Fertigung für MarkenkundenContract Manufacturing, White-Label, Design- und FertigungsdienstleistungRoHS / CE / FCC-Compliance-Prozesse etabliertStrukturierte Konformitätsnachweise, Lieferketten-Tracking, BoM-Management

Schritt 2 / 2

Unternehmensgröße

Elektronik: Der vollständige NIS2-Leitfaden

Elektronikunternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz sind nach NIS2-Anhang II Nr. 5 (Verarbeitendes Gewerbe) betroffen. Die besondere Herausforderung in der Elektronikbranche liegt in den komplexen Contract-Manufacturing- und ODM-Lieferketten: NIS2 fordert, dass diese Lieferantenbeziehungen nach § 30 Abs. 2 Nr. 4 BSIG-neu gesichert werden. Dieser Leitfaden richtet sich an Geschäftsführer, Supply-Chain-Verantwortliche und IT-Sicherheitsleiter in der Elektronikbranche.

Wer ist betroffen?

Elektronikhersteller (NACE C.26 Herstellung von Datenverarbeitungsgeräten, C.27 Elektrische Ausrüstungen) fallen unter NIS2-Anhang II Nr. 5 bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Unternehmen, die Elektronikkomponenten für kritische Infrastruktur herstellen (z.B. Steuergeräte für Energie, Medizintechnik oder Automotive), sind als Lieferanten nach § 30 Abs. 2 Nr. 4 BSIG-neu besonders gefordert.

Ein EMS/ODM-Dienstleister mit 200 Mitarbeitenden, der Leiterplatten und Baugruppen für Automobilkunden und Medizintechnikunternehmen produziert, ist Wichtige Einrichtung nach NIS2.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu definiert sieben Pflichtbereiche, die für Elektronikunternehmen durch die Lieferkettenkomplexität besonders relevant sind:

Risikoanalyse und -management: ERP, PLM, Fertigungsmanagementsysteme (MES), Prüfsysteme und Lieferantenportale müssen in die Risikoanalyse einbezogen werden.
Incident Handling: Ein Sicherheitsvorfall in der Entwicklungs-IT kann geistiges Eigentum (Schaltpläne, Layouts) kompromittieren und Kunden-IP gefährden. Kunden müssen informiert werden.
Business Continuity: Lieferausfälle in der Elektronikindustrie lösen bei Kunden in kritischen Industrien Produktionsstopps aus. BCPs müssen Lieferkettenunterbrechungen explizit adressieren.
Supply-Chain-Sicherheit: Kunden aus NIS2-relevanten Sektoren werden Sicherheitsanforderungen nach § 30 Abs. 2 Nr. 4 BSIG-neu stellen. Vertragsanpassungen sind vorzubereiten.
Zugangskontrolle und MFA: Zugang zu Entwicklungsumgebungen, Kunden-IP-Repositories und ERP muss durch MFA gesichert sein.
Verschlüsselung: Kunden-IP (Schaltpläne, Firmware, Layouts), Fertigungsdaten und Prüfberichte müssen verschlüsselt gespeichert sein.
Schulung und Awareness: Entwickler, Fertigungspersonal und Verwaltung müssen regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Datendiebstahl von Kunden-IP (Schaltpläne, Firmware) ist ein meldepflichtiger Sicherheitsvorfall. Die Meldung muss auch dann erfolgen, wenn der Schaden primär beim Kunden liegt.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. § 38 BSIG-neu: Persönliche Haftung der Geschäftsleitung. Dazu kommt vertragliche Haftung gegenüber Kunden bei IP-Verlust.

Contract Manufacturing und ODM-Lieferketten nach § 30 Abs. 2 Nr. 4 BSIG-neu absichern

Die Elektronikbranche ist durch mehrstufige Lieferketten geprägt: OEM beauftragt EMS/ODM, der seinerseits Bestückungspartner, Komponentenlieferanten und Logistikdienstleister einsetzt. Jede Stufe dieser Kette ist ein potenzieller Angriffspunkt.

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet NIS2-Einrichtungen, Sicherheitsanforderungen in Lieferantenverträge aufzunehmen. Für Elektronikunternehmen, die NIS2-pflichtige Kunden haben, bedeutet das: Kunden werden vertragliche Sicherheitsnachweise (ISO 27001, SOC 2), Audit-Rechte und Incident-Notification fordern.

Konkrete Vertragsklauseln, die erwartet werden: Pflicht zur MFA bei Zugang zu Kundensystemen, Verschlüsselung von Kunden-IP, Meldepflicht bei Sicherheitsvorfällen binnen 24 Stunden, Recht auf Sicherheitsaudits und Nachweis einer Risikoanalyse.

Für ODM-Dienstleister, die viele kleine Kunden haben: Standardisierte Sicherheitsnachweise (Zertifikate) sind effizienter als individuelle Vertragsverhandlungen.

Erste Schritte

Kläre Mitarbeiterzahl und Umsatz. Über 50 MA oder 10 Mio. EUR: Wichtige Einrichtung.
Identifiziere NIS2-pflichtige Kunden: Automotive, Gesundheit, Energie, Wasser, IT-Dienstleister.
Inventarisiere alle Systeme, auf denen Kunden-IP gespeichert ist.
Prüfe bestehende Verträge auf fehlende Sicherheitsklauseln.
Führe eine Gap-Analyse zum ISO-27001-Standard durch, um Zertifizierungsaufwand abzuschätzen.
Erstelle einen Incident-Response-Plan mit Kunden-Notifizierungsprozess.
Registriere dich beim BSI.

Typische Fehler vermeiden

Kunden-IP nicht separat von Unternehmens-IT gesichert: Schaltpläne und Firmware-Repositories von Kunden müssen in getrennten, besonders gesicherten Umgebungen liegen.

EMS/ODM-Kette nicht als NIS2-relevant erkannt: Auch wer selbst "nur" Hersteller ist, ist kritischer Lieferant für NIS2-pflichtige Kunden und muss deren Anforderungen erfüllen.

Zertifizierung bis zum Kundendruck aufgeschoben: Wer wartet, bis Kunden Zertifikate fordern, hat keine Zeit für eine sorgfältige ISO-27001-Implementierung.

Prüfberichte und Testdaten nicht gesichert: Qualitätsprüfberichte und Testdaten sind Geschäftsgeheimnisse und müssen in die Sicherheitsarchitektur einbezogen werden.

Keine Trennung von Kunden-IP-Umgebungen: Wer Entwicklungsunterlagen mehrerer Kunden auf demselben System speichert, ohne Mandantentrennung, riskiert sowohl Datenleck als auch Vertragsbruch.

Besonderheit: Hardware-Trojaner und Supply-Chain-Integrität

Elektronikunternehmen stehen vor einer spezifischen Bedrohung, die in anderen Sektoren kaum existiert: Hardware-Trojaner und manipulierte Komponenten in der Lieferkette. Ein kompromittierter Chip in einem Steuergerät oder einem Medizinprodukt kann verheerende Folgen haben.

§ 30 Abs. 2 Nr. 4 BSIG-neu verlangt Sicherheitsanforderungen an "unmittelbare Zulieferer". Für Elektronikunternehmen bedeutet das: Komponentenlieferanten aus Hochrisikoregionen müssen besonderen Prüfverfahren unterzogen werden. Trusted-Platform-Module (TPM), Secure-Boot-Architekturen und Hardware-Attestierung sind technische Maßnahmen, die NIS2-konformes Lieferketten-Sicherheitsmanagement unterstützen.

Praktisch: Führe für kritische Komponenten (Chips, Mikrocontroller, FPGA) eine Lieferanten-Risikoklassifizierung durch. Dokumentiere, wie du die Echtheit und Integrität kritischer Bauteile verifizierst.

Nutze den branchengenauen NIS2-Rechner für Elektronik, um deine Betroffenheit zu prüfen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Elektronik-Betrieb von NIS2 betroffen?

Elektronik: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Contract Manufacturing und ODM-Lieferketten nach § 30 Abs. 2 Nr. 4 BSIG-neu absichern

Erste Schritte

Typische Fehler vermeiden

Besonderheit: Hardware-Trojaner und Supply-Chain-Integrität

Häufig gestellte Fragen

01Ab wann gilt ein Elektronikhersteller als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Elektronikhersteller?

03Welche Schutzpflichten gelten für vernetzte Fertigungsanlagen bei Elektronikherstellern?

04Welche Bußgelder drohen Elektronikherstellern bei NIS2-Verstößen?

05Was bedeuten NIS2-Lieferkettenpflichten für Elektronikhersteller?

06Wann müssen sich Elektronikhersteller beim BSI registrieren?

07Haften Geschäftsführer von Elektronikherstellern persönlich für NIS2-Compliance?