Ab wann gilt ein Maschinenbaubetrieb als NIS2-pflichtig?

Maschinenbaubetriebe fallen unter NIS2 Anhang II Nr. 10 (verarbeitendes Gewerbe), sobald sie mittlere Unternehmensgröße (50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz nach KMU-Empfehlung 2003/361/EG Art. 2) und industrielle Fertigungsstruktur erfüllen. Die Fertigungsstruktur gilt als industriell bei automatisierten CNC-Produktionslinien, vernetzten Werkzeugmaschinen oder digitaler Auftragssteuerung (MES). Einzelne Werkstattbetriebe ohne Netzanbindung sind in der Regel nicht erfasst.

Was ist der Unterschied zwischen NIS2 und KRITIS für den Maschinenbau?

Maschinenbauunternehmen sind standardmäßig Anhang-II-Einrichtungen (Wichtige Einrichtungen) unter NIS2. KRITIS nach BSI-KritisV greift nur, wenn ein Maschinenbauer gleichzeitig kritische Infrastruktur für andere Sektoren betreibt (z. B. als Instandhalter von Energieversorgungsanlagen). In der Regel unterliegen Maschinenbauer ausschließlich NIS2, nicht KRITIS.

Welche Schutzpflichten gelten für vernetzte Maschinen und MES-Systeme unter NIS2?

Vernetzte CNC-Maschinen, Roboter und MES-Systeme gelten als OT-Infrastruktur nach § 30 BSIG-neu. Pflichtmaßnahmen umfassen Netzwerksegmentierung zwischen OT-Fertigungsebene und Office-IT, Zugangskontrolle für Werkzeugmaschinen-Controller, Patch-Management für CNC-Firmware und Backup-Konzepte für Fertigungsprogramme. Besondere Relevanz hat Schutz gegen Angriffe auf Industrie-4.0-Schnittstellen (OPC-UA, MQTT).

Welche Bußgelder drohen Maschinenbauunternehmen bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Maschinenbauer) Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (große Unternehmen, Konzerne) werden mit denselben Obergrenzen belegt. Geschäftsführer haften persönlich nach § 38 BSIG-neu bei nachgewiesenem Organisationsverschulden.

Was bedeuten NIS2-Lieferkettenpflichten für den Maschinenbau?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Absicherung der Lieferkette. Maschinenbauer müssen Cybersicherheitsanforderungen an Zulieferer von CNC-Steuerungen, Hydraulikkomponenten mit Netzanbindung, MES-Software und Wartungsdienstleister stellen. Ausgehende Lieferkettenpflichten gelten ebenso: Wenn ein Maschinenbauer Kunden aus kritischen Sektoren beliefert, können diese NIS2-Anforderungen per Vertrag weitergeben.

Wann müssen sich Maschinenbauunternehmen beim BSI registrieren?

§ 33 BSIG-neu verlangt die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Für Betriebe, die ab Inkrafttreten des BSIG-neu direkt die Kriterien erfüllen, gilt eine dreimonatige Übergangsfrist. Die Registrierung erfolgt über das BSI-Meldeportal mit Angaben zu Sektorklassifikation (verarbeitendes Gewerbe), Einrichtungskategorie und Kontaktstelle.

Haften Maschinenbau-Geschäftsführer persönlich für NIS2-Compliance?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Schuldhaftes Unterlassen kann persönliche Haftung auslösen. Maschinenbauunternehmen können NIS2-Anforderungen gut mit einem ISO/IEC 27001-ISMS kombinieren, das OT-Systeme (IEC 62443) einschließt und explizit die Geschäftsführungsverpflichtungen nach § 38 BSIG-neu dokumentiert.

Branchengenauer Self-Check

Ist mein Maschinenbau-Betrieb von NIS2 betroffen?

Sondermaschinen, Serienfertigung, Werkzeugbau: Der deutsche Mittelstand trifft mit hoher Wahrscheinlichkeit die NIS2-Schwellen. Export und Remote Service erhöhen die Angriffsfläche.

Schritt 1 / 2

Produktions- und Servicestruktur

NIS2 Anhang II Nr. 10 erfasst verarbeitendes Gewerbe. Kreuze an, was auf deinen Betrieb zutrifft.

Serien- oder Typenfertigung von MaschinenKatalogprodukte, Werkzeugmaschinen, Produktionsanlagen, RobotikVernetzte Fertigung mit MES / ERP / IIoTIntegrierte Steuerung, Digital Twin, Manufacturing Execution SystemRemote Service / Predictive Maintenance an KundenmaschinenWartungszugänge, VPN-Tunnel, Telemetrie-Daten aus dem Feld, OPC UAExport an B2B-Kunden weltweitLieferkette in mehreren Ländern, Service-Stützpunkte, internationale Kunden

Schritt 2 / 2

Unternehmensgröße

Maschinenbau: Der vollständige NIS2-Leitfaden

Maschinenbauunternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz sind nach NIS2-Anhang II Nr. 5 (Verarbeitendes Gewerbe) betroffen. Die besondere Herausforderung für den Maschinenbau liegt in der wachsenden Digitalisierung von Maschinen: Remote Service, Predictive Maintenance und digitale Zwillinge schaffen neue Angriffsvektoren, die NIS2 direkt adressiert. Dieser Leitfaden richtet sich an Geschäftsführer, Produktverantwortliche und IT-Leiter im Maschinenbau.

Wer ist betroffen?

Maschinenbauunternehmen (NACE C.28 Maschinenbau) fallen unter NIS2-Anhang II Nr. 5 bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Unternehmen mit mehr als 250 Mitarbeitenden und mehr als 50 Mio. EUR Umsatz sind Wichtige Einrichtung der zweithöchsten Kategorie nach Anhang II. Wesentliche Einrichtung (Anhang I) ist im Maschinenbau selten, außer wenn Unternehmen auch Betreiber kritischer Infrastruktur sind.

Ein Maschinenbauer mit 300 Mitarbeitenden, einer eigenen Remote-Service-Plattform und Kunden in der Energie- und Pharmabranche ist klar NIS2-pflichtig und hat erhöhte Risiko-Exposition durch seine vernetzten Produkte.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu definiert sieben Pflichtbereiche, die für Maschinenbauer durch die Verbindung von Unternehmens-IT und Produkt-IT besonders relevant sind:

Risikoanalyse und -management: ERP, CAD/PLM, Remote-Service-Plattformen und die Netzwerkanbindung zu Kundensystemen müssen bewertet werden.
Incident Handling: Ein Sicherheitsvorfall auf der Remote-Service-Plattform kann simultan viele Kundenmaschinen betreffen. Der IR-Plan muss Kunden-Notifizierung vorsehen.
Business Continuity: Ausfälle der Remote-Service-Infrastruktur können vertragliche SLAs mit Kunden verletzen. BCP muss Eskalation und manuelle Serviceprozesse definieren.
Supply-Chain-Sicherheit: Komponentenlieferanten, Softwareanbieter für Steuerungssysteme und Cloud-Dienstleister müssen auf Sicherheitsstandards bewertet werden.
Zugangskontrolle und MFA: Zugang zu Remote-Service-Systemen, Entwicklungsumgebungen und ERP muss durch MFA gesichert sein.
Verschlüsselung: Maschinendaten, Diagnosedaten und Entwicklungsunterlagen müssen verschlüsselt übertragen und gespeichert werden.
Schulung und Awareness: Service-Ingenieure, Entwickler und Verwaltung müssen regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten nach Betroffenheit. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Angriff auf die Remote-Service-Plattform, der Maschinendaten von Kunden kompromittiert oder Maschinensteuerungen manipuliert hat, ist ein meldepflichtiger Vorfall. Die Meldepflicht gilt auch, wenn der Schaden beim Kunden liegt.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. § 38 BSIG-neu begründet persönliche Haftung der Geschäftsleitung. Hinzu kommt Produkthaftung, wenn NIS2-Pflichtverletzungen zur Kompromittierung von Kundensystemen führen.

Remote Service und Predictive Maintenance als Angriffsvektor: MITRE ATT&CK für ICS

Der Remote-Zugriff auf Kundenmaschinen ist einer der größten Sicherheitsrisiken im modernen Maschinenbau. Über Remote-Service-Plattformen können Techniker Diagnosen durchführen, Software-Updates einspielen und Parameter ändern. Diese Verbindungen sind direkte Zugänge zu industriellen Steuerungssystemen beim Kunden.

Das MITRE ATT&CK for ICS-Framework beschreibt konkrete Angriffstechniken auf industrielle Systeme. Für Maschinenbauer relevant: "Remote Services" (T0886), "Lateral Movement via Remote Services" (T0812) und "Modify Parameter" (T0836). Ein Angreifer, der die Remote-Service-Plattform des Maschinenbauers kompromittiert, kann über legitime Zugangswege in die Steuerungssysteme von Dutzenden Kunden gelangen.

§ 30 BSIG-neu verlangt dafür: Dedizierte Sicherheitsarchitektur für Remote-Service-Zugänge (Sprungserver, Session-Recording), Zugriff nur auf Abruf mit zeitlicher Begrenzung, vollständige Protokollierung aller Remote-Aktionen und regelmäßige Überprüfung der Zugriffsberechtigungen.

Erste Schritte

Kläre Mitarbeiterzahl und Umsatz. Über 50 MA oder 10 Mio. EUR: Wichtige Einrichtung.
Inventarisiere alle vernetzten Produkte und die zugehörigen Remote-Service-Infrastrukturen.
Führe eine Risikoanalyse für Remote-Service-Zugänge durch: Wer hat Zugang zu welchen Kundenmaschinen?
Prüfe: Werden Remote-Aktionen vollständig protokolliert? Gibt es Session-Recording?
Identifiziere Kunden in NIS2-relevanten Sektoren (Energie, Gesundheit, Wasser): Diese werden Sicherheitsanforderungen stellen.
Erstelle einen Incident-Response-Plan mit Kunden-Notifizierungsprozess.
Registriere dich beim BSI.

Typische Fehler vermeiden

Remote-Service-Plattform als "Produkt" nicht als eigenes IT-Sicherheitsobjekt: Die Remote-Service-Infrastruktur ist Unternehmens-IT im NIS2-Sinne. Ihre Sicherheit ist deine Verantwortung.

Keine Protokollierung von Remote-Aktionen: Was ein Techniker remote an einer Kundenmaschine tut, muss lückenlos protokolliert sein. Fehlende Protokolle sind ein Compliance-Problem und ein forensisches Problem.

Software-Updates ohne signierte Übertragung: Firmware- und Software-Updates, die remote eingespielt werden, müssen signiert und integer übertragen werden.

Kundenmeldung bei Sicherheitsvorfällen vergessen: Wenn die Remote-Service-Plattform kompromittiert wird, müssen betroffene Kunden sofort informiert werden - unabhängig von der BSI-Meldepflicht.

Software-Patches für Maschinensteuerungen nicht in den Update-Prozess integriert: Steuersoftware, die seit Jahren keine Sicherheits-Patches erhalten hat, ist ein reales Risiko. Für NIS2-Konformität braucht es einen dokumentierten Patch-Management-Prozess auch für OT-Komponenten.

Besondere Situation: EU Machinery Regulation und Cybersicherheit

Die neue EU-Maschinenverordnung (EU) 2023/1230, gültig ab 20. Januar 2027, bringt erstmals explizite Cybersicherheitsanforderungen für Maschinen. Sicherheitsrelevante Steuerungssysteme müssen gegen unbefugte Eingriffe geschützt werden. Diese Anforderungen überschneiden sich erheblich mit NIS2 § 30 BSIG-neu für Maschinenbauer.

Konkreter Handlungsbedarf: Wer heute Maschinen für den EU-Markt entwickelt, muss Cybersicherheit in den Entwicklungsprozess integrieren (Security by Design). Risikoanalysen nach EU-Maschinenverordnung sollten Cybersecurity-Risiken einschließen - das deckt sich mit der NIS2-Risikoanalyse-Pflicht.

Nutze den branchengenauen NIS2-Rechner für Maschinenbau, um deine Betroffenheit zu ermitteln.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Maschinenbau-Betrieb von NIS2 betroffen?

Maschinenbau: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Remote Service und Predictive Maintenance als Angriffsvektor: MITRE ATT&CK für ICS

Erste Schritte

Typische Fehler vermeiden

Besondere Situation: EU Machinery Regulation und Cybersicherheit

Häufig gestellte Fragen

01Ab wann gilt ein Maschinenbaubetrieb als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für den Maschinenbau?

03Welche Schutzpflichten gelten für vernetzte Maschinen und MES-Systeme unter NIS2?

04Welche Bußgelder drohen Maschinenbauunternehmen bei NIS2-Verstößen?

05Was bedeuten NIS2-Lieferkettenpflichten für den Maschinenbau?

06Wann müssen sich Maschinenbauunternehmen beim BSI registrieren?

07Haften Maschinenbau-Geschäftsführer persönlich für NIS2-Compliance?