Seit dem 6. Dezember 2025 gilt NIS2 in Deutschland — ohne Übergangsfristen. Über 3.000 Maschinenbau-Unternehmen müssen jetzt handeln. Das Problem: Die meisten haben die Registrierungsfrist beim BSI noch nicht wahrgenommen, und die Uhr tickt. Bis spätestens 6. März 2026 muss jede betroffene Einrichtung beim BSI registriert sein. Wer das verpasst, riskiert ein Bußgeld — noch bevor er eine einzige technische Maßnahme umgesetzt hat.
Dazu kommt: Der Maschinenbau trifft das neue Regulierungspaket dreifach. NIS2 regelt die betriebliche IT- und OT-Sicherheit des eigenen Unternehmens. Der Cyber Resilience Act (CRA) regelt ab September 2026 die Sicherheit vernetzter Produkte. Und der EU AI Act bringt weitere Pflichten für KI-gestützte Systeme in Maschinen. Gleichzeitig, ohne koordinierte Übergangsfristen.
Ich zeige, wer konkret betroffen ist, welche Pflichten gelten und welche fünf Maßnahmen Maschinenbauer jetzt prioritär angehen sollten — inklusive der Besonderheiten, die OT-Umgebungen mit sich bringen.
- NIS2UmsuCG seit 6. Dezember 2025 in Kraft — keine Übergangsfristen, sofortige Compliance-Pflicht
- Betroffen: Maschinenbauer ab 50 Mitarbeitern ODER >10 Mio. EUR Jahresumsatz (NACE C28)
- In Deutschland: > 3.000 betroffene Maschinenbau-Unternehmen (VDMA)
- Registrierungsfrist beim BSI: bis ca. 6. März 2026
- Bußgeld bei Verstoß: bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes
- Geschäftsführer haftet persönlich nach §38 BSIG
- 5 Sofortmaßnahmen: Betroffenheits-Check → BSI-Registrierung → IT/OT-Inventar → MFA → Incident-Response-Prozess
Was NIS2 für Maschinenbauer bedeutet — und warum jetzt Handlungsbedarf besteht
Von der EU-Richtlinie zum deutschen Gesetz
Die EU-Richtlinie NIS2 (EU 2022/2555) ist am 16. Januar 2023 in Kraft getreten. Sie definiert das neue Mindestmaß für Cybersicherheit in Europa und ersetzt die schwache NIS1-Richtlinie. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 im Bundesgesetzblatt (BGBl. I Nr. 301) veröffentlicht wurde und sofort in Kraft trat.
Kernstück ist eine grundlegende Novellierung des BSI-Gesetzes (BSIG). Aus bisher rund 4.500 regulierten Einrichtungen wurden plötzlich rund 29.500 — ein Anstieg von über 550 %. Die EU-Frist vom 17. Oktober 2024 hatte Deutschland um über ein Jahr verpasst. Wer auf eine sanfte Einführung hoffte, wurde enttäuscht: keine Schonfrist, keine gestaffelte Umsetzung.
Das Dreifach-Regulierungspaket für den Maschinenbau
Maschinenbauer stehen nicht nur vor NIS2 — sondern vor einem gleichzeitigen Regulierungspaket aus drei Gesetzen. Das VDMA-Positionspapier vom Oktober 2025 spricht von erheblicher Verunsicherung und Belastung durch das parallele Inkrafttreten:
| Gesetz | Regelt | Gilt ab |
|---|---|---|
| NIS2UmsuCG / BSIG | Betriebliche IT/OT-Sicherheit des eigenen Unternehmens | Sofort (6.12.2025) |
| Cyber Resilience Act (CRA) | Sicherheit von Produkten mit digitalen Elementen (vernetzte Maschinen) | Meldepflichten: 11.9.2026 / Vollpflichten: 11.12.2027 |
| EU AI Act | KI-Systeme in Maschinen (nach Risikoklassen) | Verbote: 2/2025 / Hochrisiko-KI: 8/2026 |
Bin ich als Maschinenbauer betroffen? Der Betroffenheits-Check
Die zwei Kriterien — Unternehmensgröße und Sektor
NIS2 trifft Sie, wenn zwei Bedingungen gleichzeitig erfüllt sind: erstens gehören Sie zum richtigen Sektor, zweitens überschreiten Sie bestimmte Größenschwellen. Für Maschinenbauer gilt:
Sektor: Maschinenbau (NACE Rev. 2, Abteilung C28) ist in Anlage 2 des BSIG gelistet — das Segment „Verarbeitendes Gewerbe / Herstellung von Waren“. Das macht Maschinenbauer zu „wichtigen Einrichtungen“ (§28 Abs. 2 BSIG).
Größenschwelle für „wichtige Einrichtungen“: Ab 50 Mitarbeiter ODER Jahresumsatz über 10 Mio. EUR (und Bilanzsumme über 10 Mio. EUR). Diese Schwelle entspricht der EU-Definition eines mittleren Unternehmens nach EU-Empfehlung 2003/361/EG.
Maschinenbauer mit 250 oder mehr Mitarbeitern oder über 50 Mio. EUR Umsatz werden als „besonders wichtige Einrichtungen“ eingestuft — mit höheren Anforderungen und proaktiverer Aufsicht. Für typische KMU im Maschinenbau (50–249 MA) gilt die Einstufung als „wichtige Einrichtung“.
Abb. 1: Betroffenheits-Check NIS2 für Maschinenbauer nach §28 BSIG
Achtung: Auch unter 50 Mitarbeiter kann NIS2 relevant werden
Die formalen Schwellenwerte gelten für die direkte Regulierung. In der Praxis gibt es zwei Wege, wie Kleinbetriebe unter 50 Mitarbeitern trotzdem in NIS2-Pflichten hineingezogen werden:
Erstens: Auftraggeber, die selbst NIS2-betroffen sind, verlangen in Verträgen zunehmend, dass ihre Zulieferer nachweislich bestimmte Sicherheitsstandards erfüllen. Das ist keine Empfehlung, sondern Lieferkettensicherheit nach §30 BSIG Punkt 4 — der betroffene Auftraggeber muss seine Lieferkette absichern.
Zweitens: Das BSI behält sich das Recht vor, Einrichtungen unabhängig von Größenschwellen individuell einzustufen, wenn sie eine kritische Funktion für andere regulierte Unternehmen erfüllen.
✅ Richtig prüfen: Zwei Bedingungen können trotzdem zur Betroffenheit führen:
- Jahresumsatz über 10 Mio. EUR? Dann greift die Umsatzschwelle — unabhängig von der Mitarbeiterzahl
- Wichtige Kunden verlangen NIS2-Compliance vertraglich? Dann müssen Sie faktisch liefern
Im Zweifel: BSI-Betroffenheitsprüfung unter bsi.bund.de nutzen.
Die Pflichten im Überblick — was NIS2 konkret fordert
Registrierung beim BSI — Frist läuft!
Der erste verpflichtende Schritt ist die Registrierung beim BSI. Die Frist beträgt drei Monate nach Inkrafttreten des NIS2UmsuCG — also bis etwa 6. März 2026. Für die Registrierung benötigen Sie:
- ELSTER-Organisationszertifikat zur sicheren Identifikation
- Unternehmensangaben (Name, Adresse, Rechtsform)
- Benannte NIS2-Kontaktstelle als Ansprechpartner für das BSI
- Sektorzuordnung und NACE-Code
- IP-Adressbereiche der genutzten Netzinfrastruktur
Die 10 Risikomanagementmaßnahmen nach §30 BSIG
Nach der Registrierung sind die zehn Pflichtmaßnahmen nach §30 BSIG umzusetzen. Für Maschinenbauer sind nicht alle gleich komplex — drei davon sind besonders kritisch:
| # | Maßnahme | Relevanz Maschinenbau |
|---|---|---|
| 1 | Risikoanalyse und Informationssicherheitskonzepte | 🔴 Hoch — IT und OT einschließen |
| 2 | Incident Management (Erkennung, Bewältigung, Meldung) | 🔴 Hoch — 24h-Meldepflicht vorbereiten |
| 3 | Betriebskontinuität: Backups, Notfallpläne, Krisenmanagement | 🟡 Mittel — oft vorhanden, aber unvollständig |
| 4 | Lieferkettensicherheit (Supply Chain Security) | 🔴 Hoch — Cloud, Wartung, Softwareanbieter |
| 5 | Sicherheit bei IT-Erwerb, -Entwicklung und -Wartung | 🟡 Mittel |
| 6 | Zugangskontrolle und Multi-Faktor-Authentifizierung (MFA) | 🔴 Hoch — VPN, Fernwartung, Remote-Zugänge |
| 7 | Cyberhygiene: Patches, Updates, Schulungen | 🟡 Mittel — OT-Systeme oft ohne Patchmöglichkeit |
| 8 | Kryptografie und Verschlüsselung | 🟢 Gering — meist durch Standardsoftware abgedeckt |
| 9 | Personalsicherheit (HR-Security) | 🟡 Mittel |
| 10 | Gesicherte Kommunikation (Sprache, Video, Text) | 🟢 Gering |
Meldepflichten bei Sicherheitsvorfällen
Tritt ein erheblicher Sicherheitsvorfall auf — also einer, der den Betrieb erheblich beeinträchtigt oder beeinträchtigen könnte — gilt eine dreistufige Meldekaskade:
- 24 Stunden: Frühwarnung an das BSI nach erstem Bekanntwerden
- 72 Stunden: Detaillierter Bericht mit Erstbewertung, Schadensumfang, betroffene Systeme
- 1 Monat: Fortschritts- oder Abschlussbericht
Diese Fristen sind nicht verhandelbar. Ohne vorab definierten Incident-Response-Prozess wird die 24h-Frühwarnung in der Stresssituation eines laufenden Angriffs kaum zu schaffen sein.
Haftung der Geschäftsleitung — neu und einschneidend
§38 BSIG bringt eine Regelung, die viele Geschäftsführer noch nicht auf dem Radar haben: die persönliche Haftung. Die Geschäftsleitung muss alle vom Unternehmen getroffenen Cybersicherheitsmaßnahmen aktiv billigen und deren Umsetzung überwachen. Verletzt sie diese Pflicht, haftet sie der Gesellschaft gegenüber persönlich.
Zusätzlich: Geschäftsführer sind verpflichtet, selbst an Cybersicherheits-Schulungen teilzunehmen — und diese allen Mitarbeitern anzubieten. Cybersicherheit ist per Gesetz zur Chefsache geworden.
✅ Rechtliche Realität nach §38 BSIG: Die Geschäftsleitung muss Maßnahmen aktiv billigen — Delegation an die IT erfüllt die Pflicht nicht. Drei konkrete Konsequenzen:
- Der Geschäftsführer muss das Sicherheitskonzept kennen und unterzeichnen
- Er muss nachweislich an einer Cybersicherheits-Schulung teilgenommen haben
- Bei Verstoß: persönlicher Regress, nicht nur Unternehmenshaftung
5 Sofortmaßnahmen für Maschinenbauer — was jetzt zu tun ist
Aus meiner Praxis im Sondermaschinenbau: Ein mittelständischer Maschinenhersteller (120 Mitarbeiter, 28 Mio. EUR Jahresumsatz) kam erst im Februar 2026 auf mich zu — drei Monate nach Inkrafttreten des NIS2UmsuCG. Die BSI-Registrierung war nicht erfolgt, ein IT-Inventar der OT-Systeme (SPSen, SCADA, Fernwartungszugänge) fehlte komplett. In 6 Arbeitstagen: Betroffenheits-Check durchgeführt, BSI-Registrierung initiiert (ELSTER-Zertifikat war der Flaschenhals: 8 Tage Wartezeit), 23 OT-Systeme inventarisiert, MFA für alle Admin-Zugänge aktiviert. Was mich überraschte: 3 aktive VPN-Tunnel zu Kunden-Maschinen ohne dokumentierte Zugriffsregelung — direktes NIS2-Risiko, das niemandem bewusst war.
Maßnahme 1 — Betroffenheits-Check und BSI-Registrierung
Nutzen Sie das BSI-Online-Tool zur Betroffenheitsprüfung unter bsi.bund.de. Bestätigt das Tool Ihre Betroffenheit, starten Sie sofort die Registrierung — die Frist bis 6. März 2026 ist knapp. Für die Registrierung benötigen Sie zunächst ein ELSTER-Organisationszertifikat, das einige Tage in der Beantragung brauchen kann.
Maßnahme 2 — IT/OT-Inventar erstellen
Bevor Sie Maßnahmen umsetzen können, müssen Sie wissen, was Sie schützen. Das IT/OT-Inventar ist die Grundlage der Risikoanalyse (§30 Maßnahme 1). Im Maschinenbau-Kontext bedeutet das — über das Büronetzwerk hinaus:
💡 Inventar-Checkliste: Typischer Maschinenbauer mit 80 Mitarbeitern
IT-Systeme (Büro):
- ERP-System (z. B. SAP, Infor) mit Zugängen
- CAD-Systeme (SolidWorks, CATIA) — Cloud-Anbindungen prüfen
- E-Mail-Server und Office-365-Tenants
- VPN-Zugänge (Fernarbeit, Außendienst)
- Cloud-Dienste (Microsoft Azure, Google Workspace, etc.)
OT-Systeme (Shopfloor):
- CNC-Maschinen mit Maschinensteuerung (welche OS-Version, Netzwerkzugang?)
- SPS/PLC-Steuerungen (Siemens S7, Beckhoff, etc.)
- SCADA/HMI-Systeme zur Produktionsüberwachung
- Fernwartungszugänge zu Kundenmaschinen (oft vergessen!)
- Messtechnik und Prüfsysteme mit Netzwerkanschluss
Kritische Frage je System: Ist es mit dem Internet oder anderen Systemen verbunden? Falls ja → Zugangskontrolle prüfen.
Maßnahme 3 — Multi-Faktor-Authentifizierung (MFA) einführen
MFA ist nach §30 Maßnahme 6 explizit vorgeschrieben. Für Maschinenbauer besonders kritisch: Fernwartungszugänge. Das häufigste Einfallstor für Ransomware-Angriffe auf Fertigungsunternehmen sind kompromittierte VPN-Zugangsdaten ohne MFA. Drei Prioritäten:
- VPN-Zugang für Homeoffice und Außendienst — sofort MFA aktivieren
- Remote Desktop Protocol (RDP) — wenn überhaupt, nur mit MFA und idealerweise über VPN
- Fernwartungszugang zu Kundenmaschinen — eigenes gesichertes Gateway einrichten
Maßnahme 4 — Incident-Response-Prozess definieren
Die 24h-Meldepflicht klingt machbar — bis ein Angriff läuft. Im Stress eines aktiven Ransomware-Angriffs fehlt die Zeit, erst die BSI-Kontaktdaten zu suchen und den internen Meldeprozess zu klären. Definieren Sie vorab:
- Wer ist interne Kontaktstelle für Cybervorfälle? (NIS2-Kontaktstelle, die dem BSI gemeldet wird)
- Welche Systeme gelten als kritisch? (Ausfall-Kriterium für „erheblichen Vorfall“)
- Wie erreicht man das BSI im Ernstfall? (BSI-Meldeportal unter meldung.bsi.bund.de)
Maßnahme 5 — Lieferanten-Assessment starten
§30 Maßnahme 4 verlangt Lieferkettensicherheit. Das bedeutet: Sie müssen prüfen, ob Ihre wesentlichen Dienstleister und Softwareanbieter angemessene Sicherheitsstandards einhalten. Starten Sie mit den Anbietern, die Zugänge zu Ihren Systemen haben:
- Cloud-Dienstleister (ERP, Office, CAD): ISO 27001-Zertifikat oder SOC 2-Report vorhanden?
- Maschinenwartungs-Dienstleister mit Remote-Zugang: eigene IT-Sicherheitsrichtlinie?
- IT-Dienstleister und Managed Service Provider: wie ist der Zugang zu Ihren Systemen geregelt?
NIS2 und OT-Sicherheit — die Maschinenbau-Spezifik
NIS2 betrifft ausdrücklich beide Ebenen: die IT-Infrastruktur des Büros und die Operational Technology (OT) des Shopfloors — also SPS, CNC-Steuerungen und SCADA-Systeme. Das ist die entscheidende Neuerung gegenüber früheren IT-Sicherheitsgesetzen.
Das Kernproblem im Maschinenbau: OT-Systeme wurden nie für Netzwerksicherheit entworfen. Eine CNC-Steuerung von 2012 läuft womöglich noch unter Windows XP, bekommt keine Sicherheitsupdates mehr und ist trotzdem mit dem Firmennetzwerk verbunden, weil der Maschinenhersteller Ferndiagnose anbietet. Patches sind oft nicht möglich, ohne die Maschinengarantie zu gefährden.
Die pragmatische NIS2-konforme Antwort ist Netzwerksegmentierung: OT-Systeme, die nicht gepatcht werden können, müssen durch eine Firewall-Zone vom restlichen Netzwerk getrennt werden. Fernwartungszugänge dürfen nur über kontrollierte, protokollierte Gateways laufen — kein direkter RDP-Zugang vom Internet zur Maschinensteuerung.
Abb. 2: Empfohlene Netzwerksegmentierung für NIS2-konforme Maschinenbauer — OT-Systeme von der Office-IT trennen
Bußgelder und Sanktionen — was droht wirklich?
Für Maschinenbauer als „wichtige Einrichtungen“ gelten nach §65 BSIG folgende Bußgeldrahmen: bis 7 Mio. EUR oder bis 1,4 % des weltweiten Jahresumsatzes des Unternehmens — je nachdem, welcher Betrag höher ist. Das gilt für Verstöße gegen die Kernanforderungen, also fehlende Registrierung, nicht umgesetzte Risikomanagementmaßnahmen oder Verstöße gegen die Meldepflichten.
Die Aufsicht durch das BSI läuft bei „wichtigen Einrichtungen“ anlassbezogen: Eine Routine-Prüfung ohne besonderen Grund ist nicht vorgesehen. Das BSI prüft bei begründetem Verdacht — zum Beispiel nach einem gemeldeten Sicherheitsvorfall, nach Beschwerden oder durch gezielte Stichproben. Das ist kein Freifahrtschein zum Abwarten: Ein einziger öffentlich bekannter Vorfall, bei dem Sie keine Meldepflichten eingehalten haben, kann die Behörde sofort aktivieren.
Ein weiterer Risikofaktor, den viele unterschätzen: Ausschreibungsanforderungen. Große Industriekunden und öffentliche Auftraggeber verlangen zunehmend NIS2-Compliance als Voraussetzung für Lieferverträge. Fehlende Compliance wird damit zum Wettbewerbsnachteil.
Hinzu kommt die Beziehung zwischen EU AI Act und dem Maschinenbau — wer KI in Maschinen einsetzt, muss zusätzlich die Risikoklassen und Dokumentationspflichten des AI Act im Blick haben.
Fazit
NIS2 ist seit Dezember 2025 geltendes Recht — ohne Übergangsfristen, ohne Schonzeit. Für Maschinenbauer bringt das Gesetz drei konkrete Handlungspflichten: Registrierung beim BSI, Umsetzung der zehn Risikomanagementmaßnahmen und Aufbau eines Meldeprozesses für Sicherheitsvorfälle. Das Zeitfenster für die Registrierung schließt sich im März 2026.
Der Maschinenbau hat dabei eine Besonderheit, die viele Standard-NIS2-Guides ignorieren: OT-Systeme wie CNC-Steuerungen und SPS sind genauso betroffen wie die Büro-IT — und oft schwieriger zu sichern. Netzwerksegmentierung und kontrollierte Fernwartungszugänge sind die pragmatische Antwort auf OT-Systeme, die nicht mehr gepatcht werden können.
Und NIS2 ist nicht allein: Der Cyber Resilience Act kommt in zwei Stufen (September 2026, Dezember 2027) und betrifft Ihre vernetzten Maschinen beim Kunden. Jetzt ist der richtige Zeitpunkt, Cybersicherheit als durchgängiges Thema zu verankern — nicht als Einzelprojekt für jedes Gesetz separat. Einen guten Einstieg in die Maschinensicherheit nach CE-Recht bietet unser entsprechender Artikel.
Drei Prioritäten für die nächsten vier Wochen: BSI-Registrierung abschließen, MFA für alle Remote-Zugänge aktivieren, Incident-Response-Prozess schriftlich festhalten. Den Rest können Sie schrittweise aufbauen.
FAQ — Häufig gestellte Fragen zu NIS2 im Maschinenbau
Bin ich als Maschinenbauer mit 60 Mitarbeitern von NIS2 betroffen?
Ja, wenn Sie in NACE-Sektor C28 (Maschinenbau) tätig sind. 60 Mitarbeiter überschreiten die Schwelle von 50 Mitarbeitern nach §28 Abs. 2 BSIG. Sie werden als „wichtige Einrichtung“ eingestuft. Das bedeutet: Registrierungspflicht beim BSI, Umsetzung der 10 Risikomanagementmaßnahmen und Meldepflichten bei erheblichen Sicherheitsvorfällen. Der Bußgeldrahmen liegt bei bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes.
Was ist der Unterschied zwischen „wesentlicher“ und „wichtiger“ Einrichtung?
Wesentliche Einrichtungen kommen aus Sektoren hoher Kritikalität (Energie, Transport, Gesundheit — Anlage 1 BSIG) und werden proaktiv durch das BSI geprüft. Wichtige Einrichtungen wie Maschinenbauer (Anlage 2) werden anlassbezogen geprüft — also bei begründetem Verdacht oder nach einem gemeldeten Vorfall. Die inhaltlichen Pflichten (Registrierung, Risikomanagement, Meldungen) sind für beide Kategorien weitgehend gleich. Der Hauptunterschied liegt bei der Aufsichtsintensität und dem Bußgeldrahmen: Wichtige Einrichtungen: bis 7 Mio. EUR / 1,4 % Umsatz. Wesentliche Einrichtungen: bis 10 Mio. EUR / 2 % Umsatz.
Bis wann muss ich mich beim BSI registrieren?
Das NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten. Die Registrierungsfrist beträgt drei Monate — also bis etwa 6. März 2026 für Bestandsunternehmen. Überprüfen Sie den aktuellen Stand direkt auf der BSI-Website (bsi.bund.de), da sich Fristen kurzfristig verschieben können. Für die Registrierung benötigen Sie ein ELSTER-Organisationszertifikat — beantragen Sie dieses rechtzeitig, da die Bearbeitung einige Tage dauern kann.
Was passiert bei fehlender Registrierung oder Verstoß gegen NIS2?
Das BSI kann Bußgelder bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes verhängen. Hinzu kommt die persönliche Haftung der Geschäftsleitung nach §38 BSIG. Die Aufsicht ist anlassbezogen — ein Sicherheitsvorfall, der öffentlich wird, kann eine BSI-Prüfung auslösen. Darüber hinaus verlieren Unternehmen ohne NIS2-Compliance zunehmend Zugang zu Ausschreibungen bei großen Industriekunden.
Hat NIS2 auch etwas mit meinen Maschinensteuerungen (OT) zu tun?
Ja — das ist ein häufiges Missverständnis. NIS2 und das BSIG regeln ausdrücklich die Sicherheit von IT- und OT-Systemen. Für Maschinenbauer bedeutet das: CNC-Steuerungen, SPS/PLC, SCADA-Systeme und Fernwartungszugänge sind genauso Teil des Compliance-Rahmens wie das Büronetzwerk. Da OT-Systeme oft nicht mehr mit Sicherheitsupdates versorgt werden, ist Netzwerksegmentierung (Trennung von OT und IT durch eine Firewall-Zone) die empfohlene Schutzmaßnahme.
Was ist der Unterschied zwischen NIS2 und dem Cyber Resilience Act (CRA)?
NIS2 (bzw. das NIS2UmsuCG) regelt die Cybersicherheit Ihres eigenen Unternehmens — also wie gut Sie Ihre internen Systeme gegen Angriffe absichern. Der Cyber Resilience Act (EU 2024/2847) regelt dagegen die Sicherheit von Produkten mit digitalen Elementen, die Sie herstellen und verkaufen — also vernetzte Maschinen, die Sie an Kunden liefern. Beide greifen für Maschinenbauer gleichzeitig, aber zu unterschiedlichen Zeitpunkten: NIS2 seit Dezember 2025, CRA-Meldepflichten ab September 2026, CRA-Vollpflichten ab Dezember 2027.
Muss mein Subunternehmer (unter 50 Mitarbeiter) auch NIS2-konform sein?
Formal nicht — die Schwellenwerte gelten für ihn nicht. Aber §30 BSIG Maßnahme 4 verpflichtet Sie als betroffene Einrichtung zur Lieferkettensicherheit: Sie müssen prüfen, ob Ihre wesentlichen Lieferanten und Dienstleister angemessene Sicherheitsstandards einhalten. In der Praxis bedeutet das: Subunternehmer, die Zugang zu Ihren Systemen haben (z. B. Wartungs-Dienstleister mit Remote-Zugang), müssen Ihnen eine Sicherheitsbestätigung liefern können. Andernfalls riskieren Sie einen NIS2-Verstoß auf Ihrer Seite.
Was bedeutet die persönliche Haftung der Geschäftsführung nach §38 BSIG konkret?
§38 BSIG legt fest: Die Geschäftsleitung muss alle Cybersicherheitsmaßnahmen des Unternehmens aktiv billigen und deren Umsetzung überwachen. Delegiert der Geschäftsführer das vollständig an die IT ohne eigene Kontrolle, verletzt er diese Pflicht. Bei Pflichtverletzung haftet er der Gesellschaft gegenüber persönlich — unabhängig von Unternehmensbußgeldern. Außerdem muss er nachweislich an Cybersicherheits-Schulungen teilnehmen und solche für alle Mitarbeiter bereitstellen. Praxisempfehlung: Lassen Sie das Informationssicherheitskonzept durch die Geschäftsleitung formell unterzeichnen und dokumentieren Sie Schulungsteilnahmen.
Quellen und weiterführende Literatur
- NIS2-Richtlinie der EU: Richtlinie (EU) 2022/2555, EUR-Lex, 27. Dezember 2022
- NIS2UmsuCG: Bundesgesetzblatt I Nr. 301, 5. Dezember 2025
- BSI: NIS-2-Betroffenheitsprüfung, Bundesamt für Sicherheit in der Informationstechnik (bsi.bund.de)
- VDMA: Vorbereitung auf NIS2 — Cybersicherheitspflichten für Maschinenbau-Unternehmen, VSMA GmbH, 2023 (aktualisiert 2025)
- VDMA Position Paper Digital Omnibus, Oktober 2025
- Cyber Resilience Act: Verordnung (EU) 2024/2847, EUR-Lex, Dezember 2024
- K&L Gates: New Cybersecurity Regulations in Germany — Registration Requirement Expires on 6 March 2026, März 2026
- EU-Empfehlung 2003/361/EG: Definition mittlerer Unternehmen
Dieser Artikel dient der allgemeinen Information über die NIS2-Anforderungen für den Maschinenbau und ersetzt keine individuelle Rechts- oder IT-Sicherheitsberatung. Die rechtlichen Anforderungen des NIS2UmsuCG, des BSIG sowie des Cyber Resilience Acts unterliegen weiterer Konkretisierung durch Verordnungen und BSI-Leitlinien — prüfen Sie stets den aktuellen Stand direkt beim BSI (bsi.bund.de).
Insbesondere hängt die individuelle Betroffenheit von Ihrem konkreten NACE-Code, Ihrer Unternehmensgröße und möglichen Sonderregelungen ab. Die angegebenen Fristen und Bußgeldrahmen entsprechen dem Stand März 2026 — für rechtsverbindliche Aussagen zur NIS2-Compliance konsultieren Sie bitte einen spezialisierten Rechtsanwalt für IT-Recht sowie einen qualifizierten IT-Sicherheitsberater. DS Werk haftet nicht für Entscheidungen, die auf Basis dieses Artikels getroffen werden.