• 10.11.2025
  • Artikel
  • Automatisierung & Digitalisierung

Neue Regeln für Cybersecurity – Was Anlagenbetreiber und Anlagenbauer jetzt wissen müssen

Mit NIS 2 und dem Cyber Resilience Act (CRA) zieht die EU die Sicherheitszügel spürbar an. Was bedeutet das für Betreiber von Altanlagen? Dürfen sie ihre Technik weiterverwenden? Und wie kommen Hersteller durch die neuen Produktvorgaben? Dieser Artikel liefert Klartext – und zeigt, was jetzt konkret zu tun ist.

Geschrieben von Armin Scheuermann

Grafik mit einer Gegenüberstellung von NIS 2 und CRA sowie abstrahierten Fabrikgebäuden und Leiterbahnen
NIS 2 und der Cyber Resilience Act CRA haben gravierende Konsequenzen für Anlagenbetreiber sowie Maschinen- und Anlagenlieferanten.

Die Insel der Seligen hat keine Brücken zum Festland. Auch Produktionssysteme sind heute längst keine „Inseln der Seligen“ mehr: Vorbei die Zeiten, in denen Steuerungen, Leittechnik und Feldgeräte in der Prozessindustrie isoliert und physisch abgeschottet liefen. Keine Internetverbindung, keine Schnittstellen nach außen – kein Risiko, so die Denke von gestern. Doch mit Fernwartung, vernetzten Anlagen und IT/OT-Integration entstehen neue Angriffsflächen – und damit die Notwendigkeit, Cybersicherheit systematisch mitzudenken.

Zwei EU-Vorgaben, eine große Wirkung

Mit NIS 2 und dem Cyber Resilience Act (CRA) zielt die EU auf ein neues Schutzniveau in der industriellen Digitalisierung – auf zwei Ebenen:

  • NIS 2 verpflichtet Betreiber sogenannter „besonders wichtiger Einrichtungen“ (kritische Bedeutung) und „wichtiger Einrichtungen“ (hohe wirtschaftliche oder gesellschaftliche Bedeutung) zu organisatorischen Sicherheitsmaßnahmen: Informationssicherheits-Managementsystem (ISMS), Risikoanalysen, Meldeprozesse, Awareness-Programme u. v. m.
  • Der CRA richtet sich an die Hersteller: Ab dem 17. Januar 2027 dürfen nur noch Produkte mit CE-Kennzeichnung inklusive Cybersicherheitsanforderungen auf den Markt kommen.

Beide Regelwerke greifen ineinander – und machen deutlich: Betreiber benötigen konforme Produkte, Hersteller müssen liefern. Wer da nicht mitzieht, riskiert nicht nur Bußgelder, sondern Betriebsrisiken.

NIS 2: Betreiberpflichten mit Biss

Eigentlich hätte die NIS 2-Richtlinie bis Oktober 2024 in nationales Recht überführt werden sollen. Doch in Deutschland verzögerte sich der Prozess – das Umsetzungsgesetz wurde erst am 30. Juli 2025 vom Bundeskabinett beschlossen, d. h. NIS 2 wird in Deutschland frühestens Ende 2025 in Kraft treten.

Betroffen sind alle Unternehmen mit mindestens 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in kritischen Sektoren. Die Anforderungen im Überblick:

  • Einführung eines Informationssicherheits-Managementsystems ISMS,
  • systematische Risikoanalysen,
  • Vorfallmanagement mit Meldepflichten,
  • Absicherung der Lieferkette,
  • technische und organisatorische Sicherheitsmaßnahmen.

Die Sanktionen haben es in sich: bis zu 10 Mio. Euro oder 2 Prozent des Umsatzes bei „besonders wichtigen Einrichtungen“, bis zu 7 Mio. Euro oder 1,4 Prozent bei „wichtigen Einrichtungen“. Konsequenz: Cybersecurity wird Chefsache. Geschäftsleitungen haften persönlich – bei Versäumnissen droht mehr als ein Bußgeld.

Ein Beispiel aus der Praxis verdeutlicht, worum es geht: Ein Pharmaunternehmen mit 85 Mitarbeitenden muss künftig Sicherheitsvorfälle unverzüglich melden – selbst wenn kein unmittelbarer Schaden entstanden ist. Das setzt Prozesse voraus, die heute oft fehlen: vom internen Alarmplan bis zur rechtssicheren Dokumentation.

Die Grafik zeigt links vier Säulen mit neuen Betreiberpflichten durch NIS 2, rechts die Silhouette eines Menschen sowie einen Richter-Hammer
NIS 2 bedeutet für Anlagenbetreiber umfangreiche neue Pflichten.

CRA: Neue Spielregeln für digitale Produkte

Der Cyber Resilience Act bringt die Cybersicherheit in die CE-Kennzeichnung. Ab Januar 2027 dürfen nur noch Produkte mit digitalen Komponenten auf den Markt, die:

  • sichere Standardkonfigurationen besitzen,
  • ein funktionierendes Schwachstellenmanagement (inkl. der Stückliste der Softwarebestandteile, SBOM) vorweisen,
  • Updates mindestens fünf Jahre lang garantieren,
  • Sicherheitslücken erfassen, dokumentieren und melden,
  • die neuen CE-Anforderungen erfüllen.

Was das bedeutet? Ein Hersteller industrieller Gateways muss künftig lückenlos dokumentieren, wie das Produkt abgesichert ist – inklusive Software-Stückliste, dokumentiertem Patchmanagement und Supportnachweisen. Wer das nicht kann oder will, riskiert Bußgelder bis zu 15 Mio. Euro oder 2,5 Prozent des Jahresumsatzes.

Auch Betreiber müssen sich umstellen: Komponenten, die heute noch als Ersatzteil gelten, müssen 2027 vollständig CRA-konform sein – sonst droht rechtlicher Ärger.

Brownfield-Problematik: Bestandsschutz mit Haken

Altanlagen bleiben grundsätzlich erlaubt – doch wehe, es kommt zur „wesentlichen Änderung“. Dann greift der CRA, und aus einem Wartungsprojekt wird plötzlich eine vollständige Neuzertifizierung. Besonders kritisch ist das in sicherheitsgerichteten Bereichen: Wer dort eine Safety-SPS ersetzt, muss oft das gesamte Sicherheitssystem neu planen, validieren und mit Behörden abstimmen.

Ein Beispiel mit Folgen: Ein Betreiber tauscht eine veraltete, nicht mehr lieferbare SPS gegen ein aktuelles Modell. Was nach Routine klingt, löst eine Kettenreaktion aus: Neue Software, neue Dokumentation, neue Tests – und im Zweifel Wochen Stillstand, weil auch die Genehmigungsbehörden mitziehen müssen.

Lieferkettendruck: OEM-Bindungen werden zum Risiko

Viele Betreiber setzen auf langjährige OEM-Komponenten – mit Wartungsverträgen, die 20 oder 30 Jahre Laufzeit haben. Doch der CRA macht damit Schluss: Ab 2027 dürfen Hersteller keine nicht-konformen Produkte mehr liefern.

Realistisches Szenario: Ein Automatisierungsanbieter kündigt 2026 an, seine Gateway-Serie einzustellen, weil CRA-Konformität wirtschaftlich nicht darstellbar ist. Betreiber, die diese Geräte noch in ihren Anlagen verbaut haben, stehen unter Druck: schnell alternative Lösungen finden, testen, freigeben – und das alles unter laufender Produktion. Das ist nicht nur technisch anspruchsvoll. Es erfordert vorausschauende Planung, neue Vertragsmodelle und Klarheit in der Rollenverteilung.

Für Betreiber wie Hersteller ergibt sich daraus ein klarer Fahrplan:

  • Anlagen erfassen: Welche Systeme sind wo im Einsatz – und wie alt sind sie?
  • Risiken priorisieren: Welche Komponenten sind sicherheitskritisch? Wo drohen Engpässe?
  • Produktstrategie anpassen: Welche Systeme müssen ersetzt, welche können migriert werden?
  • Lieferanten binden: Hersteller in die Pflicht nehmen – inklusive Update-Versprechen und SBOM.
  • Organisation aufstellen: ISMS einführen, Zuständigkeiten regeln, Awareness schaffen.
  • Kooperationen nutzen: BSI, Branchenverbände, Arbeitskreise – Erfahrungsaustausch spart Zeit und Nerven.

Einige Anlagenbetreiber setzen bereits auf „Security Panels“ – gemischte Teams aus OT, IT, Einkauf und Recht. So lassen sich Umsetzungspläne strukturiert entwickeln und realistisch priorisieren.

Fazit: Sicherheit wird zur Infrastrukturaufgabe

Cybersecurity ist nicht länger eine Frage der IT-Abteilung – sondern ein zentrales Thema für die Zukunftssicherheit des gesamten Betriebs. Die neuen EU-Regelwerke bringen eine enorme Dynamik in den Markt. Wer frühzeitig reagiert, hat später weniger Stress – und bessere Karten bei Audits, Kundengesprächen und Regulierungsbehörden. Oder anders gesagt: Wer jetzt investiert, baut Resilienz. Wer wartet, investiert in Stillstand.

Autor

Armin Scheuermann
Armin Scheuermann
Chemical engineer and freelance specialised journalist