Chemieanlagen gehören zu den sicherheitskritischsten Produktionsumgebungen in Deutschland – nicht nur wegen der physischen Risiken durch gefährliche Stoffe, sondern zunehmend auch wegen ihrer Anfälligkeit für Cyberangriffe auf Prozessleitsysteme. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gelten erstmals verbindliche Mindeststandards für die Cybersicherheit des Chemie- und Teilen des Pharmasektors. Die Besonderheit dieser Konstellation: Chemieunternehmen (NACE C20) werden als Sektor des Anhangs II der NIS2-Richtlinie eingestuft, während pharmazeutische Hersteller (NACE C21) im Anhang I unter dem Gesundheitssektor geführt werden – mit strengeren Pflichten und höheren Bußgeldobergrenzen. Was das konkret bedeutet und welche technischen sowie organisatorischen Maßnahmen betroffene Unternehmen umsetzen müssen, erklärt dieser Leitfaden. Die übergeordneten NIS2-Sicherheitsanforderungen nach Artikel 21 bilden dabei den gemeinsamen technischen Rahmen für alle betroffenen Einrichtungen.
Chemie als Anhang-II-Sektor: Betroffenheit und Einstufung
Die NIS2-Richtlinie (EU) 2022/2555 unterscheidet zwei Kategorien kritischer Sektoren. In Anhang I sind Sektoren mit hoher Kritikalität aufgeführt (Energie, Gesundheit, Wasser, digitale Infrastruktur u. a.), deren Betreiber als wesentliche Einrichtungen strenger überwacht werden. In Anhang II sind weitere kritische Sektoren gelistet, deren Betreiber als wichtige Einrichtungen eingestuft werden – mit geringfügig niedrigeren Bußgeldobergrenzen und nachgelagerter statt proaktiver Aufsicht.
Der Sektor Herstellung, Produktion und Vertrieb von Chemikalien ist in Anhang II, Abschnitt 3 der NIS2-Richtlinie aufgeführt. Er erfasst Unternehmen gemäß NACE Rev. 2 Abschnitt C, Abteilung 20 – also Betriebe, die chemische Grundstoffe, Düngemittel, Kunststoffe, Farben, Klebstoffe, Reinigungsmittel oder Spezialchemikalien herstellen, verarbeiten oder handeln. Für diese Unternehmen gelten folgende Schwellenwerte:
| Unternehmensgröße | Mitarbeiter | Jahresumsatz | NIS2-Status |
|---|---|---|---|
| Mittleres Unternehmen | 50–249 | 10–49 Mio. Euro | Wichtige Einrichtung (Anhang II) |
| Großunternehmen | ≥ 250 | ≥ 50 Mio. Euro | Wichtige Einrichtung (Anhang II) |
| Kleinstunternehmen / KMU | < 50 | < 10 Mio. Euro | Grundsätzlich nicht direkt betroffen |
| KRITIS-Betreiber unabhängig von Größe | – | – | Ggf. wesentliche Einrichtung nach BSIG |
Als wichtige Einrichtung unterliegen Chemieunternehmen der nachgelagerten Aufsicht durch das BSI: Eine proaktive Überwachung ohne konkreten Anlass ist für wichtige Einrichtungen nicht vorgesehen. Das BSI kann jedoch anlassbezogen Nachweise über die Umsetzung von Sicherheitsmaßnahmen anfordern und bei Verstößen Bußgelder verhängen. Die Obergrenze beträgt für wichtige Einrichtungen mindestens 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Wichtig für Chemiekonzerne mit Tochterunternehmen: Unternehmenseinheiten, die zusätzlich zur Chemieproduktion auch Arzneimittel herstellen (NACE C21), müssen separat auf ihre NIS2-Einstufung hin geprüft werden. Diese Einheiten fallen unter andere Regeln – wie der folgende Abschnitt zeigt.
Pharmahersteller: Anhang I Gesundheit und die Doppeleinstufung im Konzern
Pharmazeutische Hersteller nehmen in der NIS2-Systematik eine besondere Stellung ein: Unternehmen, die Grundarzneimittel und pharmazeutische Zubereitungen herstellen (NACE Rev. 2 Abschnitt C, Abteilung 21), sind im Anhang I, Abschnitt 5 (Gesundheitssektor) der NIS2-Richtlinie geführt – nicht in Anhang II. Das bedeutet:
- Sie gelten ab den relevanten Größenschwellen als wesentliche Einrichtungen und unterliegen der intensiveren BSI-Aufsicht inklusive proaktiver ex-ante-Prüfungen.
- Das Bußgeldniveau ist höher: mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei Verstößen.
- Mittlere Pharmaunternehmen (50–249 Mitarbeiter, 10–49 Mio. Euro Umsatz) gelten demgegenüber als wichtige Einrichtungen.
- Für Unternehmen, die im Rahmen einer anerkannten Public-Health-Emergency kritische Medizinprodukte oder Wirkstoffe herstellen, können ergänzende behördliche Anforderungen gelten.
In der Praxis entsteht innerhalb großer Chemie-Pharma-Konzerne eine regulatorische Doppeleinstufung: Die chemische Produktion (NACE C20) unterliegt Anhang II, die pharmazeutische Produktion (NACE C21) Anhang I. Integrierte Produktionsstandorte, an denen beide Aktivitäten stattfinden, müssen im Registrierungsverfahren klären, ob die Einstufung auf Unternehmensebene oder für separate juristische Einheiten erfolgt. Im Zweifelsfall empfiehlt sich eine frühzeitige Abstimmung mit dem BSI.
Einen vergleichbaren Regulierungsschnittbereich – zwei Rahmenwerke, eine Unternehmensorganisation – kennt der Gesundheitssektor mit dem Zusammenspiel von MDR und NIS2. Wie Krankenhäuser und Gesundheitsdienstleister damit umgehen, erläutert der Leitfaden NIS2 im Gesundheitswesen.
Prozessleittechnik und OT-Sicherheit in der Chemieproduktion
Die größte technische Herausforderung für Chemie- und Pharmaunternehmen liegt in der Absicherung ihrer Operational Technology (OT) – also der Prozessleittechnik, die Produktionsanlagen direkt steuert. Während IT-Systeme primär Daten verarbeiten, steuern OT-Systeme physische Prozesse in Echtzeit: Temperaturregler, Drucksensoren, Ventilsteuerungen und Sicherheitsabschaltsysteme (Safety Instrumented Systems, SIS).
In chemischen Produktionsanlagen und Pharmabetrieben begegnen uns typischerweise folgende OT-Komponenten:
| Systemtyp | Funktion | NIS2-relevantes Angriffsrisiko |
|---|---|---|
| Distributed Control System (DCS) | Zentrale Prozesssteuerung (Temperatur, Druck, Durchfluss) | Manipulation führt zu unkontrollierten Reaktionen oder Produktionsausfall |
| Safety Instrumented System (SIS) | Sicherheitsabschaltung bei Grenzwertüberschreitung | Deaktivierung durch Angriff beseitigt letzten physischen Schutzwall – Störfallpotenzial |
| SCADA-System | Fernüberwachung und -steuerung verteilter Anlagenteile | Remote-Zugriffsschnittstellen als Einfallstor; Datenmanipulation verfälscht Prozessparameter |
| Historian Server | Langzeitarchivierung von Prozessdaten | IT-OT-Kopplung als Übergangsbrücke für Angreifer vom IT- ins OT-Netz |
| Programmierbare Logiksteuerungen (SPS/PLC) | Steuerung einzelner Anlagenkomponenten | Firmware-Manipulationen schwer detektierbar; lange Austauschzyklen (Betriebszeiten 10–15 Jahre) |
| Manufacturing Execution System (MES) | Produktionsplanung und Chargensteuerung (v. a. Pharma) | Manipulation von Batch-Rezepturen oder Freigabeprotokollen; GxP-Compliance gefährdet |
Das Gefahrenpotenzial ist nicht theoretisch: Der Triton/TRISIS-Angriff von 2017 – bei dem Angreifer das Safety Instrumented System einer Petrochemieanlage im Nahen Osten gezielt kompromittierten – zeigt, dass OT-Angriffe mit dem Ziel physischer Zerstörung möglich sind. Hätte die Schadsoftware nicht durch einen eigenen Programmierfehler vorzeitig Alarm ausgelöst, wäre eine Gefährdungssituation ohne Sicherheitsabschaltung entstanden. Für deutsche Chemieunternehmen ist dieser Angriff heute Pflichtlektüre in der OT-Risikoanalyse.
NIS2 Artikel 21 verlangt Risikomanagementmaßnahmen, die ausdrücklich auch OT-Systeme einschließen müssen – nicht als Anhang der IT-Risikoanalyse, sondern als eigenständige Bewertung. Als anerkannte Standards für OT-Cybersicherheit in der Chemieindustrie gelten:
- IEC 62443: Internationale Normenreihe für industrielle Cybersicherheit; definiert Security Levels (SL 1–4) sowie ein Zones-and-Conduits-Modell zur OT-Netzsegmentierung
- NAMUR NE 153: Empfehlung der Prozessindustrie zur Cybersecurity in Leittechniksystemen
- BSI ICS-Security-Empfehlungen (CS 005, CS 136): Bundesbehördliche Handlungsempfehlungen für Industrial Control Systems
- VCI-Leitfaden Cybersicherheit: Branchenspezifische Handlungshilfe des Verbands der Chemischen Industrie
Störfallrecht und NIS2: Wenn Cyberangriffe physische Folgen haben
Chemische Anlagen, die bestimmte Mengenschwellen gefährlicher Stoffe überschreiten, unterliegen zusätzlich der SEVESO-III-Richtlinie (EU) 2012/18/EU und ihrer deutschen Umsetzung durch die Zwölfte Bundesimmissionsschutzverordnung (12. BImSchV, Störfall-Verordnung). Betreiber von Störfallanlagen nach § 3 12. BImSchV sind verpflichtet, ein Sicherheitsmanagementsystem (SMS) zu unterhalten, das alle Maßnahmen zur Verhütung und Begrenzung von Störfällen abdeckt.
Die Schnittmenge mit NIS2 ist konzeptionell bedeutsam: Ein erfolgreicher Cyberangriff auf ein DCS oder SIS kann eine Störfallbedingung im Sinne der 12. BImSchV auslösen. Damit entsteht eine regulatorische Doppelpflicht, die beide Rahmenwerke koordiniert adressiert werden muss:
| Aspekt | SEVESO III / 12. BImSchV | NIS2 / BSIG |
|---|---|---|
| Schutzziel | Verhütung physischer Störfälle; Schutz von Menschen und Umwelt vor gefährlichen Stoffen | Schutz von Netz- und Informationssystemen vor Cyberbedrohungen |
| Auslöser der Meldepflicht | Eingetretener Störfall oder ernste Gefahr eines Störfalls (§ 19 12. BImSchV) | Erheblicher Sicherheitsvorfall mit spürbaren Auswirkungen (§ 32 BSIG) |
| Zuständige Behörde (DE) | Zuständige Landesbehörde (z. B. LANUV NRW, Regierung von Oberbayern) | Bundesamt für Sicherheit in der Informationstechnik (BSI) |
| Sicherheitsdokumentation | Sicherheitsbericht (§ 9 12. BImSchV), Alarm- und Gefahrenabwehrplan | Risikoanalyse und Sicherheitsrichtlinien nach Art. 21 NIS2 / § 30 BSIG |
| Cyber-Schnittmenge | Cyberangriff auf OT kann Störfallbedingung auslösen → dann Meldepflicht an Landesbehörde | OT-Angriff = erheblicher Sicherheitsvorfall → Meldung innerhalb 24/72 Stunden an BSI |
Für Betreiber von Störfallanlagen empfiehlt sich daher eine integrierte Betrachtung beider Regelwerke: Das Sicherheitsmanagementsystem nach 12. BImSchV sollte Cyberangriffs-Szenarien (Kompromittierung von SIS, DCS oder SCADA) als explizite Gefährdungspfade in HAZOP- (Hazard and Operability Study) und LOPA-Analysen (Layer of Protection Analysis) aufnehmen. Gleichzeitig muss die NIS2-Risikoanalyse die physischen Konsequenzen eines OT-Angriffs bewerten – nicht nur den Systemausfall, sondern die nachgelagerten Sicherheitsrisiken für Beschäftigte und Umwelt als Schadensmaßstab.
Lieferkettensicherheit: Besondere Risiken für Chemie und Pharma
NIS2 Artikel 21 Absatz 2 Buchstabe d verpflichtet betroffene Einrichtungen zur Sicherheit der Lieferkette. Für die Chemie- und Pharmaindustrie ist dieser Bereich aus zwei Gründen besonders exponiert:
1. Abhängigkeit von globalen Wirkstoff- und Rohstofflieferanten: Pharmazeutische Hersteller beziehen einen Großteil ihrer aktiven pharmazeutischen Wirkstoffe (API – Active Pharmaceutical Ingredients) von Produzenten in Indien und China. Cyberangriffe auf vorgelagerte Zulieferer – wie NotPetya 2017, das den Pharmahersteller Merck & Co. mit geschätztem Schaden von 870 Millionen US-Dollar traf und globale Produktionsausfälle verursachte – können komplette Lieferketten unterbrechen und haben zugleich direkte Patientensicherheitsimplikationen.
2. Digitale Lieferkette über spezialisierte Softwarezulieferer: Laborinformationsmanagementsysteme (LIMS), Manufacturing Execution Systems (MES), Prozessleitsystem-Softwarepakete und ERP-Integrationen werden häufig von spezialisierten Drittanbietern bereitgestellt oder als Managed Service betrieben. Jeder dieser Zulieferer mit Fernzugriff auf OT-relevante Systeme ist ein potenzieller Angriffsvektor im Sinne der NIS2-Lieferkettenpflichten.
Die vollständigen Anforderungen an die Sicherheit in der Lieferkette – von der vertraglichen Mindestabsicherung bis zur laufenden Lieferantenbewertung – erläutert der Leitfaden NIS2-Lieferkettensicherheit: Anforderungen und Implementierungsleitfaden.
Für Chemie- und Pharmaunternehmen bedeutet die NIS2-Lieferkettenpflicht konkret:
- Vertragliche Sicherheitsanforderungen an alle IKT-Zulieferer und kritischen OT-Komponentenlieferanten
- Security-Due-Diligence vor Vertragsabschluss mit neuen Zulieferern für Leittechniksoftware oder -hardware
- Strikte Regulierung von Fernzugriffen externer Wartungsdienstleister auf OT-Systeme (Jump-Server, zeitbegrenzte Sessions, vollständige Protokollierung)
- Regelmäßige Überprüfung kritischer Zulieferer auf sicherheitsrelevante Veränderungen (Eigentümerstruktur, bekannte Sicherheitsvorfälle, Software-Schwachstellen)
Die 10 NIS2-Sicherheitsmaßnahmen im Chemie- und Pharmakontext
Artikel 21 NIS2 definiert zehn verbindliche Mindestmaßnahmen für das Risikomanagement. Im Chemie- und Pharmasektor hat jede Maßnahme einen spezifischen operativen Ausdruck:
| Art.-21-Maßnahme | Chemie-/Pharmaspezifische Umsetzung |
|---|---|
| Risikoanalyse und Sicherheitsrichtlinien | Separate OT-Risikoanalyse nach IEC 62443; Integration von Störfallszenarien (12. BImSchV/HAZOP) als Schadensmaßstab; Richtlinien für IT-OT-Konvergenzpunkte |
| Incident Management | ICS-spezifische Eskalationspfade; Koordination BSI-Meldepflicht (§ 32 BSIG) mit Störfallmeldung (§ 19 12. BImSchV) bei cyber-induzierten Prozessereignissen |
| Business Continuity und Backup | Backup von Prozessparameter-Konfigurationen (DCS-Rezepturen, SIS-Logik); Wiederanlaufplanung für Batch-Produktionsprozesse unter GMP-Anforderungen (Pharma) |
| Lieferkettensicherheit | Due-Diligence für API-Zulieferer und OT-Komponentenlieferanten; Sicherheitsklauseln in Wartungsverträgen; geregelte Fernzugriffsprotokolle |
| Sicherheit bei Erwerb und Wartung | Sicherheitsprüfung von Prozessleitsystem-Updates vor Einspielen in Produktionsnetze; Secure-by-Design-Anforderungen bei LIMS/MES-Implementierungen |
| Wirksamkeit der Sicherheitsmaßnahmen | OT-Penetrationstests (mit geplanten Wartungsfenstern, um Produktionsausfälle zu minimieren); Red-Teaming für IT-OT-Übergänge und Remote-Access-Schnittstellen |
| Schulung und Cyberhygiene | Schulungsprogramme für Prozessoperatoren und Leittechnik-Ingenieure; Sensibilisierung für Social Engineering speziell an OT-Zugangspunkten und beim Fernzugriff |
| Kryptographie und Verschlüsselung | Verschlüsselung der Kommunikation zwischen IT- und OT-Netz (Historian-Anbindung, MES-ERP-Integration); Absicherung von Engineering Workstations |
| Zugangssteuerung und Identitätsmanagement | Privileged Access Management für OT; Three-Zone-Architektur gemäß IEC 62443 (Safety-Netz / OT-Netz / IT-Netz); strikte Trennung von Engineering- und Produktionszugang |
| Asset Management | Vollständiges Inventar aller OT-Assets (SPS, DCS, Historian, Engineering Workstations); Software-Stückliste (SBOM) für eingebettete Systeme mit langen Betriebszyklen |
Umsetzungsfahrplan für Chemie- und Pharmaunternehmen
- Einstufung und Registrierung klären: Bestimmen Sie zunächst, ob Ihr Unternehmen als Chemie- (NACE C20, Anhang II) oder Pharmabetrieb (NACE C21, Anhang I) einzustufen ist. Bei gemischten Aktivitäten auf einem Standort empfiehlt sich eine juristische Vorabklärung, ob einzelne Betriebseinheiten als separate Einrichtungen registriert werden müssen. Registrieren Sie sich beim BSI über das MELDP-Portal.
- OT-Asset-Inventar und Gap-Analyse erstellen: Erfassen Sie alle OT-Systeme (DCS, SIS, SCADA, PLCs, Historian, MES) und bewerten Sie für jede Komponente den aktuellen Sicherheitsstatus gegenüber IEC 62443 Security Levels. Identifizieren Sie prioritäre Lücken, insbesondere bei Netzwerksegmentierung, Fernzugriffskontrollen und Patch-Management für Altsysteme.
- Netzwerksegmentierung implementieren: Setzen Sie eine Three-Zone-Architektur nach IEC 62443 um: Safety-Netz (SIS isoliert), OT-Netz (DCS/SCADA), IT-Netz (MES/ERP). Unidirektionale Sicherheitsgateways (Data Diodes) schützen Safety-Systeme vor Rückkopplungen aus IT-Netzen. Definieren Sie gesicherte Datenaustauschpunkte zwischen OT und IT.
- Incident-Response-Plan mit Doppelmeldepflicht aufsetzen: Erarbeiten Sie einen ICS-spezifischen Incident-Response-Plan, der BSI-Meldepflichten (§ 32 BSIG: 24h/72h/1 Monat) und Störfallmeldepflichten (§ 19 12. BImSchV: unverzüglich an zuständige Landesbehörde) koordiniert. Definieren Sie Entscheidungsbäume: Ab welchem OT-Ereignis wird Produktion gestoppt, ab welchem werden Notfallsysteme aktiviert?
- Lieferantensicherheit strukturieren: Führen Sie ein Lieferantenregister für alle kritischen IKT- und OT-Zulieferer ein. Ergänzen Sie Bestands- und Neuverträge um NIS2-konforme Sicherheitsklauseln. Implementieren Sie ein Fernzugriffsmanagement mit Jump-Server, zeitbegrenzten Sessions und vollständiger Protokollierung für Wartungsdienstleister mit OT-Zugang.
Häufig gestellte Fragen
Gilt NIS2 für alle Chemieunternehmen in Deutschland?
Nein. Die Pflichten gelten nur für Unternehmen, die die Größenschwellen überschreiten: mindestens 50 Mitarbeiter und mindestens 10 Mio. Euro Jahresumsatz. Kleinere Chemieunternehmen sind grundsätzlich nicht direkt von NIS2 erfasst – können aber indirekt über Lieferantenanforderungen ihrer NIS2-pflichtigen Kunden betroffen sein.
Müssen Pharmaunternehmen sich als wesentliche oder wichtige Einrichtung registrieren?
Pharmahersteller (NACE C21) sind grundsätzlich als wesentliche Einrichtungen unter Anhang I, Gesundheitssektor, einzustufen – sofern sie mindestens 250 Mitarbeiter oder 50 Mio. Euro Umsatz haben. Mittlere Pharmaunternehmen (50–249 Mitarbeiter bzw. 10–49 Mio. Euro Umsatz) gelten als wichtige Einrichtungen. Die endgültige Einstufung obliegt dem BSI im Registrierungsverfahren.
Was passiert, wenn ein Cyberangriff eine Störfallbedingung auslöst – gibt es Doppelmeldepflichten?
Ja. Wenn ein Cyberangriff auf OT-Systeme eine Störfallbedingung im Sinne der 12. BImSchV auslöst oder ernsthaft droht auszulösen, bestehen parallele Meldepflichten: an das BSI nach § 32 BSIG (Frühwarnung innerhalb 24 Stunden, Meldung innerhalb 72 Stunden) und an die zuständige Landesbehörde nach § 19 12. BImSchV (unverzüglich). Beide Meldewege müssen separat beschritten werden und dürfen nicht miteinander verrechnet werden.
Sind Forschungs- und Entwicklungsabteilungen in Pharmaunternehmen ebenfalls NIS2-pflichtig?
Ja, sofern das Gesamtunternehmen die Schwellenwerte erfüllt und als wesentliche oder wichtige Einrichtung eingestuft ist. Die Pflichten gelten für die gesamte Organisation, einschließlich F&E-Bereiche. Forschungsnetzwerke mit Zugang zu proprietären Wirkstoffdaten und klinischen Studiendaten sind besonders attraktive Angriffsziele und sollten in der Risikoanalyse priorisiert behandelt werden.
Welche Normen gelten als Stand der Technik für OT-Sicherheit in der Chemiebranche?
Als Stand der Technik gelten die IEC-62443-Normenreihe (industrielle Cybersicherheit), die NAMUR-Empfehlung NE 153 (Cybersecurity für Prozessleittechnik), der VCI-Leitfaden Cybersicherheit für die Chemiebranche sowie die BSI-Empfehlungen zur ICS-Sicherheit (CS 005 und CS 136). Diese Normen sind bei der Umsetzung von Artikel 21 NIS2 als Interpretations- und Nachweisgrundlage heranzuziehen.
Quellen
- NIS-2-Richtlinie (EU) 2022/2555, Anhang I und II – EUR-Lex Volltext
- BSIG (NIS2UmsuCG) – Gesetze-im-Internet, insbesondere §§ 28, 30, 32
- SEVESO-III-Richtlinie (EU) 2012/18/EU – EUR-Lex Volltext
- 12. BImSchV (Störfall-Verordnung) – Gesetze-im-Internet
- BSI: Empfehlungen zur ICS-Sicherheit für Chemie und Prozessindustrie – BSI.bund.de
- ENISA Threat Landscape 2023 – enisa.europa.eu
