NIS2 Policy-Paket Fertigung

Beschreibung

12 OT/ICS-angepasste NIS2-Richtlinien, speziell entwickelt für Fertigungsbetriebe mit SPS, SCADA und Purdue-Modell-Netzwerkarchitektur – das einzige deutschsprachige NIS2-Vorlagenpaket, das IEC 62443 und NIS2UmsuCG §30 gemeinsam adressiert. 68 % aller OT-Ransomware-Angriffe richten sich gegen die Fertigung (Dragos 2025). Generische IT-Sicherheitsrichtlinien ignorieren die spezifischen Risiken Ihrer Industrieanlage. Dieses Paket tut das nicht.

Warum generische IT-Sicherheitsvorlagen in der Fertigungshalle versagen – und was das für Ihre SPS, SCADA und NIS2-Prüfung bedeutet

Das NIS2UmsuCG erkennt die Realität der Fertigungsindustrie an: Operative Technologie (OT) folgt anderen Sicherheitsregeln als klassische IT. Eine Backup-Richtlinie, die für einen Windows-Server sinnvoll ist, ist für eine SPS mit 20-jährigen Firmware-Zyklen nutzlos. Eine Patch-Management-Richtlinie ohne OT-Maintenance-Windows richtet in der Produktion mehr Schaden an als sie verhindert. Vier spezifische Herausforderungen der Fertigungswelt, die generische IT-Vorlagen übersehen:

1. OT-Protokolle und IT-Sicherheitsmodelle sind inkompatibel: Modbus, PROFINET, OPC-UA – diese Industrieprotokolle haben keine nativen Verschlüsselungs- oder Authentifizierungsmechanismen. Eine Verschlüsselungsrichtlinie aus der IT-Welt scheitert hier ohne OT-Anpassung. Art. 21(2)(h) benötigt OT-spezifische Kryptografie-Überlegungen.
2. Das Purdue-Modell definiert Ihre Netzwerksegmentierung: NIS2UmsuCG §30(2) fordert Netzwerksicherheitsmaßnahmen. In Fertigungsumgebungen bedeutet das: klare Zonentrennung zwischen Level 0–4 des Purdue-Modells, DMZ-Regeln zwischen OT und IT, Jumpserver-Konfigurationen. Kein generisches Dokument beschreibt das.
3. 68 % aller OT-Ransomware-Angriffe treffen die Fertigung (Dragos 2025): Gleichzeitig haben 74 % der befragten Fertigungsunternehmen keine dokumentierte OT-spezifische Vorfallreaktion. Wenn Ihre SCADA-Anlage betroffen ist, müssen Sie den BSI-Meldeweg nach §32 NIS2UmsuCG beschreiten – mit OT-spezifischen Rollen und Eskalationspfaden.
4. KRITIS-Status für bestimmte Fertigungsbetriebe: Unternehmen in der Automobilindustrie, Chemie oder Lebensmittelproduktion, die Schwellenwerte des BSI-KRITIS-Katalogs überschreiten, fallen gleichzeitig unter NIS2UmsuCG und das KRITIS-Dachgesetz. IEC 62443 ist der akzeptierte Stand der Technik für den Nachweis von OT-Sicherheitsmaßnahmen gegenüber dem BSI.

Das Policy-Paket Fertigung wurde von Grund auf für diesen Kontext entwickelt – nicht als nachträgliche OT-Anpassung eines IT-Dokuments, sondern als originäre Fertigungsdokumentation.

12 OT/ICS-angepasste Richtlinien für die Fertigungsumgebung – IEC 62443, Purdue-Modell und NIS2UmsuCG §30 in einem deutschen Vorlagenpaket

Das Policy-Paket Fertigung enthält 12 sektorspezifische DOCX-Vorlagen plus Masterplan, Rollenmatrix und ein Fertigungs-spezifisches Swimlane-Diagramm für die Vorfallreaktion – 15 Dokumente gesamt. Alle Richtlinien wurden für OT-Umgebungen mit SPS, SCADA und Purdue-Modell-Netzwerkarchitektur entwickelt und referenzieren IEC 62443 als den anerkannten technischen Standard.

System Layer (3 Dokumente): Masterplan (Fertigungsimplementierung), Rollenmatrix (OT-spezifische Rollen: OT-Sicherheitsbeauftragter, Produktionsleiter, Wartungstechniker), Fertigungs-Swimlane (OT-Vorfallreaktion visuell).

Alle 15 Dokumente anzeigen

1. 00 — Willkommen & Übersicht Fertigung
2. 01 — Implementierungsleitfaden Fertigung
3. 02 — Informationssicherheitsrichtlinie Fertigung
4. 03 — Risikobeurteilungsmethodik Fertigung
5. 04 — Vorfallbehandlungsrichtlinie Fertigung
6. 05 — Business-Continuity & Backup Fertigung
7. 06 — Lieferkettensicherheit Fertigung
8. 07 — Patch- & Schwachstellenmanagement Fertigung
9. 08 — Schulung & Sensibilisierung Fertigung
10. 09 — Kryptografie & Verschlüsselung Fertigung
11. 10 — Zugangssteuerung & Identität Fertigung
12. 11 — MFA Fertigung
13. Masterplan Fertigung
14. Rollenmatrix Fertigung
15. Fertigungs-Swimlane Vorfallreaktion

Wie jede Art.-21-Maßnahme abgedeckt ist

Welches Paket zu Ihrem Ausgangspunkt passt

Wer das Policy-Paket Fertigung nutzt

OT-Sicherheitsbeauftragter / NIS2-Beauftragter Fertigung — Sie kennen die Unterschiede zwischen IT und OT. Sie wissen, dass eine generische Zugriffssteuerungsrichtlinie für einen Siemens S7-Steuerungsrechner nicht das Gleiche bedeutet wie für einen Windows-Server. Das Policy-Paket Fertigung spart Ihnen die Wochen der Nachbearbeitung, die generische IT-Vorlagen immer erfordern.

Produktionsleiter / Werkleiter mit NIS2-Verantwortung — Sie haben keine IT-Sicherheitsperspektive, aber §38 NIS2UmsuCG macht auch Sie als Geschäftsleitung persönlich verantwortlich. Die Rollenmatrix Fertigung zeigt klar, welche Entscheidungen Sie treffen müssen – und was Ihr OT-Team erledigt.

IT/OT-Sicherheitsberater in der Fertigungsbranche — Sie betreuen Automotive-, Chemie- oder Maschinenbaukunden und brauchen eine solide Dokumentationsgrundlage für OT-NIS2-Projekte. Das Policy-Paket Fertigung gibt Ihnen IEC-62443-konforme Ausgangsvorlagen, die Sie für jeden Fertigungskunden individuell anpassen können.

CISO in einem Mischkonzern (IT + OT) — Ihr Unternehmen hat sowohl klassische IT-Infrastruktur als auch Produktionsanlagen. Das NIS2-Komplettpaket deckt Ihre IT-Seite ab; das Policy-Paket Fertigung ergänzt es um die OT-spezifische Dokumentation. Beide Pakete zusammen ergeben eine vollständige NIS2-Dokumentationsbibliothek für hybride IT/OT-Umgebungen.

Häufige Fragen zum Policy-Paket Fertigung

Gilt NIS2UmsuCG für unseren Fertigungsbetrieb?

Das NIS2UmsuCG listet „verarbeitendes Gewerbe“ in Anhang II als wichtigen Sektor. Fertigungsunternehmen mit 50+ Mitarbeitenden oder 10 Mio. € Jahresumsatz in bestimmten Subsektoren (z. B. Medizinprodukte, Fahrzeuge, Maschinenbau, Chemie) fallen in den Anwendungsbereich. Unternehmen über 250 Mitarbeitenden oder 50 Mio. € Umsatz können als „besonders wichtige Einrichtung“ eingestuft werden. Im Zweifel konsultieren Sie Ihren Rechtsberater.

Was ist der Unterschied zwischen IEC 62443 und ISO 27001 in Bezug auf OT?

ISO 27001 ist ein generisches Informationssicherheitsrahmenwerk für IT-Umgebungen. IEC 62443 ist der spezifische internationale Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). Das BSI betrachtet IEC 62443 als Stand der Technik für OT-Sicherheitsmaßnahmen. Die Vorlagen in diesem Paket referenzieren beide Normen – IEC 62443 für OT-spezifische Anforderungen, ISO 27001 für übergeordnete Rahmenkonzepte.

Sind die Vorlagen auch für ältere Legacy-OT-Systeme geeignet?

Ja. Ein Kernmerkmal des Pakets ist die explizite Behandlung von Legacy-OT-Systemen: Die Kryptografierichtlinie (Dok. 09) enthält Ausnahmeregelungen für Systeme, bei denen Verschlüsselung technisch nicht möglich ist, und Kompensationsmaßnahmen (z. B. Netzwerksegmentierung, Monitoring). Realistisch, nicht idealistisch.

Gilt dieses Paket auch für KRITIS-Betreiber in der Fertigung?

Das Paket referenziert NIS2UmsuCG §30 und adressiert OT-Sicherheitsanforderungen, die auch für KRITIS-Betreiber relevant sind. Für Unternehmen, die gleichzeitig unter das KRITIS-Dachgesetz fallen (etwa in der Chemieindustrie), empfehlen wir zusätzlich das Energie-Paket (IEC 62351 / KRITIS-Dual) oder eine individuelle Beratung – da KRITIS-DachG spezifische Anforderungen über NIS2 hinaus stellen kann.

Wie funktioniert die Anpassung für meine spezifische Produktionsanlage?

Alle Vorlagen enthalten klar markierte Platzhalter für: Ihr Unternehmen, Ihre spezifischen OT-Systeme (SPS-Modell, SCADA-Software), Ihre Netzwerkarchitektur und Ihre OT-Verantwortlichen. Der Implementierungsleitfaden (Dok. 01) führt Sie durch einen strukturierten Anpassungsprozess für die Fertigungsumgebung.

Kann ich dieses Paket mit dem Komplettpaket kombinieren?

Ja, und das ist tatsächlich die beste Lösung für Unternehmen mit gemischter IT/OT-Umgebung. Das Komplettpaket deckt Ihre IT-Infrastruktur ab (Bürosysteme, Cloud, Lieferketten-IT, Vorstandshaftung, BSI-Registrierung). Das Policy-Paket Fertigung ergänzt es um den OT-spezifischen Teil. Kontaktieren Sie uns für ein kombiniertes Angebot.

Welche Rolle spielt das BSI IT-Grundschutz in diesem Paket?

Das BSI IT-Grundschutz-Kompendium enthält spezifische Bausteine für industrielle IT (IND: Industrielle IT). Die Vorlagen dieses Pakets sind inhaltlich mit den IND-Bausteinen kompatibel und können als Nachweisdokumentation für BSI IT-Grundschutz-Audits verwendet werden. Unternehmen, die eine formale IT-Grundschutz-Zertifizierung anstreben, sollten zusätzlich ihren BSI-Grundschutz-Berater einbinden.

Sichern Sie Ihre Produktionslinie – bevor ein OT-Angriff die Linie stillegt

68 % aller OT-Ransomware-Angriffe treffen die Fertigung. Ein Produktionsstillstand durch einen Cyberangriff kostet Fertigungsunternehmen im Schnitt über 260.000 Euro pro Stunde (IBM Security 2024). Das Policy-Paket Fertigung kostet €349 – und liefert die Dokumentationsbasis, die Ihnen bei einem BSI-Audit und im Ernstfall den Nachweis ermöglicht, dass Sie §30 NIS2UmsuCG erfüllen. Laden Sie jetzt herunter.