NIS-2-Gesetz, Cybersicherheit

NIS-2-Gesetz verschmilzt Cybersicherheit mit Arbeitsschutz

29.12.2025 - 14:30:12

NIS-2-Gesetz verschmilzt Cybersicherheit mit Arbeitsschutz - Foto: über boerse-global.de
NIS-2-Gesetz verschmilzt Cybersicherheit mit Arbeitsschutz - Foto: über boerse-global.de

Ab sofort sind IT-Sicherheitslücken in der Produktion ein meldepflichtiger Risikofaktor für die physische Sicherheit am Arbeitsplatz. Das neue NIS-2-Umsetzungsgesetz, das Anfang Dezember in Kraft trat, verpflichtet rund 30.000 Unternehmen zu sofortigem Handeln. Für Sicherheitsverantwortliche bedeutet das eine Zeitenwende: Cyberangriffe auf Maschinen sind kein reines IT-Problem mehr, sondern ein direkter Verstoß gegen das Arbeitsschutzgesetz.

Die Umsetzung der EU-Richtlinie NIS-2 in deutsches Recht ist abgeschlossen. Nach der Verabschiedung durch Bundestag und Bundesrat im November trat das Gesetz am 6. Dezember 2025 in Kraft. Damit hat sich der Kreis der regulierten Unternehmen in Deutschland von etwa 4.500 auf geschätzte 29.500 erweitert. Neu dazu kommen Branchen wie der Maschinenbau, die Lebensmittelproduktion und die Abfallwirtschaft.

Die betroffenen Organisationen werden in „wesentliche“ und „wichtige“ Einheiten eingeteilt. Beide Kategorien müssen jedoch strengere technische und organisatorische Maßnahmen zum Schutz ihrer Netz- und Informationssysteme umsetzen. Die Geschäftsleitung haftet persönlich für die Einhaltung.

Der Paradigmenwechsel: Sicherheit wird digital

Die größte Neuerung für den Arbeitsschutz ist die explizite Einbeziehung der Lieferkettensicherheit und des Schutzes operativer Technologie (OT). In modernen Fabriken sind Maschinen und Sicherheitssysteme vernetzt. Ein Hackerangriff darauf ist damit nicht länger ein Datendiebstahl, sondern eine unmittelbare Gefahr für Menschenleben.

Anzeige

Viele Gefährdungsbeurteilungen berücksichtigen bislang keine Cyber‑Risiken an vernetzten Anlagen — genau das fordert jetzt das NIS‑2‑Umsetzungsgesetz. Ein kostenloser Leitfaden mit praxisnahen Vorlagen, Checklisten und konkreten Formulierungsbeispielen zeigt Sicherheitsverantwortlichen Schritt für Schritt, wie OT‑Risiken in die GBU aufgenommen und behördliche Prüfungen sicher bestanden werden. Ideal für Sifas, Betriebsräte und Sicherheitsbeauftragte, die Zeit sparen und Bußgelder vermeiden wollen. Kostenlose Gefährdungsbeurteilung‑Vorlagen & Leitfaden herunterladen

Ein kompromittierter Industrieroboter oder ein manipuliertes Chemie-Leitsystem stellt einen Verstoß gegen IT-Sicherheits- und Arbeitsschutzvorschriften dar. Sicherheitsfachkräfte müssen nun eng mit der IT-Abteilung zusammenarbeiten, um Cyber-Bedrohungen in die Gefährdungsbeurteilungen aufzunehmen. Die klassischen Domänen Safety (Schutz des Menschen vor der Maschine) und Security (Schutz der Maschine vor dem Menschen) verschmelzen.

Dringende Fristen: Jetzt handeln

Das Gesetz ist bereits in Kraft – die Uhr tickt also. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

  • Registrierungsfrist: Für „wesentliche“ Einheiten endet die dreimonatige Frist am 6. März 2026.
  • Meldepflicht: Schwere Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden (Frühwarnung) und mit einer detaillierten Meldung binnen 72 Stunden gemeldet werden.

Es gibt keine lange Übergangsfrist. Unternehmen müssen daher umgehend prüfen, ob sie unter den erweiterten Geltungsbereich fallen, und ihre Registrierung einleiten. Compliance-Experten warnten bereits im Dezember, dass „sofortiges Handeln“ erforderlich sei.

Industrie zwischen Zustimmung und Überforderung

Die Bundesbehörden begrüßen das Gesetz als Meilenstein. BSI-Präsidentin Claudia Plattner sprach von einem entscheidenden Schutzschild für die digitale Angriffsfläche Deutschlands.

In der Wirtschaft stößt das rasche Inkrafttreten jedoch auch auf Kritik. Branchenverbände verweisen auf den hohen bürokratischen Aufwand, besonders für mittelständische Maschinenbauer, die oft keine eigene IT-Sicherheitsabteilung haben. Die größte Herausforderung für Sicherheitsmanager ist dabei oft die Wissenslücke: Sie müssen nun die Grundlagen von Netzsegmentierung und Patch-Management verstehen, um physische Risiken bewerten zu können.

Was 2026 auf die Unternehmen zukommt

Im ersten Quartal 2026 wird der Fokus auf der praktischen Umsetzung liegen. Das BSI wird seine Kapazitäten für die Anmeldung Zehntausender neuer Unternehmen hochfahren. Zudem werden branchenspezifische Leitfäden erwartet, die die abstrakten Vorgaben für Industrien wie den Maschinenbau konkretisieren.

Für Sicherheitsverantwortliche ist der nächste Schritt klar: Sie müssen alle Gefährdungsbeurteilungen für vernetzte Anlagen überprüfen und Cyber-Risiken als physische Gefahren dokumentieren. Bis zur Frist im März bleibt wenig Zeit. Wer sie verpasst, riskiert hohe Bußgelder – und gefährdet die Sicherheit der Belegschaft in einer zunehmend bedrohlichen digitalen Welt.

Anzeige

PS: Sie müssen bis März registriert sein — nutzen Sie fertige, behördlich bewährte Checklisten, statt alles neu zu erstellen. Das Gratis‑Downloadpaket enthält editierbare Vorlagen für Gefährdungsbeurteilungen, Risikomatrizen und eine Prüfliste, mit der Sie in kurzer Zeit prüfungssichere Dokumente erstellen. So reduzieren Sie Vorbereitungszeit und schützen Mitarbeiter wirksam vor digitalen Gefahren. Jetzt GBU‑Checklisten & Vorlagen kostenlos anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler