NIS2 und OT-Sicherheit: Was Industrieunternehmen jetzt umsetzen müssen
NIS2 und OT-Sicherheit: Was Industrieunternehmen jetzt umsetzen müssen
Amin Abbaszadeh
Informationssicherheitsexperte
21 Mar 2026
7 min
Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 und TISAX® effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.
Key Takeaways
NIS2 verpflichtet Betreiber in 18 Sektoren, auch ihre OT-Systeme nachweislich zu schützen.
IT-Sicherheitskonzepte lassen sich nicht 1:1 auf OT übertragen, weil Verfügbarkeit Vorrang vor Vertraulichkeit hat.
IEC 62443 liefert den technischen Rahmen, um NIS2-Anforderungen in OT-Umgebungen umzusetzen.
Ein ISMS, das IT- und OT-Risiken gemeinsam abbildet, spart doppelte Dokumentation und schafft Nachweisfähigkeit.
OT-Systeme steuern Kraftwerke, Produktionslinien und Wasserwerke. Viele dieser Systeme laufen seit Jahrzehnten ohne Sicherheitsupdates, weil sie für Verfügbarkeit gebaut wurden, nicht für Vertraulichkeit. Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) müssen Betreiber diese Systeme nachweislich schützen. Dieser Artikel zeigt, welche Anforderungen NIS2 an OT-Umgebungen stellt, wo sich IT- und OT-Sicherheit unterscheiden und wie Industrieunternehmen die Umsetzung angehen.
OT-Umgebungen unter NIS2: Warum Industrieanlagen besonders betroffen sind
NIS2 gilt für Unternehmen in 18 Sektoren, darunter Energie, Fertigung, Chemie, Wasser und Transport. Die meisten dieser Sektoren betreiben OT-Umgebungen: Leittechnik in Kraftwerken, SCADA-Systeme in der Wasserversorgung, SPS-gesteuerte Fertigungslinien in der Industrie. Wer als "besonders wichtige Einrichtung" nach §28 NIS2UmsuCG eingestuft wird, unterliegt strengeren Anforderungen und der proaktiven Aufsicht durch das BSI.
Das Problem: OT-Systeme waren historisch nicht für Cyberangriffe ausgelegt. Sie wurden in geschlossenen Netzwerken betrieben, ohne Verbindung zur IT oder zum Internet. Diese Isolation existiert heute in den wenigsten Industrieunternehmen. Predictive Maintenance, Remote-Zugriffe und IoT-Sensoren haben die Grenzen zwischen IT und OT aufgelöst. Damit sind OT-Systeme angreifbar geworden, ohne dass die Schutzmaßnahmen mitgewachsen sind.
Besonders betroffen sind Unternehmen, die unter §28 Abs. 1 als "besonders wichtige Einrichtungen" gelten: Energieerzeuger und -verteiler, Wasserversorgung und Abwasserentsorgung, Verkehr und Transport. Aber auch Fertigungsunternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz fallen als "wichtige Einrichtungen" in den Anwendungsbereich, wenn sie in den vom BSI definierten Sektoren tätig sind.
IT vs. OT: Unterschiedliche Sicherheitsanforderungen
Wer OT-Sicherheit wie IT-Sicherheit behandelt, scheitert. Die Grundannahmen sind verschieden. In der IT steht Vertraulichkeit an erster Stelle (CIA-Triade: Confidentiality first). In der OT dominiert Verfügbarkeit: Ein stillstehender Hochofen oder eine unterbrochene Wasserversorgung verursacht physische Schäden und Millionenverluste. Patching, in der IT eine Routineaufgabe, ist in OT-Umgebungen oft unmöglich, weil ein Neustart der Steuerung den Produktionsprozess unterbricht.
Dimension
IT-Sicherheit
OT-Sicherheit
Priorität
Vertraulichkeit
Verfügbarkeit
Update-Zyklen
Wochen bis Monate
Jahre bis Jahrzehnte
Lebensdauer
3-5 Jahre
15-30 Jahre
Protokolle
TCP/IP, HTTPS, SSH
Modbus, Profinet, OPC UA
Patching
Geplante Wartungsfenster
Oft unmöglich (24/7-Betrieb)
Welche technischen Maßnahmen §30 NIS2 im Detail fordert, zeigt unser Überblicksartikel. Für OT-Umgebungen bedeuten diese Maßnahmen aber einen grundlegend anderen Umsetzungsansatz als in der klassischen IT.
ICS/SCADA-Sicherheit: Segmentierung und Monitoring
NIS2 fordert "technische und organisatorische Maßnahmen" nach dem Stand der Technik. Für OT-Umgebungen ist der Referenzstandard die IEC 62443, die speziell für industrielle Automatisierungssysteme entwickelt wurde. Sie definiert Sicherheitszonen (Zones) und kontrollierte Übergänge (Conduits), die sich direkt auf NIS2-Anforderungen mappen lassen.
Der Vorteil der IEC 62443 gegenüber einer rein IT-getriebenen Sicherheitsstrategie: Sie berücksichtigt die Realität von OT-Umgebungen, in denen Systeme nicht einfach abgeschaltet, gepatcht oder ersetzt werden können. NIS2 verlangt "Stand der Technik". Für OT-Umgebungen ist IEC 62443 dieser Stand der Technik.
Vier Maßnahmen bilden das Fundament der OT-Absicherung:
1
Netzwerksegmentierung nach dem Purdue-Modell
OT-Netzwerke in Zonen aufteilen (Feldebene, Steuerungsebene, Leitebene, DMZ, IT) und die Übergänge mit Firewalls und Regelwerken absichern. IEC 62443-3-3 beschreibt dieses Zonenkonzept im Detail. Das Ziel: Auch wenn ein Angreifer in die IT eindringt, erreicht er die Steuerungsebene nicht.
2
OT-spezifisches Monitoring
Signaturbasierte Erkennung (wie in der IT üblich) funktioniert in OT schlecht, weil viele OT-Protokolle keine Standard-Signaturen haben. Anomalieerkennung ist der bessere Ansatz: Ein System lernt das normale Kommunikationsverhalten im OT-Netzwerk und meldet Abweichungen. Das BSI empfiehlt OT-Angriffserkennungssysteme (OT-NIDS) ausdrücklich für KRITIS-Betreiber.
3
Sichere Fernzugriffe
Remote-Zugriffe auf OT-Systeme (für Wartung, Updates oder Monitoring) sind ein häufiges Einfallstor. Multi-Faktor-Authentifizierung, dedizierte Jump-Server und zeitlich begrenzte Zugriffe reduzieren das Risiko. Jeder Fernzugriff sollte protokolliert werden.
4
Asset-Inventarisierung
Ohne eine vollständige Liste aller OT-Assets (SPS, HMIs, Switches, Sensoren) lässt sich kein Risikomanagement betreiben. In vielen Industrieunternehmen fehlt dieses Inventar, weil OT-Geräte nie in die IT-Asset-Datenbank aufgenommen wurden. Der erste Schritt jeder OT-Absicherung ist deshalb: erfassen, was da ist.
Risikomanagement für OT nach NIS2
OT-Risikomanagement nach NIS2: Ein 4-Schritte-Prozess von der Asset-Erfassung bis zur Maßnahmenumsetzung
§30 NIS2UmsuCG fordert eine Risikoanalyse für alle Systeme, die für den Betrieb relevant sind. OT-Systeme fallen da klar darunter. Die Herausforderung: Eine OT-Risikoanalyse folgt anderen Kriterien als eine IT-Risikoanalyse. Das höchste Risiko ist nicht der Datenabfluss, sondern der Produktionsstillstand, die Beschädigung von Anlagen oder die Gefährdung von Menschenleben.
Ein OT-spezifischer Risikomanagement-Prozess umfasst vier Schritte: Zunächst ein OT-Asset-Inventar erstellen (welche Systeme, Firmware-Versionen und Netzwerkverbindungen existieren). Dann Bedrohungsszenarien bewerten, die für OT typisch sind: Ransomware auf dem HMI, Manipulation von SPS-Logik, Lateral Movement von der IT in die OT. Im dritten Schritt die Risiken nach Verfügbarkeits-Impact bewerten, nicht nach dem Vertraulichkeitsschaden. Und schließlich Maßnahmen priorisieren und dokumentieren, damit sie im Audit nachweisbar sind.
Der häufigste Fehler in der Praxis: IT- und OT-Risiken getrennt verwalten. Zwei separate Excel-Listen, zwei getrennte Verantwortlichkeiten, keine Übersicht. Das BSI prüft aber das Gesamtbild. Wer nachweisen will, dass Lateral-Movement-Risiken (IT-Angreifer bewegt sich in die OT) behandelt sind, braucht eine Risikoanalyse, die beide Welten abdeckt. Ein gemeinsames ISMS für IT und OT löst dieses Problem.
"OT-Sicherheit war lange ein blinder Fleck. Die Systeme liefen, also hat sich niemand drum gekümmert. NIS2 ändert das: Wer OT betreibt und nicht nachweisen kann, dass er Risiken systematisch bewertet und behandelt hat, haftet persönlich. Ein ISMS, das IT und OT gemeinsam abbildet, schafft diesen Nachweis."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
ISMS-Plattformen wie SECJUR Digital Compliance Office helfen, IT- und OT-Risiken in einem zentralen System zu dokumentieren. Statt getrennte Excel-Listen für IT-Risiken und OT-Risiken zu pflegen, lässt sich der gesamte Risikomanagement-Prozess nach §30 auf einer Plattform abbilden: vom Risikoinventar über die Bewertungsmatrix bis zum dokumentierten Behandlungsplan. Das spart doppelte Dokumentation und macht die Nachweisführung im Audit einfacher.
Praxisbeispiele: NIS2-Umsetzung in der Industrie
Zwei typische Szenarien zeigen, wie Industrieunternehmen die OT-Absicherung nach NIS2 angehen:
Szenario 1: Energieversorger mit SCADA-Leittechnik
Ein regionaler Energieversorger betreibt SCADA-Systeme zur Steuerung von Umspannwerken. Die Leittechnik war bisher über ein flaches Netzwerk mit der IT verbunden. Erster Schritt: Netzwerksegmentierung nach dem Purdue-Modell. Die Leittechnik-Zone wurde durch eine OT-DMZ von der IT getrennt. Zweiter Schritt: Einführung eines OT-NIDS zur Anomalieerkennung im SCADA-Netzwerk. Dritter Schritt: Aufbau eines Incident-Response-Plans mit klaren Zuständigkeiten, wer bei einem OT-Vorfall die BSI-Meldung auslöst. Der gesamte Prozess wurde im ISMS dokumentiert.
Szenario 2: Fertigungsunternehmen mit Altanlagen
Ein Mittelständler in der Automobilzulieferung betreibt SPS-Steuerungen aus den 2000er-Jahren. Patches sind vom Hersteller nicht mehr verfügbar. Kompensationsmaßnahmen: Die Altanlagen wurden in ein isoliertes Netzwerksegment verschoben (Mikrosegmentierung). Der Datenverkehr wird über ein OT-Monitoring überwacht, das Abweichungen vom normalen Kommunikationsprofil erkennt. Ein vollständiges OT-Asset-Register wurde erstellt, das Firmware-Versionen, bekannte Schwachstellen und den Netzwerkstatus jedes Geräts dokumentiert. Die Maßnahmen und ihre Begründung wurden im ISMS erfasst, um bei einer BSI-Prüfung nachweisen zu können, dass die Risiken systematisch behandelt wurden.
Beide Szenarien zeigen dasselbe Muster: Die technischen Maßnahmen (Segmentierung, Monitoring, Zugriffskontrolle) greifen nur, wenn sie im Risikomanagement verankert und dokumentiert sind. SECJUR unterstützt Industrieunternehmen dabei, OT-Sicherheitsmaßnahmen systematisch zu dokumentieren und Krisenmanagement-Pläne für OT-Vorfälle aufzubauen.
Fazit
OT-Sicherheit ist mit NIS2 keine optionale Ergänzung mehr. Betreiber in regulierten Sektoren müssen nachweisen, dass sie ICS- und SCADA-Systeme systematisch geschützt haben. IEC 62443 liefert den technischen Rahmen. Ein ISMS, das IT- und OT-Risiken gemeinsam abbildet, liefert den organisatorischen Rahmen und die Nachweisfähigkeit für das BSI-Audit. Wer beides verbindet, erfüllt die NIS2-Anforderungen, ohne IT- und OT-Sicherheit doppelt aufbauen zu müssen.
Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 und TISAX® effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.
Über SECJUR
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
NIS2 verpflichtet Unternehmen in 18 Sektoren, auch ihre OT-Systeme (ICS, SCADA, SPS) nachweislich zu schützen. Betreiber müssen Risikomanagement, Netzwerksegmentierung und Incident-Response-Pläne für OT implementieren und dokumentieren.
Wie unterscheidet sich OT-Sicherheit von IT-Sicherheit?
In der IT steht Vertraulichkeit an erster Stelle, in der OT Verfügbarkeit. OT-Systeme laufen oft jahrzehntelang ohne Updates, nutzen proprietäre Protokolle wie Modbus oder Profinet und können nicht ohne Produktionsunterbrechung gepatcht werden.
Welcher Standard hilft bei NIS2-Compliance für OT?
IEC 62443 ist der internationale Referenzstandard für industrielle Cybersicherheit. Er definiert Sicherheitszonen, Zugriffskontrollen und Härtungsmaßnahmen speziell für OT-Umgebungen und lässt sich direkt auf NIS2-Anforderungen mappen. SECJUR unterstützt Unternehmen dabei, IEC 62443 Anforderungen systematisch in ein gemeinsames ISMS für IT und OT zu implementieren.
Am 1. Februar war internationaler Change-Your-Password-Day, ein Tag, der den Schutz der eigenen Daten durch sichere Passwörter wieder in die Köpfe der Internetnutzer rufen soll. Wie lange ist es her, dass Sie Ihre Passwörter das letzte Mal geändert haben? Wenn Sie sich nicht mehr daran erinnern können, dann haben wir hier alle wichtigen Informationen zur sicheren Vergabe von Passwörtern für Sie zusammengetragen.
Viele Unternehmen empfinden die ISO 27001-Dokumentation als aufwendig und schwerfällig. Doch richtig umgesetzt wird sie vom Pflichtdokument zum strategischen Steuerungsinstrument. Dieser Leitfaden zeigt, wie Sie Richtlinien, Prozesse und Nachweise so aufbauen und pflegen, dass sie Ihr ISMS nicht nur beschreiben, sondern aktiv lenken. So schaffen Sie Transparenz, stärken Verantwortlichkeiten und erhöhen nachhaltig das Sicherheitsniveau Ihres Unternehmens.
Die Organisation Noyb („My Privacy is None of Your Business“) unter dem Vorsitz von Max Schrems startete Anfang 2021 eine Abmahnwelle gegenüber Unternehmen wegen datenschutzwidriger Cookie-Banner. Doch wie soll ein rechtskonformes Cookie-Banner eigentlich aussehen? Lesen Sie mehr Tipps zur Gestaltung Ihres Banners.
{"@context":"https://schema.org","@graph":[{"@type":"FAQPage","mainEntity":[{"@type":"Question","name":"Was bedeutet NIS2 für OT-Umgebungen?","acceptedAnswer":{"@type":"Answer","text":"NIS2 verpflichtet Unternehmen in 18 Sektoren, auch ihre OT-Systeme (ICS, SCADA, SPS) nachweislich zu schützen. Betreiber müssen Risikomanagement, Netzwerksegmentierung und Incident-Response-Pläne für OT implementieren und dokumentieren."}},{"@type":"Question","name":"Wie unterscheidet sich OT-Sicherheit von IT-Sicherheit?","acceptedAnswer":{"@type":"Answer","text":"In der IT steht Vertraulichkeit an erster Stelle, in der OT Verfügbarkeit. OT-Systeme laufen oft jahrzehntelang ohne Updates, nutzen proprietäre Protokolle wie Modbus oder Profinet und können nicht ohne Produktionsunterbrechung gepatcht werden."}},{"@type":"Question","name":"Welcher Standard hilft bei NIS2-Compliance für OT?","acceptedAnswer":{"@type":"Answer","text":"IEC 62443 ist der internationale Referenzstandard für industrielle Cybersicherheit. Er definiert Sicherheitszonen, Zugriffskontrollen und Härtungsmaßnahmen speziell für OT-Umgebungen und lässt sich direkt auf NIS2-Anforderungen mappen. SECJUR unterstützt Unternehmen dabei, IEC 62443 Anforderungen systematisch in ein gemeinsames ISMS für IT und OT zu implementieren."}}]},{"@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https://www.secjur.com/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https://www.secjur.com/blog"},{"@type":"ListItem","position":3,"name":"NIS2 und OT-Sicherheit: Was Industrieunternehmen jetzt umsetzen müssen","item":"https://www.secjur.com/blog/nis2-ot-sicherheit"}]}]}
.svg)
.svg)
.svg)
.svg){kind=small}