NIS2 und Cyber Resilience Act in der Automobilbranche: Warum ein OEM-Produktionsstopp bei Ihnen im Haus beginnt
NIS2 und Cyber Resilience Act in der Automobilbranche: Warum ein OEM-Produktionsstopp bei Ihnen im Haus beginnt
Kai Irmler
Head of Compliance Services
October 2, 2025
5 min
Kai ist ein erfahrener Experte für Informationssicherheit und Compliance-Spezialist. Als Head of Compliance Services bei SECJUR unterstützt er Unternehmen beim Aufbau eines effizienten ISMS, der Audit-Vorbereitung und der Umsetzung regulatorischer Anforderungen. Mit Erfahrung in diversen Branchen, weiß er worauf es bei erfolgreichen Audits ankommt. Er hat bereits zahlreiche Unternehmen bei der ISO 27001-Zertifizierung oder dem TISAX-Testat begleitet und berät zu IT-Sicherheit und Compliance-Strategien.
Key Takeaways
Gesetzliche Pflicht: NIS2 und CRA bringen verbindliche Sicherheitsvorgaben mit hohen Strafen bei Nichteinhaltung.
Lieferkette im Fokus: OEMs geben Anforderungen weiter – auch KMU ohne direkte Betroffenheit müssen handeln.
Synergien nutzen: TISAX® ist ein solides Fundament, ersetzt aber NIS2 nicht – intelligentes Zusammenspiel ist nötig.
Umsetzungsplan: Ein klarer 7-Schritte-Leitfaden hilft, Compliance pragmatisch zu erreichen und Wettbewerbsvorteile zu sichern.
Stellen Sie sich vor: Ein normaler Dienstagmorgen in Ihrem Zulieferbetrieb. Plötzlich sind alle Systeme verschlüsselt, die Produktion steht still. Ein Ransomware-Angriff. Ärgerlich, aber ein internes Problem, denken Sie. Doch wenige Tage später erhalten Sie einen Anruf von Ihrem wichtigsten Kunden, einem großen Automobilhersteller. Dessen Bänder stehen still. Der Grund: Ihre fehlenden Teile. Innerhalb von Stunden wird aus Ihrem „internen“ IT-Problem eine Krise, die eine ganze Lieferkette lahmlegt – mit Vertragsstrafen, Reputationsschaden und der drohenden Gefahr, als Lieferant ausgelistet zu werden.
Dieses Szenario ist keine Panikmache. Es ist die neue Realität, auf die sich die Europäische Union mit zwei entscheidenden Gesetzen vorbereitet: der NIS2-Richtlinie und dem Cyber Resilience Act (CRA). Für Zulieferer in der Automobilindustrie bedeutet das: Cybersicherheit ist keine Option mehr, sondern eine Existenzgrundlage. Es geht nicht mehr nur um den Schutz Ihrer eigenen Daten, sondern um die Stabilität des gesamten Ökosystems.
Was sind NIS2 und der Cyber Resilience Act? Ein 5-Minuten-Überblick
Bisher war Cybersicherheit oft ein Thema für die IT-Abteilung. Mit den neuen EU-Verordnungen wird sie zur Chefsache und betrifft jeden Bereich Ihres Unternehmens – von der Produktentwicklung bis zur Vertragsgestaltung mit Ihren eigenen Lieferanten.
Die NIS2-Richtlinie: Stellen Sie sich NIS2 als den Bodyguard für Ihr Unternehmen vor. Es geht darum, wie Sie Ihr eigenes Unternehmen und Ihre Prozesse vor Cyberangriffen schützen. Die Richtlinie zwingt Sie, angemessene Sicherheitsmaßnahmen zu ergreifen, Risiken zu managen und schwerwiegende Sicherheitsvorfälle innerhalb kurzer Fristen an die Behörden zu melden. Der entscheidende Punkt für die Automobilbranche: NIS2 betrachtet die gesamte Lieferkette. Ein OEM kann nur sicher sein, wenn auch seine Zulieferer sicher sind.
Der Cyber Resilience Act (CRA): Der CRA ist sozusagen der TÜV für Ihre Produkte mit digitalen Elementen. Wenn Sie Komponenten mit Software, Sensoren oder Konnektivität herstellen – von Steuergeräten bis hin zu Infotainmentsystemen –, müssen diese Produkte von sich aus sicher sein („Security by Design“). Der CRA verlangt, dass Sie während des gesamten Lebenszyklus eines Produkts für dessen Cybersicherheit sorgen, inklusive regelmäßiger Updates.
Die Überschneidung mit TISAX® und UN R155
Viele Zulieferer sind bereits mit Standards wie TISAX® oder der UN R155 vertraut. Das ist eine hervorragende Grundlage, aber Vorsicht: Es ist kein Freifahrtschein.
NIS2 ist ein Gesetz mit staatlicher Aufsicht und empfindlichen Strafen.
CRA ist eine Produktverordnung, ähnlich einer CE-Kennzeichnung.
TISAX® ist ein Branchenstandard, ein wichtiges „Ticket to Play“, aber rechtlich nicht auf derselben Stufe wie NIS2.
Die gute Nachricht: Die Anforderungen überschneiden sich. Wer TISAX® bereits umgesetzt hat, hat einen großen Teil der Arbeit für NIS2 schon erledigt. Die Managementsysteme lassen sich intelligent verknüpfen, um Doppelarbeit zu vermeiden.
Der Praxisleitfaden: In 7 Schritten zur NIS2-Compliance als Zulieferer
Die Anforderungen wirken auf den ersten Blick überwältigend, besonders für mittelständische Unternehmen. Doch mit einem strukturierten Vorgehen lässt sich die Herausforderung meistern.
Schritt 1: Betroffenheit prüfen
Prüfen Sie, ob Ihr Unternehmen direkt als „wesentliche“ oder „wichtige“ Einrichtung unter NIS2 fällt. Aber Achtung: Selbst wenn nicht, werden Ihre OEM-Kunden die Anforderungen vertraglich an Sie weitergeben. Gehen Sie davon aus, dass Sie betroffen sind.
Schritt 2: Risikoanalyse durchführen
Identifizieren Sie Ihre Kronjuwelen: Welche Prozesse und Daten sind für Ihren Betrieb und Ihre Kunden am kritischsten? Wo liegen die größten Risiken – von menschlichem Versagen bis zu Angriffen auf Ihre Lieferanten?
Schritt 3: Sicherheitsmaßnahmen implementieren
NIS2 fordert einen „State-of-the-Art“-Schutz. Dazu gehören technische Maßnahmen (Firewalls, Verschlüsselung, sichere Backups) und organisatorische Maßnahmen (Schulung der Mitarbeiter, Notfallpläne, Zugriffsrechte). Eine strukturierte NIS2 Umsetzung ist hier der Schlüssel.
Schritt 4: Lieferketten-Sicherheit managen
Das ist der entscheidende neue Punkt. Sie müssen die Cybersicherheit Ihrer eigenen Lieferanten bewerten und sicherstellen. Das bedeutet: Verträge anpassen, Lieferanten überprüfen und klare Anforderungen definieren.
Schritt 5: Vorfalls-Management und Meldepflichten etablieren
Was passiert, wenn es doch kracht? Sie benötigen einen klaren Plan, wie Sie einen Vorfall erkennen, darauf reagieren und ihn eindämmen. NIS2 schreibt strenge Meldefristen vor: Eine Erstmeldung muss oft schon innerhalb von 24 Stunden erfolgen.
Schritt 6: Regelmäßige Überprüfung und Audits
Cybersicherheit ist kein einmaliges Projekt. Sie müssen Ihre Systeme und Prozesse regelmäßig testen, überprüfen und verbessern, um mit neuen Bedrohungen Schritt zu halten.
Schritt 7: Verantwortlichkeiten der Geschäftsführung klären
Die Geschäftsführung ist direkt für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen verantwortlich und haftet bei Versäumnissen persönlich. Dieses Thema ist gerade für NIS2 für KMU von entscheidender Bedeutung.
Häufige Fehler und Missverständnisse (und wie man sie vermeidet)
Auf dem Weg zur Compliance lauern einige typische Fallstricke. Wer sie kennt, kann sie umschiffen.
Fehler #1: „NIS2 betrifft uns als KMU nicht.“
Ein gefährlicher Irrglaube. Auch wenn Sie nicht direkt unter die Schwellenwerte fallen, werden OEMs und Tier-1-Zulieferer die NIS2-Anforderungen kaskadieren. Wer die Anforderungen nicht erfüllt, riskiert, aus der Lieferkette zu fliegen.
Fehler #2: „Unsere TISAX®-Zertifizierung ist ausreichend.“
TISAX® ist ein starkes Fundament, aber es deckt nicht alle rechtlichen Pflichten von NIS2 ab, insbesondere nicht die staatlichen Meldepflichten und die Haftung der Geschäftsführung. Sehen Sie TISAX® als Beschleuniger für Ihre NIS2 Compliance, nicht als Ersatz.
Fehler #3: „NIS2 ist nur ein IT-Thema.“
Falsch. Es ist ein unternehmensweites Risikomanagement-Thema, das die Geschäftsführung, den Einkauf, die Rechtsabteilung und die Produktion gleichermaßen betrifft. Die stärkste Firewall nützt nichts, wenn ein Mitarbeiter im Einkauf unbedacht einen infizierten Anhang öffnet.
FAQ: Die wichtigsten Fragen zu NIS2 und CRA
Bis wann muss NIS2 umgesetzt werden?
Die EU-Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Ab diesem Zeitpunkt müssen Unternehmen die neuen Regeln anwenden.
Mit welchen Strafen muss ich bei Nichteinhaltung rechnen?
Die Strafen sind empfindlich. Für „wesentliche“ Einrichtungen können sie bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Für „wichtige“ Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.
Was ist der Hauptunterschied zwischen NIS2 und dem Cyber Resilience Act?
Ganz einfach: NIS2 schützt Ihr Unternehmen, der CRA schützt Ihre Produkte. NIS2 sorgt dafür, dass Ihr Netzwerk und Ihre IT-Systeme sicher sind. Der CRA sorgt dafür, dass die vernetzten Geräte, die Sie herstellen und verkaufen, keine Sicherheitslücken haben.
Was bedeutet „Sicherheit der Lieferkette“ unter NIS2 konkret?
Sie müssen die Cyber-Risiken bewerten, die von Ihren direkten Zulieferern und Dienstleistern ausgehen. Das kann bedeuten, dass Sie von Ihren Lieferanten Sicherheitsnachweise verlangen, vertragliche Klauseln zur Cybersicherheit aufnehmen oder sogar Audits durchführen müssen.
Fazit: Vom Pflichtprogramm zur strategischen Chance
Die Anforderungen der EU NIS2-Richtlinie und des Cyber Resilience Act sind ohne Frage eine große Herausforderung. Sie erfordern Investitionen, Zeit und ein Umdenken im gesamten Unternehmen. Doch wer jetzt proaktiv handelt, sichert nicht nur sein Unternehmen gegen Angriffe ab, sondern verwandelt eine regulatorische Pflicht in einen entscheidenden Wettbewerbsvorteil.
Ein Zulieferer, der seine Cybersicherheit nachweislich im Griff hat, ist ein resilienter, verlässlicher und damit wertvollerer Partner. In einer Industrie, in der ein Produktionsstillstand Millionen kostet, wird Cyber-Resilienz zum entscheidenden Kriterium für die Auftragsvergabe. Anstatt nur die Mindestanforderungen zu erfüllen, haben Sie die Chance, sich als „Preferred Supplier“ zu positionieren und Ihre Zukunft in der anspruchsvollen Lieferkette der Automobilindustrie nachhaltig zu sichern.
Kai ist ein erfahrener Experte für Informationssicherheit und Compliance-Spezialist. Als Head of Compliance Services bei SECJUR unterstützt er Unternehmen beim Aufbau eines effizienten ISMS, der Audit-Vorbereitung und der Umsetzung regulatorischer Anforderungen. Mit Erfahrung in diversen Branchen, weiß er worauf es bei erfolgreichen Audits ankommt. Er hat bereits zahlreiche Unternehmen bei der ISO 27001-Zertifizierung oder dem TISAX-Testat begleitet und berät zu IT-Sicherheit und Compliance-Strategien.
Über SECJUR
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Am 1. Februar war internationaler Change-Your-Password-Day, ein Tag, der den Schutz der eigenen Daten durch sichere Passwörter wieder in die Köpfe der Internetnutzer rufen soll. Wie lange ist es her, dass Sie Ihre Passwörter das letzte Mal geändert haben? Wenn Sie sich nicht mehr daran erinnern können, dann haben wir hier alle wichtigen Informationen zur sicheren Vergabe von Passwörtern für Sie zusammengetragen.
Viele Webseiten verfügen über eine Datenschutzerklärung. Aber benötigt wirkliche jede Internetseite eine Datenschutzerklärung? Muss auch die Homepage einer Privatperson eine Datenschutzerklärung haben? Die SECJUR-Datenschutzexperten klären auf.
In unserem neuesten Blogartikel geben wir Ihnen wichtige Einblicke in das Hinweisgeberschutzgesetz. Erfahren Sie mehr über die Bedeutung dieses Gesetzes und seine Hintergründe, was es genau umfasst und welche Vorteile es für Unternehmen bietet. Zudem werfen wir einen Blick auf die Pflichten und Verantwortlichkeiten, die mit der Umsetzung einhergehen. Mit praxisnahen Beispielen aus dem Unternehmensalltag und hilfreichen Tipps zur erfolgreichen Umsetzung des Gesetzes bieten wir Ihnen eine erste wertvolle Orientierung zum Hinweisgeberschutzgesetz.
.svg)
.svg)
.svg)
.svg){kind=small}