1. Allgemeine Grundlagen und Begriffsbestimmungen: Einführung in Grundkonzepte wie Zones & Conduits, Defense-in-Depth, Rollenverteilungen und Schutzziele.
2. Sicherheitsanforderungen für Betreiber und Dienstleister: Richtet sich an Anlagenbetreiber und beschreibt organisatorische Maßnahmen, Prozesse und Managementsysteme.
3. Sicherheitsanforderungen an Automatisierungssysteme: Beschreibt grundlegende Sicherheitstechnologien (wie Authentifizierung, Verschlüsselung etc.), Risikomanagement-Ansätze und Sicherheitsanforderungen für industrielle Produktionssysteme.
4. Anforderungen an sichere Automatisierungskomponenten: Adressiert Hersteller und Entwickler von Komponenten und beschreibt die Anforderungen an sichere Entwicklungsprozesse und Produkte.
5. Profile: Befindet sich noch in Planung (Stand: Ende 2025) und wird branchenspezifische Sicherheitsanforderungen als Hilfestellung für konkrete, strukturierte Implementierungen definieren.
6. Evaluationsmethodiken: Wurde zuletzt veröffentlicht und spezifiziert Konformitätskriterien und -nachweise, mit denen bewertet werden kann, ob die Anforderungen aus den vorhergehenden Bereichen erfüllt worden sind.

Die übergeordneten Bereiche untergliedern sich wiederum in einzelne Teile, die getrennt voneinander bewertet werden können. Innerhalb der Bereiche kann einer von fünf Reifegraden (Maturity Level) erlangt werden, der beschreibt, wie tief die Anforderungen in der Organisation bereits umgesetzt sind.

Die Zertifizierung nach IEC 62443-4-1 Maturity Level 2 von TRIOVEGA bedeutet also, dass die Anforderungen an eine sichere Produktentwicklung über den gesamten Produktlebenszyklus hinweg (Teil 1 des Bereichs 4 der IEC 62443) verlässlich in verschiedenen Projektszenarien erfüllt werden können.

Warum die IEC 62443 im Kontext von NIS-2 und CRA unerlässlich ist

Mit der NIS-2-Richtlinie und dem Cyber Resilience Act (CRA) verpflichtet die EU Unternehmen zu einer deutlichen Stärkung der Cyber-Security kritischer Infrastrukturen und digitaler Produkte. Beide Regelwerke fordern von betroffenen Unternehmen ein systematisches Risikomanagement, Security by Design und eine klare Nachweisbarkeit der getroffenen Schutzvorkehrungen. Die NIS-2 befasst sich dabei mit der Informationssicherheit im gesamten Unternehmen und der Lieferkette, während der CRA auf Endprodukte mit vernetzten Komponenten fokussiert ist.

Doch auch wenn die Zielvorgaben in den Regelwerken recht klar formuliert sind, bleibt die Frage nach dem “Wie” offen. Weder NIS-2 noch CRA geben bisher vor, mit welchen konkreten Maßnahmen, Tools oder Prozessstandards die Anforderungen zu erfüllen sind. Für Maschinenbetreiber und Hersteller von Produkten mit netzwerkfähigen Komponenten kann eine Zertifizierung in einzelnen Teilbereichen der IEC 62443 daher ein starkes Fundament für Compliance-Anforderungen bilden. Zu beachten ist, dass gerade die organisatorischen und Governance-Spezifika der NIS-2 zusätzlich zum technischen Fokus der IEC 62443-Reihe adressiert werden müssen und Compliance durch eine IEC 62443-Zertifizierung allein nicht garantiert werden kann.

Für Betreiber von Fertigungsanlagen, was fast alle produzierenden Unternehmen sein dürften, sind vor allem die Bereiche IEC 62443-2 (Risikomanagement für Anlagenbetreiber & Dienstleister) und IEC 62443-3 (Sicherheitsmechanismen und -technologien für industrielle Automatisierungssysteme) im Hinblick auf die NIS-2 relevant.

Für Hersteller vernetzter Produkte – auch Maschinenhersteller, da moderne Maschinen in der Regel vernetzte Komponenten enthalten – kann der Bereich IEC 62443-4 mit seinen Spezifikationen zu einem sicheren Produktlebenszyklus und sicheren Komponenten Hilfestellung für den CRA geben.

Was haben Kunden von unserer IEC 62443-Zertifizierung?

Nicht für jeden Anlagenbetreiber oder jedes KMU in der Produktion wäre es sinnvoll, eine eigene IEC-62443-Zertifizierung anzustreben. Aber: Mit Partnern zusammenzuarbeiten, die zertifiziert sind, bringt viele Vorteile mit sich.

Vorteile für Betreiber
TRIOVEGA erlangte die Zertifizierung nach IEC 62443-4-1 im Zuge der Entwicklung der OT-Sicherheitslösung edge.SHIELDOR. Diese wird wie eine Käseglocke über Produktionsanlagen gestülpt und bindet sie sicher in das bestehende Unternehmensnetzwerk ein.

Durch die nach IEC 62443‑4‑1 zertifizierten Entwicklungsprozesse fließen Sicherheitsprinzipien wie Security by Design und DevSecOps‑Methoden systematisch in die Entwicklung ein. Die strukturierte Umsetzung sowie die dokumentierten Nachweise der Anforderungen erleichtern es Betreibern, eigene Sicherheitsanforderungen aus Normen wie IEC 62443‑3 und regulatorischen Vorgaben wie NIS‑2 nachzuvollziehen und auf dieser Basis ihre Compliance‑Ziele effizienter zu erreichen.

Vorteile für Produkthersteller
Durch TRIOVEGA Custom Software Solutions unterstützten wir Kunden verschiedener Branchen ihre Softwareprodukte oder Softwaremodule z.B. konform zur IEC 62443-4 zu entwickeln. Wir legen Dokumentation wie Threat Modelling, Defense in Depth Design, Testberichte und Vulnerability-Reports als selbstverständlichen Teil der Software-Entwicklung an oder unterstützen bei deren Erstellung. Diese können die Vorbereitung auf Audits deutlich beschleunigen und unterstützen bei der Erfüllung regulatorischer Vorgaben wie dem CRA.

Maschinenhersteller profitieren von unserem Fachwissen zur OT-Security. Nachhaltig sichere Maschinen zu entwickeln und diese im Betrieb vor neuen Angriffsvektoren sicher zu machen, ist Teil unserer Mission.

Fazit: Mit strategischen Partnerschaften Sicherheits- und Compliance-ziele erreichen

Der Einsatz eines zertifizierten Partners wie TRIOVEGA trägt wesentlich zu einer nachhaltig hohen Cyber-Security bei. Neben der schnelleren Erreichung normativer Anforderungen und regulatorischen Vorgaben profitieren alle Beteiligten von gelebten Best Practices und somit von höherer und verlässlicherer Cybersicherheit.

Gerade im Spannungsfeld wachsender regulatorischer Anforderungen durch NIS-2 und CRA wird deutlich: Unternehmen sollten nicht erst auf konkrete Prüfpflichten warten, sondern frühzeitig in strukturierte Sicherheitsprozesse investieren. Die IEC 62443 bietet hierfür einen etablierten Rahmen. Mit erfahrenen, zertifizierten Partnern lässt sich dieser deutlich effizienter und praxisnäher umsetzen.

Für Betreiber wie Hersteller gilt daher gleichermaßen: Wer heute auf standardisierte Sicherheitsprozesse, dokumentierte Entwicklung und belastbare Nachweise setzt, schafft nicht nur die Grundlage für Compliance, sondern stärkt auch langfristig die eigene Resilienz und Wettbewerbsfähigkeit.

Dabei ist das Thema nicht neu. In unseren ersten beiden NIS-2-Artikeln haben wir ausführlich beschrieben, wer betroffen ist und welche konkreten Maßnahmen gefordert werden. Nun ist der Moment für ein NIS-2-Update: Wo steht Deutschland? Welche Fristen sind abgelaufen und was müssen Unternehmen jetzt konkret tun?

Die gute Nachricht: Wer jetzt handelt, kann das Ruder noch herumreißen. Mehr noch: Wer NIS-2-Anforderungen strukturiert angeht, kann daraus einen echten Wettbewerbsvorteil formen. Dieser Artikel zeigt, wie das geht.

Der Stand nach dem 6. März: Ernüchternd, aber nicht hoffnungslos
Das Bild ist deutlich: Nur ein kleiner Teil (die oben genannten 38%) der rund 29.000 betroffenen deutschen Unternehmen hat sich fristgerecht registriert. Dabei war die Erstregistrierung beim BSI vergleichsweise unkompliziert. Dennoch blieb die große Mehrheit untätig. Das lässt erahnen, in welchem Rückstand viele Unternehmen hinsichtlich der eigentlichen inhaltlichen NIS-2-Anforderungen stehen.

Das BSI als zuständige Aufsichtsbehörde hat weitreichende Befugnisse erhalten: Es darf Nachweise anfordern, Audits einleiten und bei nachgewiesenen Verstößen hohe Bußgelder verhängen (siehe NIS2UmsuCG, §65).

• Besonders wichtige Einrichtungen (große Unternehmen in kritischen Sektoren
  bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
• Wichtige Einrichtungen (mittelgroße Unternehmen in relevanten Sektoren):
  bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes, wiederum der jeweils höhere Betrag.
• Auch wichtig zu wissen: Das NIS2UmsuCG sieht nun eine persönliche Haftung der Geschäftsführung vor.

Dies verdeutlicht: Die Regulierung ist ernst gemeint und die zuständigen Behörden wurden befähigt, durchzugreifen. Unternehmen, die jetzt strukturiert vorgehen, verschaffen sich einen Vorsprung gegenüber dem breiten Feld der Wartenden.

Abwarten ist ab sofort keine Strategie mehr
Mit dem Ablauf der Registrierungsfrist am 6. März ist eine wichtige Schwelle überschritten: Es gibt keine Übergangsfristen mehr, keine impliziten Schonfenster. Das NIS2UmsuCG ist geltendes Recht, und wer die Anforderungen nicht erfüllt, ist im Verstoß, auch ohne, dass das BSI bisher aktiv eingeschritten ist.

Besonders relevant: Schon die ausgebliebene Registrierung stellt einen solchen Verstoß dar. Das bedeutet nicht zwangsläufig, dass morgen ein Bußgeldbescheid im Briefkasten liegt. Es bedeutet aber, dass Rechtsrisiken real sind und mit jeder weiteren Verzögerung wachsen. Zudem wird NIS-2-Konformität zunehmend in Ausschreibungen und Lieferkettenbewertungen abgefragt; Kunden und Partner setzen das voraus. Die entscheidende Frage lautet daher nicht mehr: Müssen wir das wirklich tun? Sondern: Wo fangen wir an und wie setzen wir es richtig um?

Was jetzt konkret zu tun ist, mit Beispielen aus der Praxis
Kurzer Reality-Check: Muss mein Unternehmen handeln?
Wenn Sie heute nicht mit Sicherheit sagen können, welche OT-Systeme in Ihrem Netzwerk online erreichbar sind – oder wer in Ihrem Unternehmen als Erstes benachrichtigt werden müsste, sollte ein Cyberangriff Ihre Produktionssysteme treffen – dann gehören Sie zu den Unternehmen, die jetzt handeln müssen. Die vier folgenden Handlungsfelder geben Ihnen einen ersten, konkreten Anhaltspunkt.

1. Incident Management

• Zuständig: IT-Leiter oder CISO
• NIS-2 verpflichtet betroffene Unternehmen, bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden eine erste Meldung beim BSI abzugeben. Dafür braucht es einen klaren, dokumentierten Incident-Response-Prozess, der schriftlich festlegt, welche Schritte im Ernstfall zu durchlaufen sind.
  • Wer ist intern der erste Ansprechpartner?
  • Wer entscheidet, ob ein Vorfall meldepflichtig ist?
  • Welche Informationen müssen an das BSI übermittelt werden, und in welchem Format?
• Wichtig für Fertigungsunternehmen: OT-Vorfälle, etwa der Ausfall einer Steuerungseinheit durch einen Angriff, folgen anderen Eskalationspfaden als IT-Vorfälle. Beide müssen im Prozess abgebildet sein, noch bevor der Ernstfall eintritt.

2. Technische Mindestanforderungen

• Zuständig: OT-/Anlagenverantwortliche und IT-Sicherheit gemeinsam
• Netzwerksegmentierung, Multi-Faktor-Authentifizierung für privilegierte Zugänge und geregeltes Patch-Management sind Pflicht. Der Haken im OT-Umfeld: Viele Legacy-Protokolle wie Modbus oder OPC DA können nicht aktualisiert werden, und Patches lassen sich nicht ohne Produktionsstopp einspielen.
• Flächendeckendes Monitoring und eine gute Trennung zwischen OT- und IT-Netzwerken sind hier umso wichtiger. edge.SHIELDOR wurde für genau diesen Anwendungsfall entwickelt: OT-Netzwerke sicherer machen, ohne in laufende Produktionsprozesse einzugreifen.

3. Lieferkettensicherheit

• Zuständig: Einkauf gemeinsam mit IT-Sicherheit
• NIS-2 verpflichtet Unternehmen ausdrücklich, auch ihre Lieferkette sicherheitstechnisch im Blick zu behalten. In der Praxis bedeutet das: Lieferanten und externe Dienstleister nach Kritikalität klassifizieren.
  • Wer hat Fernzugriff auf Ihre Produktionsanlagen?
  • Wer teilt Netzwerksegmente mit Ihren Systemen?
• Für diese Partner empfiehlt sich ein strukturiertes Supplier-Assessment, z.B. ein Fragebogen zur IT/OT Sicherheitslage, der als Grundlage für Vertragsklauseln oder Rahmenvereinbarungen dienen kann.

4. Schulungen und Sensibilisierung

• Zuständig: HR und IT-Sicherheit
• Technische Maßnahmen greifen nur, wenn die Menschen dahinter mitziehen. NIS-2 fordert Nachweise, dass Mitarbeitende für Cyberrisiken sensibilisiert werden. OT-Operatoren und Maschinenbedienende haben dabei andere Bedrohungsprofile als Büromitarbeiter; Schulungen sollten das widerspiegeln. 
• Einmalige Jahresschulungen genügen dabei kaum. Wirksam sind rollenspezifische Trainings mit praxisnahen Szenarien sowie regelmäßige Updates bei neu identifizierten Bedrohungslagen.

Was Sie jetzt tun können

• Registrierung beim BSI nachholen: Falls noch nicht geschehen, ist das der dringlichste erste Schritt. Das BSI-Portal ist zugänglich, die Registrierung selbst erfordert relativ wenig Aufwand.
• Gap-Analyse durchführen: Prüfen Sie systematisch, welche NIS-2-Anforderungen bereits erfüllt sind und wo Lücken bestehen. Eine strukturierte Selbstauskunft oder ein externes Audit schafft Klarheit und Prioritäten.
• Incident-Response-Prozess dokumentieren und testen: Legen Sie schriftlich fest, wer bei einem Sicherheitsvorfall was tut. Benennen Sie konkrete Ansprechpartner, intern und für die BSI-Meldung, und testen Sie den Ablauf in einer Übung.
• Lieferanten-Assessment einleiten: Beginnen Sie mit den kritischsten Partnern: Wer hat Zugriff auf Ihre Produktionssysteme? Erstellen Sie eine Übersicht und prüfen Sie Verträge auf Sicherheitsanforderungen.

Vom Compliance-Risiko zum Wettbewerbsvorteil
Unternehmen, die NIS-2 jetzt ernstnehmen, tun mehr als nur Bußgelder zu vermeiden. Sie bauen etwas auf, das in der industriellen Lieferkette zunehmend nachgefragt wird: nachweisbare Cybersicherheit. In regulierten Branchen wie der Automobilindustrie, dem Maschinenbau und der Lebensmittelproduktion fragen Einkaufsabteilungen aktiv nach der Sicherheitslage ihrer Lieferanten. Wer heute in Incident Management, Netzwerksegmentierung und Lieferkettenbewertung investiert, positioniert sich als zuverlässiger, zukunftsfähiger Partner, ein konkreter Marktvorteil.

TRIOVEGA ist nach IEC 62443 zertifiziert und begleitet gemeinsam mit seinen Partnern Fertigungsunternehmen von der Gap-Analyse über die technische Umsetzung bis zur dauerhaften Betriebsunterstützung. Nutzen Sie die Chance, die strukturiertes Handeln jetzt bietet.

Jetzt handeln, strukturiert und chancenorientiert
NIS-2 ist keine Einmalaufgabe, sondern eine dauerhafte Anforderung an die Sicherheitsreife von Organisationen. Der 6. März 2026 war ein Datum, das viele verpasst haben, es markiert aber auch den Startpunkt für eine strukturierte Aufholjagd. Wer mit einer belastbaren Bestandsaufnahme, klaren Prozessen und gezielten technischen Maßnahmen beginnt, kann die Compliance-Lücke schließen und dabei die eigene Wettbewerbsfähigkeit stärken.

Mehr Hintergrund zu NIS-2 finden Sie in unseren früheren Artikeln: NIS-2-Richtlinie wird Gesetz und NIS-2: Welche Maßnahmen die Industrie jetzt umsetzen muss. Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht, vereinbaren Sie gerne einen unverbindlichen Beratungstermin mit unserem Team.

In diesem komplexen Industrie 4.0-Umfeld herrschen höchste Ansprüche an Datenkonnektivität, Effizienz und Sicherheit. Für medi stand früh fest: Ohne eine sichere, performante Brücke zwischen IT- und OT-Systemen wäre der langfristige Weiterbetrieb zentraler Produktionsanlagen nicht mehr möglich, bei gleichzeitig steigenden Anforderungen an Cybersecurity, Compliance und Verfügbarkeit.

Wie kann medi diese in die Jahre gekommene Hard- und Software gegen immer ausgefeiltere Cyberangriffe absichern? Der edge.SHIELDOR von TRIOVEGA gibt die Antwort: Wie eine digitale Käseglocke isoliert die OT-Sicherheitslösung die Altmaschinen gezielt vom restlichen Netzwerk, und ermöglicht gleichzeitig kontrollierte, sichere Kommunikationspfade zwischen OT und IT.

Ausgangslage: Modernste Medizinprodukte, alte und bewährte Produktionstechnik

Binnen 24 Stunden wird aus den Maßdaten von den Sanitätshäusern ein fertiger Kompressionsstrumpf: gestrickt, kontrolliert, verpackt und versendet. medi hat damit einen extrem agilen Produktionsprozess etabliert, der von permanenter Datenverfügbarkeit, geringer Latenz und zuverlässiger IT/OT-Kommunikation abhängt. Jede Verzögerung im Datenfluss könnte zu Lieferproblemen führen, jedes Abweichen vom Strickmuster zu einem unbrauchbaren Produkt. Maschinen melden sich automatisiert und holen sich den nächsten Auftrag, sobald ein Strickvorgang abgeschlossen ist.

Ein Maschinenpark dieser Größe und Komplexität ist nicht mal eben austauschbar: Die Geräte sind langlebig und Neuinvestitionen werden auf Jahrzehnte geplant, damit die Anlagen wirtschaftlich rentabel laufen. Die Maschinenbauer bieten nach Auslieferung selten Softwareupdates an, selbst Ersatzteile müssen oft aus alten Lagerbeständen beschafft oder aus stillgelegten Maschinen ausgebaut werden. So prallt die schnelllebige Welt der Informationstechnologie auf die Beständigkeit der operativen Technologie:

"Wir haben Maschinen, die heute genauso arbeiten wie vor 5, 10 oder 20 Jahren – und das mit entsprechend alten Protokollen wie SMBv1. Diese Altlasten sind aus IT-Security-Sicht ein massives Problem." so Michael Herde, IT Security Architect bei medi.

Die SMBv1-Thematik war für medi der Initialzünder: VMware kündigte für die auf dem Shopfloor eingesetzten virtuellen Server das Ende der Unterstützung für Windows Betriebssysteme, die das veraltete, unsichere Server-Protokoll verwendeten, an. Wenn dafür keine Lösung gefunden würde, ließe sich die Produktion langfristig nicht mehr digital anbinden.

Zusätzlichen Druck erzeugte im August 2022 ein Cyberangriff, bei dem Hacker den Hersteller kurzzeitig lahmlegten. Für Michael Herde nichts, das man verstecken müsste, sondern ein Beweis für die reale Bedrohungslage, der sich jedes Unternehmen stellen muss: “Wer denkt, ‘das wird uns nicht passieren’, unterliegt einem Trugschluss. Entweder es ist bereits passiert und sie haben es noch nicht bemerkt, oder es wird noch passieren.”

Der Weg zu TRIOVEGA: Ein Messekontakt wird zum Game Changer

Ausgestattet mit hohem Bewusstsein für die Cyberrisiken im firmeneigenen IT/OT-Netzwerk machte sich Michael Herde mit Kollegen auf die Suche nach einer umfassenden Lösung. "Die Maschinenhersteller liefern auch heute noch neue Systeme mit Windows CE und Kommunika-tionprotokollen wie SMBv1 aus. Das war für uns langfristig keine tragfähige Lösung."

Auf einer Fachkonferenz zum Thema IT/OT-Security entstand der erste Kontakt zwischen medi und TRIOVEGA. In einem ausführlichen Gespräch auf Augenhöhe wurde schnell klar: Der edge.SHIELDOR könnte genau die Anforderungen von medi adressieren. Insbesondere die Kombination aus sicherer Protokollumwandlung von SMBv1 zu SMBv3, geringer Latenz und wartungsarmer Administration erschien vielversprechend. Geplant wurde ein Proof of Concept (PoC) an einer Flachstrickmaschine mit MS-DOS-Betriebssystem.

Zielsetzung: Sicherheit und Konnektivität – ohne Abstriche

In einem zweitägigen Vor-Ort-Termin wurde der PoC realisiert. Dabei wurde deutlich: Die Anbindung war kom-plizierter als gedacht. Die bei medi eingesetzten Maschinen arbeiteten mit einem eigenen SMB-Dialekt, den der edge.SHIELDOR nicht korrekt interpretieren konnte.

Den Entwicklern von TRIOVEGA wurde ermöglicht, eine Testmaschine mit ins Büro nach Lübeck zu nehmen. Dort analysierten sie den Datenverkehr bis in die Ebene einzelner Netzwerkpakete und konnten die Funktionalität des edge.SHIELDOR so erweitern, dass sie auch mit diesem Sonderfall umgehen konnte und somit einen MS-DOS Kompatibilitätsmodus erhält. Michael Herde erinnert sich gern an diese Phase: "Wie tief sich die Kollegen von TRIOVEGA da reingegraben haben, um die Diskrepanzen in der Kommunikation zu analysieren, das war wirklich beeindruckend. Hut ab vor diesem Engagement!" Michael Herde, IT Security Architect bei medi.

Dies verdeutlichte früh den Ansatz von TRIOVEGA: Standardisiertes Produkt wo möglich – tiefes Engineering dort, wo es die OT-Realität erfordert. Aber auch aus Sicht von TRIOVEGA wurde die produktive Zusammenarbeit durch die hohe Einsatzbereitschaft und den vertrauensvollen Umgang seitens medi überhaupt erst möglich: "Das war kein klassisches Top-Down-Projekt à la: Hier ist unsere Anforderung, setzt das mal um. Sondern wirklich ein gemeinsames technisches Erarbeiten und Umsetzen der Lösung." Martin Lagemann, Softwareingenieur bei TRIOVEGA.

Nach mehreren Vor-Ort-Terminen und intensiver Zusam-menarbeit mit den IT-Teams von medi, bei der auch die letzten Hürden genommen werden konnten, beispielsweise ein fast vergessener, vom Maschinenhersteller eigens für medi programmierter Spezialmodus, läuft die Anlagenkommunikation über den edge.SHIELDOR fehlerfrei, performant und stabil.

Ergebnis: Legacy-Kommunikation ohne Legacy-Risiken

Die Einführung des edge.SHIELDOR konnte vor der kritischen Support-Deadline von VMware abgeschlossen werden. Für medi bedeutet das: Produktionssicherheit, ohne teure Retrofits oder Ersatzmaschinen. "Unsere Maschinen laufen nun auf absehbare Zeit weiterhin zuverlässig. Ohne den edge.SHIELDOR hätten wir viele davon abschalten müssen." Michael Herde, IT Security Architect bei medi.

Damit wurde ein klassisches Dilemma vieler Industrieunternehmen sichtbar: Kritische Produktionsprozesse hängen an Legacy-Technologien, deren Weiterbetrieb aus IT-Security-Sicht eigentlich nicht mehr vertretbar ist. Der edge.SHIELDOR löst dieses Dilemma, und das, ohne Eingriffe in bestehende Prozesse zu erfordern: „Ich höre nichts von den Produktionsverantwortlichen; das heißt, es läuft. Besser kann ein Feedback nicht sein”, drückt es Linus Anders aus, IT Business Analyst bei medi.

Das System verschwindet im Produktionsalltag, für Mitarbeitende an den Maschinen bleiben die Abläufe gleich. Die Bedienoberfläche des edge.SHIELDOR ermöglicht den IT-Verantwortlichen vor Ort, neue Instanzen selbst anzulegen und Maschinen bei Bedarf umzukonfigurieren. Software-Aktualisierungen werden von TRIOVEGA regelmäßig bereitgestellt, so bleibt die Integration zukunftssicher.

Ausblick: Erweiterbar, nachhaltig, verlässlich

Strickmaschinen produzieren, sondern stärkt durch die sichere Einbindung der Altmaschinen seine Cyberresilienz im gesamten Netzwerk. So ist das Unternehmen auch auf steigende regulatorische Anforderungen, etwa durch NIS-2, bestens vorbereitet. Nach erfolgreichem Rollout auf den MS-DOS-Maschinen im Werk wurde die OT-Sicherheitslösung auch auf neueren Maschinen mit Windows 95 und Windows XP eingerichtet: medi treibt die Homogenisierung der Datenschnittstellen auf dem Shopfloor voran und rüstet sich für die kommenden Jahrzehnte in der Industrie 4.0.

Und auch für TRIOVEGA diente das Projekt als Katalysator für interne Weiterentwicklungen: Die erweiterten SMB-Funktionalitäten fließen nun in den Standardumfang von edge.SHIELDOR ein und können auch anderen Industriepartnern mit ähnlichen Herausforderungen zur Verfügung gestellt werden. "Wir haben nicht nur eine Lösung entwickelt, sondern gemeinsam eine produktionsnahe Sicherheitsarchitektur geschaffen. Das ist für mich echte Partnerschaft." Clark Gaebel, Service Delivery Manager bei TRIOVEGA.

Der CRA gilt für alle verkauften Produkte mit digitalen Komponenten, die an ein Netzwerk angeschlossen oder mit anderen Geräten verbunden werden können.

Darunter fallen:

• Hardware wie Laptops, Smartphones, IoT-Geräte, Mikroprozessoren usw.
• Softwareprodukte wie mobile Apps, Buchhaltungssoftware, Computerspiele
• Software-as-a-Service (SaaS) Anwendungen, die direkt mit einem Endgerät verbunden sind (z.B. Fitness-Software)

Unabhängig von ihrem Preis sind sowohl Produkte für den Endverbraucher als auch B2B-Lösungen betroffen. Damit hat der CRA weitreichende Konsequenzen für produzierende Unternehmen weltweit, die auf dem EU-Markt verkaufen wollen.

Bei Verstößen drohen:

• Empfindliche Strafen mit Bußgeldern bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes.
• Produkte, deren Sicherheitsmängel nicht behoben werden können, müssen zurückgerufen und vom Markt genommen werden.
• Verletzt die Geschäftsführung ihre Sorgfaltspflichten, kann sie auch persönlich haftbar gemacht werden.

Doch in den neuen Anforderungen stecken auch Chancen für Hersteller, die von Anfang an das adäquate Niveau an Sicherheit in die Produktentwicklung integrieren und sich so auf dem neu regulierten Markt von der Konkurrenz abheben können. Lernen Sie im Folgenden die wichtigsten Vorgaben des Cyber Resilience Acts kennen, bevor wir aufzeigen, wie Sie die größten Herausforderungen für Ihr Unternehmen mit individuell für Ihre Produkte entwickelter Software meistern können.

Welche Anforderungen stellt der Cyber Resilience Act an die Produktsicherheit?

Der CRA hat zum Ziel, die Cyberresilienz im gesamten Produktlebenszyklus zu stärken. Dementsprechend vielfältig sind die Vorgaben, die sich nicht nur auf das fertige Produkt auswirken, sondern auch die Entwicklung, Konfiguration und den Support nach Verkauf mitbeachten. Im Zusammenspiel mit NIS-2 und weiteren Regulierungen sind in den EU-Vorschriften jetzt alle Aspekte der Informationssicherheit abgedeckt. Mit Cybersicherheit muss sich zukünftig also jedes Unternehmen auseinandersetzen.

Sehen wir uns die wichtigsten Inhalte des CRA genauer an:

1. Secure by Design

Das Secure by Design-Prinzip kommt aus der Softwareentwicklung und bedeutet, dass bereits ab der Konzeptionsphase eines neuen Produktes Aspekte der Cybersicherheit den Entwicklungsprozess anleiten. Nach gängigen Best Practices werden angemessene Sicherheitsverfahren ausgewählt und während der Entwicklung und Produktion angewandt. Dabei empfiehlt es sich für Industrieunternehmen, auf international anerkannten Standards aufzubauen, die Orientierung in verschiedenen Bereichen bieten, darunter:

• Die EN 18031 Norm, die sich mit der Cybersicherheit von Funkanlagen beschäftigt und im Rahmen der RED (Radio Equipment Directive) entwickelt wurde
• Die EN 50742 für den Schutz von Maschinen vor Korrumpierung (befindet sich aktuell in Planung)
• Die Common Criteria der ISO/IEC 15408 zur Evaluierung und Zertifizierung der Sicherheit von IT-Produkten

Im Rahmen der verpflichtenden CE-Kennzeichnung für alle Produkte, die unter den CRA fallen, gilt es, die relevanten Industrienormen zu erfüllen. So können Unternehmen nachweisen, dass die geforderten Maßnahmen des Cyber Resilience Act angemessen implementiert sind. Diese müssen vollständig dokumentiert und zur Zulassung des Produktes eingereicht werden.

2. Schwachstellenmanagement und Sicherheitsupdates

Zum Marktstart dürfen nach den Bedingungen des CRA keine bekannten Schwachstellen im Produkt vorliegen. Außerdem müssen Prozesse zur kontinuierlichen Identifizierung und Behebung entdeckter Schwachstellen nachgewiesen werden.

Wird eine neue Sicherheitslücke ausgemacht, ist das Unternehmen in der Pflicht, kostenlos Sicherheitsupdates nachzuliefern und diese auch automatisch auf den Geräten oder in der Software auszurollen. Diese automatischen Updates sind in der Grundeinstellung aktiviert. Nutzer sollen jedoch die Möglichkeit haben, Updates ablehnen oder verschieben zu können.

3. Sichere Konfiguration und Zugriffskontrolle

Die Produzenten werden dazu aufgefordert, sichere Werkseinstellungen anzulegen und immer eine Möglichkeit zum Zurücksetzen anzubieten. Standardpasswörter wie “admin” oder “0000” dürfen im Auslieferungszustand nicht verwendet werden, oder sie müssen während der ersten Inbetriebnahme verpflichtend vom Nutzer geändert werden.

Außerdem muss der Zugriff auf sensible Daten ausreichend geschützt werden: Geeignete Maßnahmen gegen Brute-Force-Attacken wie Rate Limiting und Mindestlängen bei Passwörtern sind genauso zu implementieren wie verschlüsselte Authentifizierungsmethoden.

4. Monitoring und Incident Response

Auch nach Rollout oder Verkauf des Produktes werden Hersteller zu einigen Maßnahmen verpflichtet. Dazu gehört ein kontinuierliches Monitoring aller sicherheitsrelevanten Aktivitäten, beispielsweise der Nutzer-Authentifizierungen oder des Netzwerkverkehrs, um Anomalien aufzuspüren.

Um das deutlich zu machen: Die Verantwortung für die Durchführung des Monitorings liegt direkt beim Hersteller. Es reicht nicht, nur dem Käufer oder Nutzer die Möglichkeit dazu einzuräumen. Jedoch muss den Nutzern Zugriff auf die geloggten Daten gewährt werden und das Monitoring deaktiviert werden können.

Schwerwiegende Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) gemeldet werden – auch an Wochenenden und Feiertagen. Während der Vorfall behandelt wird, muss zudem sichergestellt sein, dass die Kernfunktionen des Produkts weiter funktionieren.

5. Lebenszyklusmanagement

Wie bereits aus den erläuterten Anforderungen herauszulesen ist, verantworten die Produzenten in Zukunft den gesamten Lebenszyklus ihrer digitalen Produkte in der EU. Dafür muss auch ein angemessener Zeitrahmen für den technischen Support definiert werden.

Erreicht das Produkt seinen End of Life (EOL)-Status, müssen Mechanismen vorliegen, die es den Nutzern erlauben, sämtliche Daten zu löschen oder gegebenenfalls in eigene Systeme zu transferieren.

Herausforderungen für die Industrie

Produzierenden Unternehmen wird mit den neuen Cybersicherheits-Richtlinien der EU viel abverlangt. Immer mehr Geräte und Produkte müssen digitale Komponenten enthalten, um auf dynamischen Märkten bestehen zu können. Diese Entwicklung erfordert ohnehin den langwierigen Aufbau von Kompetenzen, die in herkömmlichen Industrien lange eine untergeordnete Rolle gespielt haben. Fachkräfte müssen gefunden und geschult werden, Produktionslinien nachgerüstet und Organisationsstrukturen angepasst werden. Strenge und detaillierte Vorgaben bezüglich der Cybersicherheit erhöhen den Druck jetzt zusätzlich.

Doch in den veränderten Marktbedingungen liegen auch Chancen für Industrieunternehmen, die den Wandel mitgehen und die richtigen Investitionen tätigen. Eine stärkere Cyberresilienz sichert nicht nur Ihren langfristigen Geschäftserfolg ab – wenn Sie Ihre Produkte früher als die Konkurrenz den neuen Anforderungen anpassen und an den Kunden bringen können, erobern Sie zusätzliche Marktanteile.

Chancen des CRA ergreifen – mit individuellen Lösungen

Für den Übergang in eine digitale Zukunft stehen Softwarepartner wie TRIOVEGA bereit, die sich mit den spezifischen Bedürfnissen der Industrie auskennen. Mit Custom Software Solutions entwickeln wir genau die Softwarelösungen, die Sie in Ihren Produkten benötigen. Kaufen Sie sich ganze Projekte oder Teilkomponenten ohne Vendor Lock-In ein oder verstärken Sie Ihre Teams zielgerichtet durch zusätzliche Fachkräfte und unsere Erfahrung.

In einem ersten Schritt analysieren unsere Requirement Engineers gemeinsam mit Ihnen die Ausgangslage für Ihre Softwareanwendung. Dabei werden die Sicherheitsanforderungen von Anfang an mitgedacht und in die Projektplanung integriert – Secure by Design, wie es der Cyber Resilience Act erfordert. 

Die meisten Sicherheitsmaßnahmen, die im CRA dargelegt werden, setzen eine Selbsteinschätzung des produzierenden Unternehmens voraus. Wenn die innerbetriebliche Vorerfahrung mit digitalen Produkten begrenzt ist, kann das zur Herausforderung werden. Partner mit Expertise in der Cybersicherheit für industrielle Umgebungen können Ihnen dabei helfen, das passende Sicherheitsniveau auszuwählen, um kosteneffizient und präzise alle regulatorischen Anforderungen zu erfüllen.

Mit zielgerichteten Investitionen können Sie die Chancen nutzen, die sichere individuelle Softwareentwicklung bei der Umsetzung des CRA bietet.

NIS-2-Richtlinie: Die Anforderungen im Überblick

Die NIS-2-Direktive gibt ein Rahmenwerk vor, das im nationalen Kontext in konkrete Anforderungen an die Informations- und Cybersicherheit in betroffenen Unternehmen übersetzt wird. Dabei wird ein All-Gefahren-Ansatz (All-Hazards Approach) verfolgt; es soll also ein möglichst breites Spektrum an Risiken abgedeckt werden, das sich nicht nur auf die IT oder Cyberangriffe beschränkt.

Die Kerninhalte des EU-Rahmenwerks und verwandte Regulierungen (bspw. für kritische Infrastrukturen, KRITIS) geben bereits einen guten Eindruck, welche Maßnahmen betroffene Firmen umsetzen müssen. Im Folgenden setzen wir uns mit den wichtigsten Punkten der Richtlinie auseinander, ohne dass es sich dabei um eine vollständige Auflistung handelt.

1. Risikomanagement

Jedes Unternehmen ist einer Vielzahl von Risiken ausgesetzt, die über den Cyber-Bereich hinaus alle Assets, Personen und Geschäftsniederlassungen bis hin zu immateriellen Werten wie dem geistigen Eigentum und Reputation betreffen können. Diese Risiken unter Berücksichtigung individueller Faktoren zu identifizieren, nach Bedrohungspotenzial einzuschätzen und schließlich einzudämmen, ist Aufgabe des Risikomanagements.

Als Standard hierfür hat sich das Anlegen eines Informationssicherheits-Managementsystems (ISMS) etabliert, welches alle Schritte der Risikoverwaltung und -mitigierung umfasst. Organisationen, die wie TRIOVEGA eine Zertifizierung nach der internationalen ISO 27001-Norm durchlaufen haben, sind mit ihrem ISMS auch gut auf die NIS-2-Richtlinie vorbereitet. Die meisten Anforderungen an den Umgang mit Risiken sind in den beiden Frameworks ähnlich ausgelegt.

Nicht zu unterschätzen ist der kontinuierliche Aufwand, den die Aktualisierung des ISMS aufgrund veränderter Bedrohungslagen und Anpassungen nach Sicherheitsvorfällen bedeuten wird. Unvermeidliche Restrisiken müssen zudem in Absprache mit der Geschäftsleitung überprüft und akzeptiert werden.

Darüber hinaus kommt den OT-Umgebungen in der Industrie beim Risikomanagement besondere Bedeutung zu. Viele Risiken, denen Produktionslinien ausgesetzt sind, wurden noch nie systematisch erfasst und sind daher unbekannt. Gerade die lange Laufzeit der Anlagen, die oftmals softwareseitig nicht aktualisiert werden können, macht die OT aber besonders anfällig für Cyberangriffe. Betroffene Industrieunternehmen sollten deswegen sorgfältig alle Assets und Risiken im Produktionsbereich identifizieren und spezielle Mitigierungsmaßnahmen anstoßen, um bestmöglich auf NIS-2 vorbereitet zu sein.

2. Umgang mit Vorfällen

Sollte es trotz sorgfältiger Mitigierung der Risiken zu Sicherheitsvorfällen kommen, müssen diese zügig erkannt, behoben und schließlich gemeldet werden. Besonderes Augenmerk sollte der industrielle Sektor dabei auf die Erkennung von Cyberangriffen legen: 199 Tage dauerte laut dem IBM Data Breach Report 2024 die Identifizierung eines Angreifers in den Systemen der Industrieunternehmen, deutlich länger als in anderen Sektoren.

Zudem setzt die NIS-2 bei der Meldung an Behörden strenge Fristen. Schwere Vorfälle müssen nach Bekanntwerden innerhalb von 24 Stunden an die zuständige Stelle übermittelt werden. Dafür müssen geeignete Prozesse nachgewiesen und Personal entsprechend geschult werden.

Der edge.SHIELDOR, TRIOVEGAs Softwarelösung für die OT-Sicherheit, minimiert dabei den Schaden, den ein Cybervorfall anrichten kann. Ähnlich des Air Gap-Prinzips wird das Anlagen-Netzwerk vollständig von der übergeordneten Unternehmens-IT getrennt und die einzelnen Dienste segmentiert, Malware kann sich nicht ausbreiten. Unerwünschte Kommunikationsversuche werden identifiziert und blockiert. Über die Protokollierung des Netzwerkverkehrs können außerdem Informationen über Angreifer gesammelt und in zentralen Logging-Systemen ausgewertet werden.

3. Business Continuity und Wiederherstellungspläne

Für die Industrie ist die kontinuierliche Aufrechterhaltung des Produktionsbetriebs von zentraler Bedeutung und spielt daher auch in der NIS-2 eine große Rolle. Für den Ernstfall müssen Wiederherstellungspläne vorliegen und regelmäßige Backups aller relevanten Daten durchgeführt werden. In den Produktionslinien ist auf ein sinnvolles Maß an Redundanz zu achten, um die Ausfallsicherheit zu erhöhen.

Je weiter der Grad an Automatisierung in der Fertigung vorangeschritten ist, desto schneller kann die Wiederaufnahme des Betriebs nach einem Vorfall gelingen. TRIOVEGA automatisiert mit individuellen Lösungen für seine Kunden beispielsweise die Maschinenparametrisierung. So können Anlagen effektiv verwaltet und im Notfall zeitnah wieder hochgefahren werden, ohne dass Daten verloren gehen.

4. Lieferkettensicherheit

Die Lieferkette rückt in der NIS-2-Richtlinie in den Fokus: Das Thema wird insbesondere das produzierende Gewerbe eingehend beschäftigen.

Alle Zulieferer sowohl von Hardware- als auch Softwarekomponenten müssen vom Auftraggeber eingehend auf die Einhaltung der geforderten Sicherheitsstandards überprüft werden. Jedes Service Level Agreement (SLA) mit Geschäftspartnern muss Pflichten und Anforderungen in Bezug auf die Sicherheit festlegen, deren Einhaltung kontrolliert wird.

Dazu sind bei tiefergehenden Partnerschaften auch Audits des Zulieferers durchzuführen, um Schwachstellen vor Beginn der Zusammenarbeit aufzuspüren und zu beheben. Der Aufwand lässt sich minimieren, wenn potentielle Partner durch bestehende Zertifizierungen bereits ein hohes Sicherheitsniveau belegen können. Im Fall von TRIOVEGA ist dies zum Beispiel durch die Erfüllung der IEC 62443-Norm für industrielle Kommunikationsnetze sichergestellt.

5. Zugriffskontrollen und Rechtemanagement

Im Rahmen der Informationssicherheit wird der physische Zugang zu Büroräumen und Fabrikgebäuden in den meisten Betrieben bereits streng kontrolliert. Aber auch im digitalen Raum fordert die NIS-2 die Umsetzung eines lückenlosen Zugriffs- und Rechtemanagements, mit dem die Sicherheit der IT-Systeme und angeschlossener Netzwerke erhöht wird.

Mitarbeitenden sollten klar definierte Benutzerrollen zugewiesen werden, die den Zugriff über alle Systeme der Organisation hinweg regeln und dabei auf etablierte Best Practices zurückgreifen, wie dem Principle of least privilege; also der Vergabe der jeweils minimalen Rechte, die zur Ausübung einer Aufgabe notwendig sind. Auf vielen Shopfloors werden diese Rechte aus Gewohnheit etwas großzügiger vergeben, weswegen diese Vorgehensweise einige Veränderungen im Arbeitsalltag des Produktionspersonals mit sich bringen wird.

Welche Strafen drohen bei mangelhafter Umsetzung?

Die alte NIS-Richtlinie machte auf EU-Ebene keine detaillierten Vorgaben zu möglichen Sanktionen, die betroffenen Unternehmen drohten, und überließ die Ausgestaltung gänzlich den Mitgliedstaaten. Dies führte besonders für international agierende Organisationen zu einem unübersichtlichen Flickenteppich aus unterschiedlichen Regelungen, weshalb die NIS-2-Direktive hier einen klareren Rahmen vorgibt.

Allgemein werden die Möglichkeiten für rechtliche Konsequenzen deutlich erweitert:

• Die Geschäftsleitung muss die getroffenen Maßnahmen absegnen und die Einhaltung überprüfen. Kommt sie dieser Pflicht nicht nach, können die Verantwortlichen persönlich haftbar gemacht werden.
• Bußgelder werden deutlich erhöht und können nun bis zu 10 Mio. € oder 2% des weltweiten Umsatzes betragen.
• Wenn die Netzwerksicherheit beispielsweise durch übergreifende Malware gefährdet ist, können die Aufsichtsbehörden den Geschäftsbetrieb stilllegen, bis die Bedrohung eingedämmt ist.

Sichern Sie die Zukunft Ihres Unternehmens – handeln Sie jetzt

Gerade in Produktionsunternehmen ist es im Hinblick auf die NIS-2-Richtlinie wichtig, eine Sicherheitskultur zu etablieren. Aufwände zur Erhöhung der Informations- und Cybersicherheit sollten nicht als reine Ausgabenlast wahrgenommen werden, sondern als Investition in die Resilienz des Unternehmens, die den zukünftigen Geschäftserfolg absichert. Mit effektiven Sicherheitspraktiken können Sie sich gegenüber der langsameren Konkurrenz abheben und Alleinstellungsmerkmale erarbeiten.

TRIOVEGA bietet mit seinen maßgeschneiderten Produkten und Services für die Industrie ein ausgewogenes Verhältnis zwischen Sicherheit und Effizienzsteigerungen an. edge.SHIELDOR sichert Ihre Produktion gegen Cyberrisiken ab und macht den Weg frei für datengetriebene Prozessoptimierungen, wie sie unsere Experten von service.factoryINSIGHTS umsetzen. Darüber hinaus entwickeln unsere Teams von Custom Software Solutions sichere individuelle Softwarelösungen für jeden Bereich Ihres Value Streams bis zum Endprodukt. 

Gerade im produzierenden Gewerbe sind die Anforderungen immens. Hochkomplexe Produktionsanlagen mit vielen Komponenten laufen nach Jahrzehnten des Betriebs häufig auf veralteter Software, da von Herstellerseite keine Update-Pfade vorgesehen sind. Hacker wissen um diese Probleme und nehmen die Industrie besonders häufig in den Fokus ihrer Angriffe.

In diesem Umfeld ist nun rasches und entschiedenes Handeln gefragt. In unserer zweiteiligen Artikel-Serie geben wir Ihnen alle Informationen an die Hand, um Ihr Industrieunternehmen bestmöglich für die NIS-2-Richtlinie aufzustellen. Finden Sie heraus, ob Ihr Unternehmen von NIS-2 betroffen sein könnte und welche Fristen und Deadlines auf Sie zukommen. Außerdem zeigen wir erste Schritte auf, mit denen Sie in die Vorbereitung gehen können.

NIS-2-Richtlinie: Wann geht es los?

Ursprünglich hätte die EU-Richtlinie bereits bis zum 18. Oktober 2024 in nationale Gesetze der Mitgliedstaaten überführt werden müssen. Viele Länder sind damit jedoch zu spät dran, darunter auch Deutschland, Frankreich und Polen. Hierzulande ist das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) inzwischen verabschiedet und in Kraft. Der Bundestag hat das Gesetz am 13. November 2025 in zweiter und dritter Lesung beschlossen, der Bundesrat stimmte am 21. November 2025 zu. Nach der Verkündung im Bundesgesetzblatt am 5. Dezember 2025 trat das NIS2UmsuCG am 6. Dezember 2025 in Kraft. Damit gilt der neue Rechtsrahmen für Cybersicherheit unmittelbar; eine Übergangsfrist ist im Gesetz nicht vorgesehen, Unternehmen müssen die Anforderungen daher ohne zusätzliche Schonfrist umsetzen.

Das bedeutet, dass die Anpassungen in der Cybersicherheit bereits ab dem Tag des Inkrafttretens vollzogen sein müssen, ansonsten drohen empfindliche Strafen.

Eine gute Ausgangsbasis bildet das Aufstellen eines Informationssicherheits-Managementsystems (ISMS), wie es für die ISO 27001-Zertifizierung von zentraler Bedeutung ist. Abhängig vom Handlungsbedarf in Ihrem Unternehmen kann dieser Prozess von einigen Monaten bis zu über einem Jahr in Anspruch nehmen. Sollte es noch nicht geschehen sein, fangen Sie also schnellstmöglich an. 

Wer ist betroffen?

Im Vergleich zur alten NIS-Richtlinie sind wesentlich mehr Unternehmen von den neuen Anforderungen betroffen. Grundsätzlich wird zwischen zwei Gruppen von Einrichtungen unterschieden, den Essential Entities und Important Entities.

Unternehmen, die unter die Gruppe der essentiellen Einrichtungen fallen, unterliegen einer größeren staatlichen Aufsicht und härteren Sanktionsmöglichkeiten als wichtige Einrichtungen.

> Essential Entities

Den Essential Entities sind diejenigen Wirtschaftssektoren zugewiesen, die besonders wichtig für Infrastruktur, Gesundheit und staatliche Sicherheit in den EU-Mitgliedsländern sind. In Deutschland sind viele dieser Sektoren unter dem Begriff Kritische Infrastruktur (KRITIS) bekannt und bereits seit längerer Zeit reguliert. Es ist jedoch wichtig zu beachten, dass die NIS-2-Sektoren nicht deckungsgleich mit den KRITIS-Sektoren sind.

Bis auf wenige Sonderfälle im Bereich der öffentlichen Verwaltung und digitalen Infrastruktur, die unabhängig ihrer Größe den Essential Entities zugewiesen werden, muss ein Unternehmen mindestens 250 Mitarbeiter beschäftigen oder über 50 Mio. € Jahresumsatz erwirtschaften, um der essentiellen Gruppe zugerechnet zu werden.

> Important Entities

Während die essentiellen Einrichtungen nur für Großunternehmen relevant sind, gilt ein Unternehmen ab einer Größe von 50 Mitarbeitern oder 10 Mio. € Umsatz als wichtige Einrichtung, wenn es in einem der aufgeführten Sektoren tätig ist. Die Größeneinteilung der NIS-2 folgt also der allgemeinen Definition von kleinen und mittleren Unternehmen (KMU) in Abgrenzung zu Großunternehmen, wobei nur mittlere und große Unternehmen von der Regulierung betroffen sind. Die Fertigungsindustrie einschließlich Hersteller von Medizinprodukten und Maschinenbauer befinden sich in der Gruppe der Important Entities.

Besonders kleinere Organisationen wurden in Deutschland über die NIS-2-Richtlinie unzureichend informiert. Ob Ihr Unternehmen einem der Sektoren zuzuordnen ist, ist nicht immer eindeutig zu bestimmen. Rechtliche Sicherheit wird erst in der Anwendung des Gesetzes durch Präzedenzfälle entstehen. Eine schnelle Entscheidungshilfe kann Ihnen unser NIS-2 Quick-Check bieten: Finden Sie heraus, ob Ihr Unternehmen von NIS-2 betroffen ist.

Nächste Schritte

Nachdem die Betroffenheit geklärt ist, stehen viele Unternehmen vor der Frage, wie sie die erforderlichen Maßnahmen möglichst kosteneffizient umsetzen. Wir skizzieren die ersten Schritte, mit denen Sie Ihre Cyberresilienz zügig auf das erforderliche Niveau heben können.

1. Lücken in der Sicherheitslandschaft identifizieren
Zunächst ist es wichtig, sich einen Überblick zu verschaffen. Dafür sollten  unternehmensweite Asset Scans durchgeführt werden. Alle physischen, digitalen und immateriellen Vermögenswerte werden erfasst, um einen ganzheitlichen Überblick zu erlangen.

Dabei sollte das Hauptaugenmerk auf dem Shopfloor liegen. Alle Maschinen müssen inventarisiert und die Komponenten auf Aktualität überprüft werden. Berücksichtigt werden auch alle vernetzten Geräte und deren Verbindungen und eingesetzte Software. So werden diejenigen Bereiche identifiziert, in denen Handlungsbedarf besteht.

2. Risiken priorisieren
Anschließend werden die Risiken bewertet und priorisiert. Auch hierbei stehen die Fertigungslinien voraussichtlich im Fokus. Produktionsstillstände durch Cyberattacken können so gravierende Schäden verursachen, dass die Existenzgrundlage des Unternehmens auf dem Spiel steht.

Zudem gestalten sich Update-Prozesse durch veraltete Hardware und Kompatibilitätsprobleme in den Produktionsanlagen oftmals besonders langwierig und sollten daher möglichst früh angegangen werden. Wenn ein Update nicht möglich ist, kann eine OT-Sicherheitslösung wie edge.SHIELDOR die Maschine absichern, ohne vom Unternehmensnetzwerk getrennt werden zu müssen.

3. Mitigierungspläne entwickeln
Pläne zur Mitigation der wichtigsten Risiken sind ein essentieller Bestandteil jeder Sicherheitsstrategie. Dazu gehören auch geeignete Maßnahmen zur schnellen Erkennung von Cybervorfällen und Incident Response-Prozesse. Schwerwiegende Sicherheitsereignisse müssen nach den NIS-2-Richtlinien innerhalb von 24 Stunden an das in Deutschland zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

4. Lieferkette überprüfen
Die NIS-2 weitet die Sicherheitsvorgaben auf die gesamte Lieferkette aus. Das bedeutet, dass ein betroffenes Unternehmen nicht nur für seine eigene Cybersicherheit verantwortlich ist, sondern auch für die Sicherheit seiner Zulieferer. Auftraggeber müssen selbstständig überprüfen, ob die Anforderungen kontinuierlich eingehalten werden.

Wir empfehlen, sich frühzeitig mit Ihren Zulieferern auszutauschen und im besten Fall die Einhaltung etablierter Standards wie der ISO 27001 einzufordern, um die Sicherheit Ihrer Lieferkette zu gewährleisten. Im Produktionsumfeld bieten Normen wie IEC 62443, nach der auch TRIOVEGA zertifiziert ist, einen hervorragenden Anhaltspunkt für den Einkauf sicherer Lösungen und Komponenten.

Wie geht es weiter?

Sie merken: Mit der NIS-2 kommen auf Industrieunternehmen umfangreiche Aufgaben im Bereich der Cybersicherheit zu. Im nächsten Teil unserer Artikelserie werden wir uns detailliert mit dem Anforderungskatalog auseinandersetzen, um Sie optimal vorzubereiten.

Für dieses Projekt, das in Hamburg in den öffentlichen Feldversuch gestartet ist, werden die ID. Buzz AD-Fahrzeuge mit komplexer Technik ausgestattet. Mehrere Software- und Hardware-Firmen stimmen hier ihre Komponenten aufeinander ab, um am Ende ein autonomes Fahrzeug auf die Straße zu bringen. TRIOVEGAs Custom Software Solutions-Team liefert mit einer gänzlich neu entwickelten Gateway-Middleware das Herzstück für die Kommunikation der Steuergeräte im Prototypen des ID. Buzz AD.

Autonomes Fahren – eine technische Herausforderung

Um den Prototypen selbstständig fahren lassen zu können, mussten drei zentrale Steuergeräte Daten miteinander austauschen:

• Das Self-Driving System (SDS), das von Argo AI entwickelt wurde, ist Sitz der KI-Logik für den Fahrvorgang. Anhand der Sensor- und Kameradaten trifft dieses die Fahrentscheidungen.
• Cassiopeia, das Steuergerät von IAV, steuert anhand dieser Entscheidungen dann die Fahrzeugfunktionen.
• Das MaaS-System von MOIA übernimmt die Sensorik im Innenraum und steuert die spezifischen Funktionen für das Ridepooling: bspw. die Türen zu schließen, wenn alle Fahrgäste sitzen und angeschnallt sind.

Aufgabe von TRIOVEGA Custom Software Solutions war es nun, zwischen diesen drei Komponenten mit einem Gateway zu vermitteln und die multidirektionale Kommunikation über verschiedene Protokolle und Services hinweg zu ermöglichen.

Eine wesentliche technische Herausforderung stellt dabei die Netzwerkkommunikation dar: Das im Automobilbereich verwendete SOME/IP-Framework basiert auf IP-Kommunikation, die nicht für Echtzeit ausgelegt ist. Das entwickelte Gateway kompensiert daher mithilfe der vSomeIP-Bibliothek den Verlust von Datenpaketen und Verzögerungen, denn diese wären fatal für den Betrieb des Fahrzeugs. Um den strengen Sicherheitsanforderungen in der Automobilindustrie gerecht zu werden, müssen die Zulieferer höchste Standards in allen Bereichen einhalten. Die Zertifizierung nach dem höchsten auch an sicherheitskritischen Projekten im Automobilbereich mitarbeiten zu können.

Der Weg zur Lösung – Projektablauf und Entwicklungsprozess

Das Projekt gliederte sich nach TRIOVEGAs Proven Project Plan in drei übergeordnete Phasen:

1. Phase: Design und Konzeption

Zu Beginn im Jahr 2021 stand eine längere Beratungsphase, in der TRIOVEGA basierend auf den Anforderungen, die gemeinsam mit VW und IAV definiert wurden, drei unterschiedliche Lösungsvorschläge für den Prototypen konzeptioniert hat. Dafür wurden unterschiedliche Kommunikationsstandards evaluiert:

“Ich habe meine Erfahrung mit SOME/IP eingebracht, andere Kollegen ihre im Bereich der Gateway- und Steuergeräteentwicklung. So haben wir unsere Fachkenntnisse im Team vereint, um unterschiedliche Lösungsvorschläge intern zu diskutieren”, sagt Yasin Alakese, Lead Developer TRIOVEGA im ID. Buzz Pilot-Projekt. “Am Ende konnten wir drei klare Optionen präsentieren – mit Vor- und Nachteilen.”

2. Phase: Development

Nachdem die Wahl auf die Lösung mit SOME/IP gefallen war, begann TRIOVEGA mit der Entwicklung. Man entschied sich intern für die Umsetzung in einer agilen Struktur nach Scrum, obwohl Automobilprojekte – wie auch bei VW – meist klassisch organisiert sind. Das ermöglichte dem Team, auf dynamische Veränderungen in den Anforderungen direkt und pragmatisch reagieren zu können und trotzdem effizient Projektfortschritte zu erzielen.

Die Stakeholder wurden mit klaren Schnittstellen und Feedbackzyklen dennoch nahtlos in die Kommunikation eingebunden: “Die enge Verzahnung und gleichzeitig unsere Flexibilität als kleines Team wurde von VW besonders geschätzt. Das unterscheidet uns deutlich von großen Wettbewerbern, bei denen man gegen starre Prozesse kämpft“, resümiert Jendrik Menz.

3. Phase: Inbetriebnahme

Die Software wurde anschließend so früh wie möglich auf die Straße gebracht, um im Prototyp des VW ID. Buzz AD ausgiebig unter kontrollierten Bedingungen getestet werden zu können. Die Testphase begleitete das Team von TRIOVEGA in enger Abstimmung mit VW, um zügig Updates liefern zu können, die allen Sicherheitsanforderungen entsprechen. Aufgrund der hohen Qualität in der Vorarbeit wurden fast keine Bugs im Betrieb identifiziert – ein rundum gelungener Test.

Die Lösung – Gateway-Middleware auf Mikroprozessor

In der von TRIOVEGA entwickelten Kommunikationsschicht sind mehrere Protokolle und Services integriert, um verschiedene Schnittstellen zu bedienen. Daher handelt es sich nicht um ein rein vermittelndes Gateway, sondern ein System, das mehrere Aufgaben übernimmt. Neben SOME/IP kommt so z.B. auch Ubus zum Einsatz, ein leichtgewichtiges Embedded-Protokoll für die interne Kommunikation mit den Fahrzeugfunktionen.

Anstatt auf klassische Mikrocontroller zurückzugreifen, die mit spezialisierten Technologien programmiert werden müssen, werden moderne Mikroprozessoren eingesetzt, auf denen ein Linux-Betriebssystem läuft. So kann die Logik auch im Nachgang noch erweitert werden oder Sicherheitsupdates Over-the-air direkt in den Fahrzeugen installiert werden. Ein echter Fortschritt, der für innovative MaaS-Projekte wie MOIA und die VW ID. Fahrzeugflotte gleichermaßen bedeutsam ist.

Fazit – ein gelungenes Projekt unter verschärften Bedingungen

Zum Projektabschluss konnte das TRIOVEGA-Team die implementierte Lösung mit einem vollständigen Software Development Kit (SDK) an den Kunden übergeben und VW so in die Lage versetzen, die Software selbst zu testen, betreiben oder weiterzuentwickeln. Der Idealfall für eine komplexe technische Architektur mit vielen Abhängigkeiten – besonders in einem Pilot-Projekt, in dem die gesamte Technik frühzeitig unter realen Bedingungen im Testfahrzeug des ID. Buzz AD eingesetzt wurde.

Diese Realitätsnähe wurde zusätzlich durch den Zeitpunkt des Projekts mitten in der Corona-Pandemie erschwert, als eine Zusammenarbeit vor Ort kaum möglich war und die gesamte Kommunikation online stattfand. Trotz dieser Einschränkung zeigten sich beide Seiten höchst zufrieden mit dem Ablauf:

“Zu hören, dass die Zusammenarbeit mit uns eine andere Hausnummer war – unkomplizierter, flexibler als die großen Player und trotzdem absolut zuverlässig – war ein schönes Feedback”, sagt Menz. “Am Ende geht es beim autonomen Fahren um jedes einzelne Zahnrad. Und wir konnten eines davon in Top-Qualität liefern. Es ist ein großartiges Gefühl, an der Mobilität der Zukunft mitgearbeitet zu haben.”

Das Projekt für den autonomen VW ID. Buzz AD zeigt, wie individuelle Softwarelösungen, agile Entwicklungsmethoden und enge, vertrauensvolle Zusammenarbeit auch unter anspruchsvollen Rahmenbedingungen mit vielen Stakeholdern zum Erfolg führen. Mit der entwickelten Gateway-Middleware konnte TRIOVEGA eine zuverlässige Kommunikationsbasis zwischen sicherheitskritischen Steuergeräten schaffen, sie frühzeitig in den Prototypeneinsatz überführen und damit einen zentralen Beitrag zur Realisierung autonomer Mobilität im Volkswagen-Konzern leisten.

Acronis und TRIOVEGA bündeln ihre Kräfte durch eine OEM-Partnerschaft. Die Integration der Backup- und Wiederherstellungstechnologie von Acronis erweitert edge.SHIELDOR um eine wichtige Schutzebene. Bei edge.SHIELDOR handelt es sich um eine leistungsstarke Sicherheitslösung, die Produktionsumgebungen vor Angriffen auf IT- und OT-Netzwerke schützt. Durch die Integration wird die Plattform profitieren Unternehmen von einer höheren Daten- und Systemresilienz, einer vereinfachten Backup-Verwaltung und einer verbesserten Unterstützung bei der Einhaltung von Compliance-Vorgaben wie der NIS-2-Richtlinie.

Die Kombination von OT-Security-Expertise und Backup-Kompetenz schafft eine umfassende Schutzlösung für industrielle Infrastrukturen. Mit der Acronis-Integration bietet TRIOVEGA seinen Kunden nun nicht nur präventive Sicherheit, sondern auch die Möglichkeit, Systeme und Daten im Ernstfall schnell wiederherzustellen – ein entscheidender Faktor für die Betriebskontinuität in kritischen Produktionsumgebungen.

Das sagt TRIOVEGA

„Acronis und TRIOVEGA verbindet die Überzeugung, dass Sicherheit und Resilienz die Grundlage für erfolgreiche industrielle Digitalisierung sind“, so Benjamin Pieritz, CEO bei TRIOVEGA. „Durch die Partnerschaft vereinen wir führende Cyber-Protection und OT-Kompetenz – für Lösungen, die Vertrauen schaffen und nachhaltige Wertschöpfung ermöglichen.“

„Die strategische Partnerschaft zwischen TRIOVEGA und Acronis eröffnet dem OT-Channel eine starke Möglichkeit, seinen Kunden Security-Lösungen aufzuzeigen, mit denen die Resilienz in komplexen und individuellen OT-Umgebungen massiv erhöht wird“, ergänzt Oliver Zellner, Senior Business Development Manager bei TRIOVEGA. „Mit unserem edge.SHIELDOR schaffen wir die Grundlage, um spezialisierte Lösungen wie Acronis gezielt zu integrieren und so den Kundennutzen in der industriellen Praxis deutlich zu steigern.“

Das sagt Acronis

„Die Zusammenarbeit mit TRIOVEGA unterstreicht unser Engagement, Cyber Protection nahtlos zu integrieren“, freut sich Markus Fritz, General Manager DACH bei Acronis, über die Zusammenarbeit. „Durch die OEM-Partnerschaft bringen wir unsere Backup- und Recovery-Technologie dorthin, wo sie heute dringender denn je gebraucht wird – an die Schnittstelle von IT und OT. Gemeinsam schaffen wir eine Lösung, die Produktionsbetrieben nicht nur Schutz, sondern echte Ausfallsicherheit bietet.“

Und doch wird dieser Bereich in der Planung häufig mit sehr allgemeinen Annahmen zu Nutzerverhalten, Bedarfsprofilen und Entnahmemengen und -zeiten bedacht. Annahmen, die der Realität oft nicht standhalten. Moderne Data Science und Datenanalyseansätze ebnen hier den Weg zu einer energieeffizienteren Dimensionierung der Anlagen, ohne Einbußen beim Komfort.

Komfortanspruch vs. Nachhaltigkeit: ein Zielkonflikt

Die Anforderungen an moderne Warmwasseranlagen sind hoch:

• Sie sollen zuverlässig und hygienisch einwandfrei funktionieren, auch zu Stoßzeiten wie beim morgendlichen Duschandrang im Hotel oder beim Jugendturnier in der Sporthalle.
• Gleichzeitig wächst der Druck, Energie einzusparen und Systeme nachhaltiger auszulegen, etwa im Zusammenspiel mit Wärmepumpen, deren Wirkungsgrad dann besonders hoch ausfällt, wenn Temperaturunterschiede im aufzuheizenden Wasser und das Volumen gering sind.

Zwischen diesen beiden Polen, Zuverlässigkeit und Nachhaltigkeit, stehen Planende vor einer zentralen Herausforderung: Wie trifft man realistische Annahmen über das tatsächliche Nutzerverhalten im jeweiligen Gebäude, wenn dieses je nach Gebäudetyp, Größe, Ausstattung und weiteren Faktoren stark variiert?

Normen & Richtlinien – kein perfekter Ratgeber in der Planung

Ein wichtiger Ausgangspunkt in der Planung ist die DIN EN 12831-3. Sie gibt methodische Leitlinien zur Auslegung von Trinkwassererwärmungsanlagen und empfiehlt dabei, Anlagen anhand des Maximums eines über 60 Sekunden gemittelten Volumenstroms auszulegen.

Das Problem: In der tatsächlichen Nutzung dauern die Bedarfsspitzen oft wesentlich kürzer als 60 Sekunden und werden von der Kalkulation somit gewissermaßen "verschluckt". Um dies auszugleichen, enthalten die Vorgaben sehr großzügige Annahmen darüber, wie viel warmes Wasser gleichzeitig benötigt werden könnte.

Die Folge: Viele Anlagen sind deutlich überdimensioniert. Das führt zu unnötig hohem Energieeinsatz, höherem Ressourcenverbrauch und langfristig zu mehr Kosten, da viel zu hohe Warmwassermengen bereitgestellt werden müssen. Ganz abgesehen davon, dass große, lagernde Wassermengen bei geringer Nutzung auch hygienisch problematisch werden können.

Neue Ansätze mit genauer Datenanalyse: Szenarien statt Maximalwerte

Die gute Nachricht: Es geht auch anders. Wie das aktuelle Forschungsprojekt TA-DTE-XL – Technische Anforderungen an Durchfluss-Trinkwassererwärmer zur Steigerung von Energieeffizienz und Komfort großer, regenerativer Wärmezentralen des Instituts für Solarenergieforschung (ISFH) in Zusammenarbeit mit Data Scientists von TRIOVEGA zeigt, lassen sich reale Nutzungsmuster und Bedarfsprofile mit kürzeren Messintervallen (das ideale Mittelungsintervall wurde bei 10 Sekunden identifiziert) viel differenzierter verstehen.

Dabei zeigte sich: Die meisten Spitzenlasten sind extrem kurz, im Bereich weniger Sekunden. Die Frage ist:

• Ob wirklich jede dieser Spitzen durch eine erhöhte Dimensionierung des Systems abgedeckt werden muss?
• Oder reicht es aus, in 99,9 % der Fälle den vollen Komfort zu gewährleisten?
• Was würde in den 0,1 % der nicht abgedeckten Fälle passieren?

Solche Überlegungen ermöglichen es, die Erwärmungsanlagen praxisgerecht kleiner auszulegen, während die Nutzenden durch die physikalische Trägheit des Wassersystems den Unterschied kaum spüren. Statt sich an übervorsichtigen Standard-Lastprofilen zu orientieren, helfen simulierte Nutzungsszenarien auf Basis der Messwerte, die Versorgung nach realem Bedarf anstatt auf Verdacht zu planen.

Dabei wird auch deutlich, wie sehr sich die Bedarfsprofile je nach Gebäudeart unterscheiden: Während in Sporthallen oft punktuelle Lastspitzen zum Beispiel beim Wochenendturnier auftreten, zeigen Hotels eher regelmäßige, aber weniger extreme Spitzen morgens und abends. Pauschale Planung greift hier schlicht zu kurz.

Fazit: Mehr Mut zur Individualisierung

Was folgt daraus? Der Weg zur energieeffizienten Warmwasseranlage führt über Daten, nicht über normierte Pauschalwerte. Wer die tatsächlichen Zapfmuster des jeweiligen Gebäudes kennt und analysiert, kann mit schlankeren Systemen arbeiten, Kosten senken – und einen Beitrag zur Dekarbonisierung leisten.

Unsere Data Scientists von service.factoryINSIGHTS bringen dabei die entscheidende Expertise ein: wie im Forschungsprojekt TA-DTE-XL erarbeiten wir in enger Zusammenarbeit mit unseren Kunden konkrete Handlungsempfehlungen, abgeleitet aus der individuellen Datenlage ihres Projekts. Dabei verbinden wir unsere langjährige Erfahrung im industriellen Umfeld mit modernen Methoden der Datenanalyse, seien es statistische Grundauswertungen oder innovative Machine Learning- und KI-Methoden, um in jedem Szenario die bestmögliche Lösung zu identifizieren.