NISG
AnmeldenKostenlos prüfen

NIS2 in der Produktion: Ist das verarbeitende Gewerbe betroffen?

NISG-Plattform-RedaktionStand Juni 20266 Min Lesezeit

In Kürze: Das verarbeitende Gewerbe / die Herstellung von Waren ist ein Anlage-2-Sektor des NISG 2026. Erfasst sind allerdings nicht alle Produktionsbetriebe, sondern die im Gesetz genannten Teilbereiche (Medizinprodukte sowie Elektronik-, Elektro-, Maschinen- und Fahrzeugbau). Wer dort tätig ist und die Größenschwelle überschreitet — ab 50 Mitarbeitern oder, unabhängig davon, ab mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme — gilt voraussichtlich als wichtige Einrichtung. Besondere Herausforderung: die Sicherheit von Produktions- und Steuerungssystemen (OT), nicht nur der klassischen IT. Erstregistrierung bis 31.12.2026.

Viele Industrieunternehmen unterschätzen ihre Betroffenheit, weil sie sich nicht als „kritische Infrastruktur" sehen. Doch zentrale Teile des verarbeitenden Gewerbes sind ausdrücklich erfasst — und mit der Vernetzung von Produktionsanlagen (Industrie 4.0) steigt die Angriffsfläche. Dieser Beitrag ordnet ein, wer betroffen ist, welche Pflichten gelten und wo die Besonderheiten der Produktion liegen.

Wer in der Produktion ist betroffen?

Das NISG 2026 listet den Sektor „Verarbeitendes Gewerbe/Herstellung von Waren" in Anlage 2 (sonstige kritische Sektoren). Maßgeblich ist nicht „Industrie" pauschal, sondern die im Gesetz aufgezählten Teilbereiche (lit. a–f). Sie knüpfen größtenteils an die EU-Wirtschaftszweigsystematik NACE Rev. 2, Abschnitt C an:

Teilbereich (Anlage 2) Was gemeint ist NACE-Abteilung
a) Medizinprodukte / In-vitro-Diagnostika Hersteller von Medizinprodukten (VO (EU) 2017/745) und In-vitro-Diagnostika (VO (EU) 2017/746)
b) Datenverarbeitungsgeräte, elektronische & optische Erzeugnisse Elektronik, Computer, optische Geräte C 26
c) Elektrische Ausrüstungen Elektrotechnik, Elektrogeräte C 27
d) Maschinenbau Maschinen und Anlagen C 28
e) Kraftwagen und Kraftwagenteile Automotive, Fahrzeugteile C 29
f) Sonstiger Fahrzeugbau übriger Fahrzeugbau C 30

Wichtig zur Abgrenzung: Andere Produktionszweige (z. B. Möbel, Textil, Papier) fallen nicht automatisch unter diesen Sektor. Chemie und Lebensmittel sind in Anlage 2 als eigene Sektoren geregelt. Welcher Teilbereich genau einschlägig ist, lässt sich anhand Ihrer ÖNACE-/NACE-Tätigkeit präzise zuordnen — die genaue Einstufung nehmen Sie im Scope-Wizard vor.

Entscheidend ist die Kombination aus Tätigkeit (Teilbereich) und Größenschwelle:

  • Mittleres oder großes Unternehmen → voraussichtlich erfasst.
  • Großes Unternehmen: ab 250 Mitarbeitern oder (Jahresumsatz > 50 Mio. € und Bilanzsumme > 43 Mio. €).
  • Mittleres Unternehmen: ab 50 Mitarbeitern oder (Jahresumsatz > 10 Mio. € und Bilanzsumme > 10 Mio. €).
  • Kleinstunternehmen (< 50 Mitarbeiter und ≤ 10 Mio. €) bleiben in der Regel außerhalb — sofern nicht eine größenunabhängige Einstufung durch die Cybersicherheitsbehörde (§ 26) greift.

Das finanzielle Kriterium gilt also kumulativ: Umsatz und Bilanzsumme müssen die Schwelle überschreiten. Ein Maschinenbauer mit 120 Mitarbeitern ist damit voraussichtlich betroffen; ein 15-Personen-Betrieb in der Regel nicht — sofern keine Konzernzurechnung greift (siehe FAQ).

Für Anlage-2-Sektoren gilt: Mittlere wie große Unternehmen werden voraussichtlich als wichtige Einrichtung eingestuft (§ 24 Abs. 2). Den Unterschied zur wesentlichen Einrichtung erklärt der Beitrag wesentliche vs. wichtige Einrichtungen.

Die OT-Besonderheit

Anders als reine Büroumgebungen betreiben Industrieunternehmen Operational Technology (OT): SPS, SCADA, Leitsysteme, vernetzte Maschinen. Diese Systeme sind oft lange im Einsatz, schwer zu patchen und zunehmend mit der IT verbunden. Die Risikomanagementpflichten des § 32 NISG verfolgen einen gefahrenübergreifenden Ansatz und umfassen ausdrücklich auch solche Anlagen. Für die Produktion heißt das u. a.:

  • Netzsegmentierung zwischen IT und OT (technische und operative Maßnahmen nach § 32)
  • Asset-Inventar auch für Produktionsanlagen (§ 32 Abs. 4 lit. i — Management von Anlagen)
  • Betriebskontinuität: ein Cybervorfall darf die Produktion nicht unkontrolliert stoppen (§ 32 Abs. 4 lit. c — Backup-Management, Wiederherstellung, Krisenmanagement)
  • Lieferkettensicherheit für Komponenten- und Software-Zulieferer (§ 32 Abs. 4 lit. d) → NIS2 & Lieferkette

Die in § 32 genannten Punkte sind Mindestinhalte und verhältnismäßig umzusetzen (§ 32 Abs. 3 — gemessen an Risikoexposition, Größe und Eintrittswahrscheinlichkeit/Schwere möglicher Vorfälle). Eine abgehakte Liste ersetzt also keine fortlaufende Risikobetrachtung.

Welche Pflichten gelten?

Für betroffene Produktionsbetriebe gelten dieselben Pflichtblöcke wie für alle erfassten Einrichtungen — ein Überblick im Beitrag NIS2-Pflichten:

  1. Registrierung bei der Cybersicherheitsbehörde (elektronisch, strukturiert) — Erstregistrierung bis 31.12.2026 (§ 29).
  2. Risikomanagement mit den Mindestinhalten a–j (§ 32), bei der Produktion mit OT-Schwerpunkt.
  3. Wirksamkeitsnachweis — Selbstdeklaration bis 30.09.2027, später ggf. Prüfung durch eine unabhängige Stelle (§ 33).
  4. Vorfallmeldung an das zuständige CSIRT: 24-h-Frühwarnung, 72-h-Meldung, Abschlussbericht binnen eines Monats (§ 34/§ 35).
  5. Governance: Das Leitungsorgan hat die Maßnahmen sicherzustellen und zu beaufsichtigen und an Cybersicherheitsschulungen teilzunehmen (§ 31).

Erste Schritte

  1. Betroffenheit prüfen (Teilbereich + Größe + Konzernzurechnung) → kostenloser Check
  2. IT/OT-Asset-Inventar erstellen
  3. Registrierung vorbereiten → bis 31.12.2026
  4. Risikomanagement mit OT-Schwerpunkt aufsetzen (§ 32)

Die Plattform unterstützt Sie dabei mit einem geführten Scope-Wizard, prüffesten Nachweisen, unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger — die rechtliche Bewertung und die Einreichung bei der Behörde verbleiben bei Ihnen.

Ist Ihr Industriebetrieb betroffen?

Wählen Sie „verarbeitendes Gewerbe" und Ihre Größe und sehen Sie Ihre voraussichtliche Einstufung. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Ist das verarbeitende Gewerbe von NIS2 betroffen? Teilweise: Erfasst sind die in Anlage 2 genannten Teilbereiche — Medizinprodukte/In-vitro-Diagnostika sowie Elektronik (NACE 26), elektrische Ausrüstungen (27), Maschinenbau (28), Kraftwagen/-teile (29) und sonstiger Fahrzeugbau (30). Wer dort tätig ist und die Größenschwelle überschreitet, gilt voraussichtlich als wichtige Einrichtung. Nicht jede Warenproduktion fällt darunter.

Ab welcher Größe ist mein Produktionsbetrieb betroffen? Ab 50 Mitarbeitern — oder, unabhängig davon, ab mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme (kumulativ). Kleinstunternehmen unter diesen Werten bleiben in der Regel außerhalb. Details: Schwellenwerte.

Gilt NIS2 auch für meine Produktionsanlagen (OT)? Ja. Die Risikomanagementpflichten des § 32 verfolgen einen gefahrenübergreifenden Ansatz und erfassen auch Operational Technology — Segmentierung, Inventarisierung (lit. i) und Betriebskontinuität (lit. c) sind zentrale Bausteine.

Mein Betrieb ist klein, gehört aber zu einem Konzern — bin ich betroffen? Möglicherweise. Für die Größenberechnung werden Partner- und verbundene Unternehmen nach der EU-Empfehlung 2003/361/EG grundsätzlich mitgerechnet. § 25 Abs. 4 NISG sieht jedoch eine Ausnahme vor: Daten verbundener Unternehmen werden nicht hinzugerechnet, wenn die Einrichtung hinsichtlich ihrer Netz- und Informationssysteme organisatorisch, technisch und operativ unabhängig ist. Die genaue Einstufung nehmen Sie im Scope-Wizard vor.

Welche Strafen drohen bei Verstößen? Das NISG sieht ein zweistufiges System vor. Für Verstöße gegen inhaltliche Pflichten (z. B. § 31, § 32, § 34) drohen wichtigen Einrichtungen bis zu 7 Mio. € oder bis zu 1,4 % des weltweiten Vorjahresumsatzes (der höhere Betrag). Eine nicht fristgerechte Registrierung fällt dagegen unter § 45 Abs. 4: bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 €. Mehr dazu: NIS2-Strafen.

Stand: Juni 2026. Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.