Besondere Bedeutung kommt bei NIS2 der Absicherung industrieller Steuerungssysteme zu – also jener Systeme, die in Chemieanlagen Produktionsprozesse überwachen und regeln. | Securing industrial control systems is of particular importance under NIS2 – that is, those systems that monitor and control production processes in chemical plants.

NIS2-Richtlinie: Cybersicherheitspflichten für die Chemieindustrie

2 min

Die NIS2-Richtlinie der Europäischen Union verändert die Anforderungen an die Cybersicherheit in der Chemieindustrie grundlegend. Was lange als branchenfernes IT-Thema galt, ist heute betriebliche Realität: Cyberangriffe auf Industrieanlagen nehmen zu, und Chemiebetriebe gehören zu den erklärten Zielen. Gleichzeitig zeigt sich, dass das Risikobewusstsein in weiten Teilen der Branche noch unterentwickelt ist – besonders in kleineren und mittleren Unternehmen, die häufig weder eine benannte Verantwortliche für Informationssicherheit noch ein strukturiertes Notfallkonzept vorhalten. Die NIS2-Richtlinie setzt hier verbindliche Mindeststandards und bezieht Chemiebetriebe ausdrücklich in den Kreis der verpflichteten Unternehmen ein.

Grundsätzlich unterscheidet die Richtlinie zwischen zwei Kategorien betroffener Einrichtungen: „wesentliche“ und „wichtige“ Einrichtungen. Chemiebetriebe werden je nach Unternehmensgröße und gesellschaftlicher Bedeutung einer dieser Kategorien zugeordnet. Die Einstufung bestimmt dabei den Umfang der Aufsicht durch die zuständigen Behörden sowie das Ausmaß möglicher Sanktionen bei Verstößen – bis hin zu empfindlichen Bußgeldern für Geschäftsführungen, die ihren Sorgfaltspflichten nicht nachkommen.

Dreistufige Meldepflicht als zentrales Instrument

Betreiber von Chemieanlagen sind zu umfassenden Sicherheitsmaßnahmen und einer dreistufigen Meldepflicht bei Cybervorfällen verpflichtet, die die bisherige einstufige Regelung ersetzt. Innerhalb von 24 Stunden nach Feststellung eines Vorfalls ist eine erste Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) einzureichen – mit grundlegenden Informationen zu Art und Umfang des Vorfalls sowie ersten Eindämmungsmaßnahmen. Nach spätestens 72 Stunden folgt ein detaillierter Zwischenbericht mit Analyse, Systemauswirkungen und weiteren Maßnahmen. Abschließend ist innerhalb eines Monats nach der Erstmeldung ein vollständiger Abschlussbericht vorzulegen, der Ursachen, Gegenmaßnahmen und deren Wirksamkeit dokumentiert.

Der dreistufige Prozess verfolgt dabei ein klares Ziel: Er soll sicherstellen, dass Behörden frühzeitig informiert werden, ohne die betroffenen Betriebe in der akuten Phase eines Vorfalls mit übermäßigem Dokumentationsaufwand zu belasten. Die gestaffelte Berichterstattung gibt Unternehmen die Möglichkeit, zunächst schnell zu reagieren und detailliertere Informationen nachzuliefern, sobald diese vorliegen.

Anforderungen an technische und organisatorische Maßnahmen

Neben der Meldepflicht verlangt die NIS2-Richtlinie auf operativer Ebene ein formelles Risikomanagementverfahren zur kontinuierlichen Identifikation und Bewertung von Bedrohungen, technische Schutzmaßnahmen wie Multi-Faktor-Authentifizierung, Firewalls und regelmäßige Software-Updates sowie Notfall- und Wiederherstellungspläne. Hinzu kommen gezielte Schulungen der Belegschaft zu Cybersicherheitsthemen und die regelmäßige Überprüfung sowohl physischer als auch digitaler Infrastrukturen.

Besondere Bedeutung kommt dabei der Absicherung industrieller Steuerungssysteme zu – also jener Systeme, die in Chemieanlagen Produktionsprozesse überwachen und regeln. Ein erfolgreicher Angriff auf diese Ebene kann nicht nur Datenverluste verursachen, sondern unmittelbar die Anlagensicherheit gefährden. Als normative Grundlage für diesen Bereich ist die internationale Normenreihe IEC 62443 relevant, die sich mit der Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme befasst und einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller verfolgt. Ergänzend empfiehlt der Leitfaden KAS-51 der Kommission für Anlagensicherheit konkrete Schutzmaßnahmen gegen unbefugte Eingriffe – einschließlich Cyberangriffe und Erpressungsversuche.

Das deutsche Umsetzungsgesetz, bekannt als „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, wurde am 11. Oktober 2024 in erster Lesung im Deutschen Bundestag beraten und zur weiteren Beratung an den Innenausschuss überwiesen. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz ist in Deutschland mittlerweile in Kraft; nach Beschluss durch Bundestag und Bundesrat im November 2025.

Quelle: Fachzeitschrift „PROCESS“

Foto: joyfotoliakid

Weserland GmbH
Hansastraße 9-17
30419 Hannover

+49 511 97 997 0
info@weserland.eu