Anhang II Sektor 5 NIS 2

Bin ich Maschinenbauer unter NIS 2?

Anhang II Sektor 5 der NIS 2 Richtlinie zieht das verarbeitende Gewerbe in den Anwendungsbereich. Maschinenbauer sitzen in der Unterkategorie (d), NACE-Abteilung C28. Ab 50 Beschäftigten oder 10 Millionen Euro Umsatz sind Sie wichtige Einrichtung mit denselben zehn Pflichten aus Artikel 21 Absatz 2 wie die Großen.

Simon OrzelSimon Orzel·

Die kurze Fassung

NIS 2 erfasst das verarbeitende Gewerbe als sonstigen kritischen Sektor. Anhang II Sektor 5 nennt sechs Unterkategorien. Herstellung von Maschinen und Ausrüstung anderweitig nicht genannt, NACE-Abteilung C28, ist eine davon. Wer das tut und über der Größenschwelle liegt, fällt unter NIS 2.

Der Größentest steht in Artikel 2 Absatz 1 der Richtlinie. 50 oder mehr Beschäftigte, oder 10 Millionen Euro Umsatz und Bilanzsumme. Eines reicht. Darunter sind Sie im Regelfall draußen. Deutschland übernimmt dieselbe Schwelle in §28 BSIG.

Das Besondere am Maschinenbau ist die OT-Landschaft. In der Fertigungszelle stehen SPS, SCADA, HMI, Roboterzellen, dazu ein ERP und ein MES obendrauf. Artikel 21 Absatz 2 behandelt diesen ganzen Stack als ein zu schützendes System. Der praktische Umsetzungsweg in Deutschland ist BSI IT-Grundschutz, konkret die IND Bausteine für industrielle Steuerungssysteme, sowie ISO/IEC 62443 für die OT-Ebene.

Die rechtliche Grundlage
Die Richtlinie benennt den Sektor. Artikel 2 setzt die Größenschwelle. Deutschland setzt beides in §28 BSIG um.

Anhang II Nummer 5 NIS 2 Richtlinie (2022/2555) — Verarbeitendes Gewerbe / Herstellung

(a) Herstellung von Medizinprodukten und In-vitro-Diagnostika (NACE C32.5 teilweise, C26.60 teilweise); (b) Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen (NACE C26); (c) Herstellung von elektrischen Ausrüstungen (NACE C27); (d) Herstellung von Maschinen anderweitig nicht genannt (NACE C28); (e) Herstellung von Kraftwagen und Kraftwagenteilen (NACE C29); (f) Sonstiger Fahrzeugbau (NACE C30).

Maschinenbauer fallen unter Buchstabe (d). Der NACE-Verweis bezieht sich auf Rev. 2. Wer Maschinen, Anlagen oder Module mahlt, fräst, schweißt, montiert oder integriert, gehört in die Abteilung C28. Anhang II ist die Liste der wichtigen Einrichtungen. Dieselben zehn Pflichten aus Artikel 21 Absatz 2 wie bei Anhang I, niedrigeres Bußgeld, reaktive statt proaktive Aufsicht.

Artikel 2 Absatz 1 NIS 2 Richtlinie — Größentest

Diese Richtlinie gilt für öffentliche oder private Einrichtungen einer in Anhang I oder Anhang II genannten Art, die als mittlere Unternehmen im Sinne des Artikels 2 des Anhangs der Empfehlung 2003/361/EG der Kommission gelten oder die Obergrenzen für mittlere Unternehmen gemäß Absatz 1 jenes Artikels überschreiten.

Der Größentest knüpft an die KMU-Definition der EU an. 50 Beschäftigte oder mehr, oder Jahresumsatz über 10 Millionen Euro und Bilanzsumme über 10 Millionen Euro. Eines reicht. Die Richtlinie kennt einige wenige Fälle, in denen die Größe egal ist. Der reine Maschinenbau steht nicht auf dieser Override-Liste.

§28 BSIG (Deutschland) — wichtige Einrichtung, Sektor 'Verarbeitendes Gewerbe / Herstellung'

Wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 2 genannten Einrichtungsart angehören und mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten.

Deutschland führt das verarbeitende Gewerbe in Anlage 2 BSIG mit denselben sechs Unterkategorien wie Anhang II Nummer 5 der Richtlinie. Die Bußgeldobergrenze für wichtige Einrichtungen steht in §65 BSIG: bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist.

Drei Tests, die Ihren Status entscheiden
Drei Fragen in dieser Reihenfolge. Sektor, Größe, OT-Landschaft. Die ersten beiden entscheiden, ob NIS 2 gilt. Die dritte entscheidet, wie die Umsetzung tatsächlich aussieht.
Test 1

NACE C28 oder einer der fünf Nachbarn

Holen Sie den NACE Rev. 2 Code aus dem Handelsregistereintrag oder der letzten statistischen Meldung. Beginnt er mit C28, sind Sie Maschinenbauer. C26, C27, C29, C30 und der C32.5-Teil für Medizinprodukte sind die benachbarten Unterkategorien aus Anhang II. Mischbetriebe (Maschinenbau plus Elektromontage) werden in der Regel nach der Haupttätigkeit eingeordnet. Liegt die Haupttätigkeit in einer dieser Kategorien, sind Sie im Sektor.

Test 2

50 Beschäftigte oder 10 Millionen Euro

Artikel 2 Absatz 1 verlangt 'mindestens mittleres Unternehmen'. Die KMU-Definition hat zwei Schwellen: 50 Beschäftigte oder mehr, oder Jahresumsatz über 10 Millionen Euro und Bilanzsumme über 10 Millionen Euro. Verbundene und Partnerunternehmen zählen mit. Eine 35-köpfige UG innerhalb einer 400-Mitarbeiter-Gruppe wird normalerweise mit der Gruppe gezählt.

Test 3

Ihre OT-Landschaft

Bilden Sie die Fertigungszelle einmal ab. SPS, SCADA, HMI, Roboter, CNC, MES, ERP, Engineering-Arbeitsplätze, Fernwartungszugänge von Lieferanten. Diese Liste ist Ihr Asset-Inventar nach Artikel 21 Absatz 2 Buchstabe (a). Sie ist gleichzeitig der Umfang der Risikoanalyse. Grundschutz erlaubt, identische Assets zu gruppieren (zwölf baugleiche CNC als ein Eintrag mit Stückzahl). IT und OT sind beide im Umfang. Die klassische Antwort 'OT ist getrennt, also außen vor' hält keiner Prüfung stand.

Zwei Regeln, die den Rest formen
Zwei Auslegungsregeln stehen über jeder Pflicht. Sie entscheiden, wie ein Prüfer Ihre Umsetzung liest.

Anhang II ist immer noch NIS 2

Einrichtungen aus Anhang II sind 'wichtig', nicht 'besonders wichtig'. Die zehn Maßnahmen aus Artikel 21 Absatz 2 sind dieselben wie bei Anhang I. Unterschiedlich sind die Bußgeldobergrenze und der Aufsichtsstil. §65 BSIG begrenzt Bußgelder für wichtige Einrichtungen auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes (gegenüber 10 Millionen oder 2 Prozent bei besonders wichtigen). Die Aufsicht ist reaktiv: Das BSI prüft, wenn es konkrete Anhaltspunkte gibt, nicht im Routine-Zyklus. Gleiche Pflichten, andere Vollzugsintensität.

OT ist im Anwendungsbereich, Punkt

Artikel 21 erfasst 'Netz- und Informationssysteme'. Die CIR und die ENISA TIG behandeln OT, SCADA und SPS als erfasst. Das BSI IT-Grundschutz Kompendium hat dafür eigene IND Bausteine für industrielle Steuerungssysteme. ISO/IEC 62443 ist der internationale Standard, den die Engineering-Community nutzt, und ENISA mappt die Maßnahmen aus Artikel 21 darauf. Eine Prüfung, die OT ausklammert, ist keine Prüfung nach Artikel 21.

Wer das für Maschinenbauer praktisch trägt
Die EU setzt die Regel. Nationale Behörden und Branchenverbände tragen die operative Ebene.
Deutschland

BSI / IT-Grundschutz IND

Das BSI ist die zuständige Behörde für NIS 2 in Deutschland. Für Maschinenbauer ist der praktische Weg IT-Grundschutz mit den IND Bausteinen: IND.1 (Prozessleit- und Automatisierungstechnik allgemein), IND.2 (industrielles Steuerungssystem), IND.3 (Sensoren und Aktoren). Setzen Sie diese parallel zu den klassischen IT-Bausteinen (SYS, NET, OPS, APP) um und Sie haben eine tragfähige Basis nach Artikel 21.

Deutschland / EU

VDMA

Der Verband Deutscher Maschinen- und Anlagenbau veröffentlicht für seine Mitglieder Sektorleitfäden zu NIS 2, zum Cyber Resilience Act und zu ISO/IEC 62443. Er führt Arbeitskreise zur OT-Sicherheit und übersetzt den Regulierungstext in praktische Umsetzungssprache für den deutschen Maschinenbau. Die Mitgliedschaft ist freiwillig, die meisten mittleren Maschinenbauer sind Mitglied.

EU-weit

ENISA Technical Implementation Guidance

Die ENISA veröffentlicht eine Technical Implementation Guidance zur CIR (EU) 2024/2690, die die Maßnahmen aus Artikel 21 auf ISO/IEC 27001:2022, NIST CSF 2.0 und weitere Standards abbildet. Die Mapping-Tabelle steht in v1.2 (Stand August 2025) unter CC BY 4.0. Für den Maschinenbau ist die Schnittmenge zur ISO/IEC 62443-Reihe relevant, die ENISA für die OT-Ebene referenziert.

Drei Fallen, die uns ständig begegnen
Drei Annahmen, die in fast jedem Anwendbarkeitsgespräch mit einem Maschinenbauer auftauchen. Alle drei erzeugen Lücken, die ein Prüfer findet.

  • NIS 2 ist für große Industriegruppen, nicht für unsere 80 Mann starke Maschinenbude.

    Der Größentest steht bei 50 Beschäftigten oder 10 Millionen Euro Umsatz. Eine 80 Mann starke Maschinenbude mit NACE C28 fällt klar darunter. Die Kategorie 'wichtige Einrichtung' aus Anhang II existiert genau für die Mittelstandsschicht. Die Bußgeldobergrenze liegt niedriger als bei besonders wichtigen Einrichtungen, die zehn Pflichten aus Artikel 21 Absatz 2 sind dieselben.

  • Wir machen nur Endmontage, die eigentliche Fertigung sitzt bei unseren Lieferanten.

    NACE ordnet nach der Haupttätigkeit, nicht nach der Wertschöpfungstiefe. Wer fertige Maschinen oder Module unter eigenem Namen verkauft, hat als Haupttätigkeit Herstellung, auch wenn ein großer Teil des Baus vorgelagert ist. Maßgeblich sind Handelsregistereintrag und statistische Meldung, nicht die Erzählung zur Wertschöpfungskette.

  • Wir exportieren überwiegend, EU-Regeln treffen uns also nicht.

    Die Richtlinie knüpft an die Niederlassung an, nicht an die Kundenbasis. Sitzt Ihre juristische Person in einem EU-Mitgliedstaat und erfüllen Sie Sektor- und Größentest, sind Sie im Anwendungsbereich, unabhängig davon, wohin Sie verkaufen. Exporteure sind NIS-2-Einrichtungen wie jeder andere Hersteller. Dass die Käufer außerhalb der EU sitzen, ändert nichts an Ihren Pflichten auf der Produktionsseite.

Wie Maschinenbauer das im ersten Jahr tatsächlich machen

Was wir in der Praxis im deutschen Maschinenbau-Mittelstand sehen: zuerst ein einseitiges Anwendbarkeits-Memo (NACE-Code, Mitarbeiterzahl, Umsatz, juristische Begründung), dann ein Gap-Assessment, das die zehn Maßnahmen aus Artikel 21 Absatz 2 gegen das vorhandene IT- und OT-Setup laufen lässt. Auf der IT-Seite gibt es meist schon etwas. Die OT-Seite ist üblicherweise dünner.

Nach dem Gap werden die zwölf bis fünfzehn dringendsten Maßnahmen im ersten Jahr umgesetzt. Asset-Inventar, Risikoanalyse, Lieferantenprüfung, Vorfallsbearbeitung, grundlegende OT-Segmentierung, Mehrfaktor-Authentifizierung auf Engineering-Arbeitsplätzen und Fernwartungszugängen. Der Rest verteilt sich auf die nächsten ein bis zwei Jahre. Das hält unter der Verhältnismäßigkeitsklausel aus Artikel 21 Absatz 1, solange die Staffelung dokumentiert und durch die Leitung gezeichnet ist.

Wie wir das auf der Plattform abbilden

Wir bilden die Anwendbarkeitsprüfung für Anhang II Sektor 5 als einen einzigen Einstieg ab: NACE-Code wählen, Mitarbeiterzahl und Umsatz bestätigen, und Sie landen in einem Arbeitsbereich, in dem die zehn Maßnahmen aus Artikel 21 Absatz 2 und die BSI IND Bausteine für die OT-Ebene bereits angelegt sind. Asset-Inventar, Risikoregister, Lieferantenliste und Vorfallsablauf sitzen auf demselben Datenmodell.

OT-spezifische Nachweise (Netzsegmentierungsdiagramme, SPS-Inventarexporte, Reviews zu Lieferanten-Fernwartung) hängen in derselben Nachweisbibliothek wie die IT-Kontrollen. Sie führen kein separates ISMS für die Fertigungszelle. Die Schulungspflicht der Geschäftsleitung aus §38 BSIG ist als Kursmodul für die Geschäftsführung eingebaut.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Anhang II Nummer 5 (Verarbeitendes Gewerbe / Herstellung) und Artikel 2 Absatz 1 (Anwendungsbereich und Größentest) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Empfehlung 2003/361/EG der Kommission, Anhang Artikel 2 (KMU-Definition)
  • Eurostat NACE Rev. 2 Klassifikation, Abschnitt C Abteilungen 26, 27, 28, 29, 30 und Gruppe 32.5
  • BSI-Gesetz (BSIG), §28 (Anwendungsbereich, wichtige Einrichtungen) und §65 (Bußgeldvorschriften)
  • BSI IT-Grundschutz Kompendium, Bausteine IND.1, IND.2, IND.3 — bsi.bund.de/grundschutz
  • VDMA, Sektorleitfäden zu NIS 2 und OT-Sicherheit — vdma.org
  • ENISA Technical Implementation Guidance zur CIR (EU) 2024/2690, Mapping-Tabelle v1.2 (Stand August 2025)
Anwendbarkeitsprüfung für Ihren Maschinenbau
NACE-Code wählen, Größenschwelle bestätigen, und Sie landen in einem Arbeitsbereich mit den zehn Maßnahmen aus Artikel 21 Absatz 2 und den IND Bausteinen für OT. Kostenlos, Open Source, kein Lock-in.
Anwendbarkeitsprüfung öffnen