Verarbeitendes Gewerbe

Im Sektor verarbeitendes Gewerbe stellen Einrichtungen der Industrie Produkte nach NACE-Kategorien her – Medizinprodukte, DV und Elektronik, Maschinenbau, Kraftwagen und sonstige Fahrzeuge. Die Herstellung dieser Produkte muss mit Cybersecurity-Pflichten nach NIS2 geschützt werden.

Pflichten
NIS2-Einrichtungen

Der Sektor wird ab 2024 durch NIS2 mit vielen Einrichtungen neu reguliert. Produzieren Unternehmen Güter der sehr langen NACE-Liste und überschreiten dabei NIS2-Unternehmensgrößen, werden sie zu wichtigen Einrichtungen.

Nr.	Unternehmen	Scope
	Wichtige Einrichtung	Unternehmen (NIS2) ≥50 Mitarbeiter oder >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
	NIS2-Sektordefinition verarbeitendes Gewerbe: Herstellung Medizinprodukte und In-vitro-Diagnostika Herstellung von DV-Geräte, Elektronik und Optik (NACE 26 und 27) Maschinenbau (NACE 28) Herstellung von Kraftwagen und Teilen (NACE 29) Sonstiger Fahrzeugbau (NACE 30: Schiffe, Schienen, Luft/Raumfahrt, Fahrräder)

Regulierte Pflichten

NIS2

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Regierungsentwurf Oktober 2024
Thema	Kritische Anlagen	Einrichtungen
Gesetz	-	NIS2-Umsetzung
Fristen		ab 2025
Scope		Unternehmen
Pflichten		Registrierung Vorfallsmeldungen Sanktionen
Maßnahmen		Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Personal
Nachweise		Stichproben
Regulator		BSI

Hersteller von Rüstungsgütern (ex-UBI 1) könnten sich in NACE C 26, 27 und 30 wiederfinden. Sie werden als eigene Gruppe von UBI mit NIS2 aufgelöst.

Beispiele in der Industrie

Es ist absehbar, dass ab 2024 mit NIS2 sehr viele Unternehmen in Deutschland in den Sektor verarbeitendes Gewerbe fallen, die mehr als 50 Mitarbeiter (oder 10 Mio. EUR Umsatz) haben. Die Liste der relevanten Güter nach NACE ist sehr lang – ein genaues Studium der NACE-Kategorien und eigenen Produkten ist anzuraten. Ein kleiner Auszug (siehe unten):

Autohersteller, LKWs, Zulieferer, Motoren, Getriebe
Karosserien, Anhänger, Busse, Betonmischwagen
Telefone, Kommunikation, Antennen, Funk
Computer, Laptops, Terminals
Navigation, GPS, Thermometer, Detektoren, Radar
Uhren (Armbanduhren!), Messinstrumente
Fahrradhersteller, E-Mountainbikes (E-MTBs) und Komponenten
Medizintechnik, MRT, CT, Ultraschall, Herzschrittmacher
Kameras, Linsen, Optik, Laser
Lampen, Leuchten, Kabel, Installationsmaterial
Elektromotoren, Trafos, Batterien, Ladegeräte
Haushaltsgeräte, Kühlschränke, Kaffeemaschinen
Motoren, Turbinen, Aggregate, Getriebe, Pumpen
Öfen, Brenner, Wärmetauscher, Zentrifugen
Zugmaschinen, Mähmaschinen, Rasenmäher
Bäckereiöfen, Textildruckmaschinen, Buchbindereimaschinen
Schiffe, Boote, Yachten, Ruderboote, Bohrplattformen
Lokomotiven, Wagen, Tender, Sicherungstechnik, Achsen
Flugzeuge, Hubschrauber, Satelliten, ICBMs, Raumstationen
Panzer, Amphibienfahrzeuge, Fahrräder, Dreiräder, Schlitten
und wirklich vieles mehr

Einrichtungen

Durch die NIS2-Umsetzung sind ab 2024 viele Unternehmen als Einrichtungen als ganzes Unternehmen betroffen. Wenn mittlere und Großunternehmen bestimmte Produkte nach NACE produzieren, werden sie zu wichtigen Einrichtungen.

aus NIS2-Umsetzungsgesetz, Anlage 2, Entwurf Mai 2024
Nr.	Produzent von NACE	Kategorien
Verarbeitendes Gewerbe/Herstellung von Waren (Sektor)
5.1	Herstellung Medizinprodukte und In-vitro-Diagnostika
5.1.1		Unternehmen, die Medizinprodukte im Sinne Artikel 2 Nr. 1 Verordnung (EU) 2017/745 herstellen Einrichtungen, die In-vitro-Diagnostika im Sinne Artikel 2 Nr. 2 Verordnung (EU) 2017/746 herstellen Ausnahme: Unternehmen, die kritische Medizinprodukte für Notlagen herstellen (wahrscheinlich KRITIS Gesundheit 4.1.5)
5.2	Herstellung Datenverarbeitung, Elektronik und Optik
5.2.1	NACE C 26	26.1: Elektronische Bauelemente und Leiterplatten 26.2: Datenverarbeitungsgeräte und periphere Geräte 26.3: Geräte und Einrichtungen der Telekommunikationstechnik 26.4: Geräte der Unterhaltungselektronik 26.5: Mess-, Kontroll-, Navigations- u. ä. Instrumente und Vorrichtungen; Uhren 26.6: Bestrahlungs- und Elektrotherapiegeräte und elektromedizinische Geräte 26.7: Optische und fotografische Instrumente und Geräte 26.8: Magnetische und optische Datenträger
5.3	Herstellung von elektrischen Ausrüstungen
5.3.1	NACE C 27	27.1: Elektromotoren, Generatoren, Transformatoren, Elektrizitätsverteilungs- und schalteinrichtungen 27.2: Batterien und Akkumulatoren 27.3: Kabel und elektrisches Installationsmaterial 27.4: Elektrische Lampen und Leuchten 27.5: Haushaltsgeräte 27.9: Sonstige elektrische Ausrüstungen und Geräte anderweitig nicht genannt
5.4	Maschinenbau
5.4.1	NACE C 28	28.1: Nicht wirtschaftszweigspezifische Maschinen 28.2: Sonstige nicht wirtschaftszweigspezifische Maschinen 28.3: Land- und forstwirtschaftliche Maschinen 28.4: Werkzeugmaschinen 28.9: Maschinen für sonstige bestimmte Wirtschaftszweige
5.5	Herstellung von Kraftwagen und Teilen
5.5.1	NACE C 29	29.1: Kraftwagen und Kraftwagenmotoren 29.2: Karosserien, Aufbauten und Anhänger 29.3: Teile und Zubehör für Kraftwagen
5.6	Sonstiger Fahrzeugbau
5.6.1	NACE C 30	30.1: Schiff- und Bootsbau 30.2: Schienenfahrzeugbau 30.3: Luft- und Raumfahrzeugbau 30.4: Militärische Kampffahrzeuge 30.5: Fahrzeuge anderweitig nicht genannt Fahrräder, Kleinkrafträder, Rollstühle usw. (!)

Weitere Informationen

Quellen

Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
NACE Rev. 2, Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft, ISSN 1977-0383, Eurostat 2008
NACE Category C, Statistical Classification of Economic Activities in the European Community, Rev. 2 (2008), Eurostat