Branche · Industrielle Fertigung & Maschinenbau
DecisionOS für Industrie und Maschinenbau
Industriebetriebe stehen 2026 unter dreifachem Regulierungsdruck: NIS2 (verarbeitendes Gewerbe als wichtige Einrichtung), Cyber Resilience Act (CRA, ab 2027 für Produkte mit digitalen Elementen) und Branchenstandards wie TISAX im Automotive-Zulauf und IEC 62443 für Industrial Control Systems. DecisionOS strukturiert die zentralen IT-/OT-Entscheidungen so, dass das Memo gleichzeitig BSI, Auditoren und Aufsichtsräte bedient.
TL;DR
Verarbeitendes Gewerbe ist NIS2-wichtige Einrichtung. OT-Security und Supply-Chain-Sorgfalt werden Pflicht. Decision Memo als Audit-Standard.
Regulatorik im Überblick
Regulatorischer Kontext
NIS2 zählt das verarbeitende Gewerbe in Anhang II zu den 'wichtigen Einrichtungen': Hersteller von Medizinprodukten, Computern und Elektronik, elektrischen Ausrüstungen, Maschinen, Kraftfahrzeugen, sonstigen Fahrzeugen. Schwellenwert: ab 50 Mitarbeitenden oder 10 Mio EUR Umsatz.
Cyber Resilience Act (Verordnung 2024/2847) tritt 11. Dezember 2027 voll in Kraft. Pflichten für Hersteller, Importeure und Vertreiber von Produkten mit digitalen Elementen: Risikoanalyse, security-by-design, SBOM, Schwachstellen-Management, Update-Pflicht, Konformitätsbewertung, CE-Kennzeichnung.
TISAX (Trusted Information Security Assessment Exchange) ist Pflicht für Zulieferer der Automobilindustrie. ISA-Katalog 6.x fokussiert Informationssicherheit, Prototypenschutz, Datenschutz, Konnektivität.
IEC 62443 ist der internationale OT-Sicherheitsstandard. Maturity-Level 1-4. Wird zunehmend von Versicherern und OEM-Kunden verlangt.
Typische Entscheidungen
Dealbreaker (nicht verhandelbar)
OT-Sichtbarkeit und IEC-62443-Fitness
Reine IT-Tools sehen weder SPS noch HMI. OT-Discovery muss nativ oder über Partner integriert sein.
Lieferketten-Sorgfalt nach NIS2 Art. 21 Buchst. d
Maschinenbau hat lange Sub-Lieferketten. SBOM und Anbieter-Audits sind Pflicht.
Air-Gap- und Immutability-Backup
Ransomware in OT legt Werke für Wochen still. Recovery-Tests pflicht.
EU-Datenresidenz mit BSI-C5
Maschinen-Daten und Konstruktionsdaten sind Kronjuwelen. CLOUD-Act-Exposition ausschließen.
Typische Entscheidungen
OT-Sicherheits-Stack: passive Network Monitoring (Claroty, Nozomi, Dragos), Asset Inventory, Schwachstellen-Management auf SPS-Ebene.
IT-OT-Konvergenz: SOC mit IT- und OT-Telemetrie, kombinierte Eskalationen.
Lieferanten-Prüfung: TISAX-Label-Anforderung an alle Zulieferer mit Datenzugriff. SBOM-Pflicht für Software-Komponenten in eigenen Produkten.
ERP-Modernisierung: SAP S/4HANA Migration mit OT-Anbindung (MES, Werker-Apps).
Wo DecisionOS einspeist
Das Memo mappt direkt: Kriterien auf NIS2 Art. 21, Dealbreaker auf TISAX-ISA und CRA-Anforderungen, Stakeholder-Alignment über CIO, CISO, Werkleitung, Produktions-IT, Lieferantenmanagement. Versionierung beim Anbieter-Wechsel.
Hosting und Datenhoheit
Produktions- und Konstruktionsdaten sind Geschäftsgeheimnis-Kernsubstanz. DecisionOS wird in Deutschland bei Hetzner gehostet, EU-only Datenfluss, AVV nach Art. 28 DSGVO. Für regulierte OT-Workloads geeignet.
FAQ
Sind alle Maschinenbau-Unternehmen NIS2-betroffen?
Ab 50 Mitarbeitenden oder 10 Mio EUR Umsatz in einem der Anhang-II-Sektoren ja. Zusätzlich: jeder Zulieferer einer wesentlichen oder wichtigen Einrichtung kann über Vertragsklauseln zur NIS2-Hygiene gezwungen werden.
Wie wirkt sich der Cyber Resilience Act auf den Maschinenbau aus?
Maschinen mit digitalen Elementen (also fast alle modernen) fallen in den CRA-Geltungsbereich. Pflichten: security-by-design, SBOM, Schwachstellen-Management, Update-Pflicht über den Produktlebenszyklus, EU-Datenbank-Registrierung. Wer Produkte ohne CE-Konformität ab Dezember 2027 in Verkehr bringt, riskiert Marktverbote und Bußgelder bis 15 Mio EUR oder 2,5 Prozent Jahresumsatz.
Wie passen TISAX und ISO 27001 zusammen?
ISO 27001 ist die generische Basis. TISAX ist branchenspezifisch (Automotive) mit zusätzlichen Anforderungen an Prototypenschutz und Konnektivität. Wer ISO 27001 zertifiziert ist, hat einen erheblichen Vorlauf für TISAX, muss aber die zusätzlichen ISA-Module separat erfüllen.
Passende Entscheidungs-Guides
Compliance
How to reach NIS2 readiness as a mid-market or enterprise operator
Security
How to choose an EDR or XDR platform in 2026
Security
SIEM platform and SOC build: a structured decision guide
Backup, Recovery und Disaster Recovery
Backup- und DR-Lösung auswählen: strukturiert unter NIS2, DORA und BAIT
ERP-Modernisierung
ERP auswählen: SAP S/4HANA, Microsoft Dynamics, Oracle, Infor, Open-Source
Verwandte Vergleiche
DecisionOS vs LeanIX
LeanIX tracks your portfolio. DecisionOS decides what changes.
DecisionOS vs OneTrust
OneTrust manages privacy and risk continuously. DecisionOS produces the decision inside.
DecisionOS vs. ChatGPT, Claude, Gemini & Co. für strukturierte Enterprise-Entscheidungen
Generische LLMs erforschen. DecisionOS entscheidet und dokumentiert auditfähig.
Relevante Branchen
Banken & Finanzdienstleister
Banken entscheiden unter DORA, MaRisk, BAIT gleichzeitig. DecisionOS liefert das Memo, das alle drei Prüfer akzeptieren.
Versicherungen
Versicherer entscheiden unter DORA + Solvency II + VAIT gleichzeitig. Ein Memo-Format für alle drei.
Öffentlicher Sektor
Öffentlicher Sektor: NIS2 + UP KRITIS + BSI-Grundschutz + C5 gleichzeitig. Ein Memo-Format, das alle Prüfer bedient.
Gesundheitswesen
Gesundheitswesen: KRITIS + NIS2 + B3S + DSGVO Art. 9. DecisionOS macht das Memo prüfbar.
Energieversorger
Energieversorger: KRITIS + IT-SiG 2.0 + NIS2 + branchenspezifische Sicherheit. Memo muss vor BSI und BNetzA bestehen.