Die Konvergenz von Cyber Resilience Act (CRA) und NIS2-Richtlinie revolutioniert die Sicherheitsanforderungen für Operational Technology (OT) in der Industrie. Die NIS2-Richtlinie, die seit Herbst 2024 in Kraft ist, schließt erstmals explizit industrielle Steuerungssysteme ein und betrifft auch den Maschinenbau- und Automotive-Sektor (ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz). Gleichzeitig verpflichtet der CRA Hersteller von OT-Komponenten - Steuerungen, Sensoren, vernetzte Produktionsgeräte - zur Cybersecurity-Zertifizierung und lebenslangen Sicherheitsupdates (mindestens 5 Jahre). Der IEC 62443-Standard, seit Jahren Grundlage für OT-Cybersecurity, wird damit vom freiwilligen Best Practice zum faktisch verpflichtenden Marktstandard.
Für produzierende Unternehmen bedeutet dies einen fundamentalen Umbruch: Traditionelle Entwicklungs-, Produktions-, Beschaffungs- und Serviceprozesse müssen komplett überdacht werden. Security-by-Design-Prinzipien (IEC 62443-4-1) müssen in der Planungsphase integriert werden, nicht mehr nachträglich. Die Herausforderung wird durch IT-OT-Konvergenz verstärkt: Cybersecurity muss nicht nur isoliert für OT-Netze, sondern systemisch über IT UND OT gedacht werden - besonders kritisch in hochgradig vernetzten Branchen wie Pharma, wo Produktionsausfälle durch Cyberangriffe existenzbedrohend sein können. Studien zeigen jedoch: Die deutsche Industrie erfüllt EU-Cybersicherheitsvorgaben derzeit nur teilweise und unterschätzt den Umsetzungsaufwand massiv.
Der Trend zeigt sich konkret in steigender Nachfrage nach OT-Security-Lösungen und Managed Services. Anbieter wie Kontron AIS identifizieren IEC 62443 als einen von sechs Security-Standards, die Maschinenbauunternehmen 2025 kennen müssen. Gleichzeitig entstehen neue Geschäftsmodelle: Manufacturing-as-a-Service (MaaS) integriert Security-Updates in Abo-Modelle. Die parallele Entwicklung föderierter Datenökosysteme wie Manufacturing-X (Bitkom: 77% Bekanntheit, 29% Interesse) schafft zusätzlichen Handlungsdruck, da Datenaustausch nur bei gesicherter OT-Infrastruktur sinnvoll ist.
Ring "act" ist zwingend, da NIS2 bereits gilt und CRA-Meldepflichten ab September 2026 greifen. Unternehmen müssen SOFORT handeln: OT-Asset-Inventarisierung, Risikoanalysen nach IEC 62443, Segmentierung von IT/OT-Netzen, Patch-Management-Prozesse für OT-Systeme, und Incident-Response-Pläne aufbauen. KMU im Maschinenbau sollten jetzt externe Expertise (z.B. it's OWL, regionale Kompetenzzentren) einbinden, da interne OT-Security-Kompetenzen oft fehlen. Wer 2025 nicht startet, riskiert ab 2026/27 Non-Compliance mit erheblichen Bußgeldern und - schlimmer - Produktionsstillstände durch Cyberangriffe.
Quellen: Elektroniknet (2025), SPS-Magazin, Kontron AIS "Six Security Standards" (2025), PwC Austria, it's OWL, Axians "Cyber-Security-Trends 2025"