NIS-2-Anforderungen in der Automobilindustrie
Die NIS-2-Anforderungen gelten. Seit dem 6. Dezember 2025 ist das NIS2UmsuCG laut IHK deutsches Recht. Die Frist zur Registrierung beim BSI endete am 6. März 2026. Der Gesetzesbegründung zufolge sind rund 29.850 Unternehmen in Deutschland direkt betroffen. Davon gelten 8.250 als besonders wichtige Einrichtungen und 21.600 als wichtige Einrichtungen. Wer noch nicht gehandelt hat, ist spät dran.
Die Automobilindustrie trifft es hart. Als Teil des Sektors „Verarbeitendes Gewerbe, Herstellung von Kraftwagen und Kraftwagenteilen“ fallen zahlreiche Zulieferer ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz unter die Regulierung. Gleichzeitig verlangen OEMs weiterhin TISAX-Nachweise für die gesamte Lieferkette. Automotive-Zulieferer stehen damit vor einer doppelten Herausforderung. Sie müssen die staatlichen Vorgaben zu Risikomanagement, Meldepflichten und Registrierung erfüllen und parallel die TISAX-Kriterien ihrer Auftraggeber bedienen.
Beide Regelwerke überlappen sich erheblich. Eine Analyse der ENX Association vom April 2025 bestätigt, dass TISAX-konforme Unternehmen alle relevanten technisch-organisatorischen NIS-2-Anforderungen adressieren. Doch TISAX deckt weder die BSI-Registrierung noch die nationalen Meldepflichten ab. Genau hier entsteht konkreter Handlungsbedarf.
Dieser Leitfaden zeigt Ihnen:
- Welche Maßnahmen nach § 30 BSIG für Ihr Unternehmen gelten.
- Wo TISAX bereits abdeckt und wo Lücken bestehen.
- Welche Fristen, Kosten und Sanktionen Sie kennen müssen.
- Wie Sie die Umsetzung strukturieren, ohne redundante Audits und Doppelarbeit.
Ob Sie direkt unter die Regulierung fallen oder als KMU über die Lieferkette betroffen sind: Die folgenden Abschnitte liefern Ihnen die Fakten und eine konkrete Roadmap für die Umsetzung.
Inhaltsverzeichnis
NIS 2 und die Automobilindustrie: Wer ist betroffen?
Die Automobilindustrie gehört seit dem 6. Dezember 2025 zu den regulierten Sektoren in Deutschland. Das BSI ordnet die Branche im Anhang II der Richtlinie als sonstigen kritischen Sektor ein. Konkret fällt sie unter den Teilsektor Herstellung von Kraftwagen und Kraftwagenteilen. Betroffen sind OEMs und Zulieferer gleichermaßen.
Insgesamt definiert das Gesetz 18 Sektoren in zwei Kategorien. Es gibt 11 Sektoren mit hoher Kritikalität in Anhang I und 7 sonstige kritische Sektoren in Anhang II. Die Automobilindustrie fällt in die zweite Gruppe.
Size-Cap-Regel: Ab wann greift die Pflicht?
Ob ein Unternehmen unter die Regulierung fällt, bestimmt die sogenannte Size-Cap-Regel. Laut einem IHK-Leitfaden gelten zwei Schwellenwerte:
- Mindestens 50 Mitarbeitende
- Mindestens 10 Millionen Euro Jahresumsatz
Wer mindestens einen davon in einem der 18 Sektoren erreicht, ist reguliert. Kleinst- und Kleinunternehmen unterhalb beider Schwellen bleiben ausgenommen.
Für die Betroffenheitsprüfung zählen konsolidierte Gruppenwerte und nicht die isolierten Zahlen einer einzelnen GmbH. Eine Tochtergesellschaft mit 30 Mitarbeitenden kann meldepflichtig sein, wenn die Unternehmensgruppe insgesamt die Schwellenwerte überschreitet. Diesen Punkt unterschätzen viele Zulieferer in mehrstufigen Holdingstrukturen.
Einstufung von Automotive-Unternehmen
Das Gesetz teilt regulierte Einrichtungen in besonders wichtige Einrichtungen (bwE) und wichtige Einrichtungen (wE) ein. Für die Automobilindustrie gilt eine klare Zuordnung. Als Anhang-II-Sektor fallen Zulieferer und OEMs in die Kategorie wE. Auch ein Konzern mit 5000 Mitarbeitenden bleibt wE, solange er nicht zusätzlich einem Anhang-I-Sektor zuzuordnen ist.
| Kriterium | Besonders wichtige Einrichtung (bwE) | Wichtige Einrichtung (wE) |
|---|---|---|
| Sektor | Anhang I (hohe Kritikalität) | Anhang I oder Anhang II |
| Mindestgröße | ≥ 250 Mitarbeitende oder ≥ 50 Mio. EUR Umsatz | ≥ 50 Mitarbeitende oder ≥ 10 Mio. EUR Umsatz |
| Aufsicht durch BSI | Proaktiv (regelmäßige Prüfungen) | Reaktiv (anlassbezogen) |
| Automotive-Zuordnung | Nur bei zusätzlicher Anhang-I-Tätigkeit | Regelfall für Zulieferer und OEMs |
Praxis-Tipp: Prüfen Sie die Betroffenheit anhand der gesamten Unternehmensgruppe. Ziehen Sie Mitarbeiterzahl und Umsatz heran. Ein Schwellenwert genügt. Bei Unsicherheit bietet die BSI-Betroffenheitsprüfung eine erste Orientierung.
TISAX und NIS 2 im Vergleich: Gemeinsamkeiten und Unterschiede
Automobilzulieferer stehen vor einer regulatorischen Doppelbelastung. OEMs fordern TISAX, der Gesetzgeber verlangt NIS-2-Konformität. Beide Regelwerke zielen auf Informationssicherheit ab. Sie unterscheiden sich jedoch im Rechtscharakter, in der Durchsetzung und in den Pflichten.
| Kriterium | TISAX | NIS 2 (NIS2UmsuCG) |
|---|---|---|
| Rechtsgrundlage | Privatrechtlich (VDA/ENX-Standard) | Gesetzlich (NIS2UmsuCG / § 30 BSIG) |
| Geltungsbereich | Unternehmen in der Automotive-Lieferkette | Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz |
| Zertifizierung/Nachweis | TISAX-Label über ENX-akkreditierte Prüfdienstleister | Registrierung beim BSI; ggf. Nachweis durch Audits |
| Meldepflichten | Keine gesetzliche Meldepflicht | Dreistufig: 24 h, 72 h, 1 Monat |
| Behördliche Aufsicht | Keine (privatrechtlich organisiert) | BSI als Aufsichtsbehörde |
Was TISAX bereits abdeckt
Die ENX Association hat im April 2025 eine strukturierte Analyse veröffentlicht: „Abdeckung NIS-2 durch TISAX“. Das Ergebnis: Der VDA ISA 6.0 adressiert alle relevanten technisch-organisatorischen NIS-2-Anforderungen und geht in mehreren Bereichen über die gesetzlichen Mindestanforderungen hinaus. Wer ein aktuelles TISAX-Label besitzt, startet nicht bei null – sondern mit einem erheblichen Vorsprung.
Der VDA ISA 6.0 ist seit dem 1. April 2024 für alle neuen Assessments verbindlich. Er enthält erweiterte Kriterien für Cloud-Sicherheit, Software-Entwicklung und Lieferkettensicherheit. Die folgende Tabelle zeigt die Abdeckung im Detail:
| § 30 BSIG Maßnahme | TISAX-Abdeckung (VDA ISA 6.0) | Status |
|---|---|---|
| 1. Risikoanalyse und Sicherheitskonzepte | Informationssicherheits-Risikomanagement | ✓ Abgedeckt |
| 2. Bewältigung von Sicherheitsvorfällen | Incident Management | ✓ Abgedeckt |
| 3. Business Continuity | Business Continuity Management | ✓ Abgedeckt |
| 4. Sicherheit der Lieferkette | Lieferantenmanagement (seit ISA 6.0 erweitert) | ✓ Abgedeckt |
| 5. Erwerb, Entwicklung, Wartung | Software-Entwicklung, Änderungsmanagement | ✓ Abgedeckt |
| 6. Bewertung der Wirksamkeit | Regelmäßige TISAX-Assessments | ✓ Abgedeckt |
| 7. Cyberhygiene und Schulungen | Awareness und Schulungen | ✓ Abgedeckt |
| 8. Kryptografie | Kryptografie und Schlüsselmanagement | ✓ Abgedeckt |
| 9. Personalsicherheit und Zugriffskontrolle | Zugriffskontrolle, Personalsicherheit | ✓ Abgedeckt |
| 10. MFA und sichere Kommunikation | Authentifizierung, Netzwerksicherheit | ✓ Abgedeckt |
| BSI-Registrierung | — | ✗ Nationale Pflicht |
| Dreistufige Meldepflicht (24h/72h/1 Monat) | — | ✗ Nationale Pflicht |
| Persönliche Haftung der Geschäftsleitung | — | ✗ Nationale Pflicht |
Quelle: ENX Association — Abdeckung NIS-2 durch TISAX, Version 1, April 2025
Drei kritische Lücken ohne TISAX-Abdeckung
Die Mapping-Tabelle macht es deutlich: Drei nationale Pflichten bleiben offen.
1. BSI-Registrierung: Betroffene Unternehmen mussten sich bis zum 6. März 2026 über das BSI-Meldeportal registrieren. TISAX kennt keine vergleichbare Pflicht.
2. Dreistufige Meldepflicht: Erhebliche Sicherheitsvorfälle erfordern eine Erstmeldung an das BSI innerhalb von 24 Stunden, ein Update nach 72 Stunden und einen Abschlussbericht nach einem Monat. Diese Meldekette existiert im TISAX-Rahmenwerk nicht.
3. Persönliche Haftung der Geschäftsleitung: Geschäftsleiter müssen die Maßnahmen billigen, deren Umsetzung überwachen und regelmäßig an Cybersicherheitsschulungen teilnehmen. Bei Verstößen haften sie persönlich.
VDA-Position zur Vermeidung von Doppelaudits
Bereits 2021 forderte der VDA in einem Positionspapier die Anerkennung bestehender Branchenstandards wie TISAX als gleichwertigen Nachweis. Unternehmen mit hohen Sicherheitsstandards sollen nicht durch redundante Audits zusätzlich belastet werden. Das NIS2UmsuCG ermöglicht dem BSI, anerkannte Zertifizierungen als Nachweis zu akzeptieren. Die formalen Pflichten bleiben jedoch unabhängig davon bestehen.
Praxis-Tipp: Nutzen Sie die Mapping-Tabelle oben als Ausgangspunkt für Ihre interne Gap-Analyse. Gleichen Sie Ihre bestehenden TISAX-Maßnahmen mit den drei offenen Pflichten ab und priorisieren Sie die Umsetzung.
Die 10 Risikomanagementmaßnahmen nach § 30 BSIG
§ 30 BSIG bildet das Herzstück der operativen Umsetzung. Er definiert zehn Mindestmaßnahmen für jede betroffene Einrichtung. Das Gesetz fordert keine Einheitslösung. Es gilt ein risikobasierter Ansatz. Dieser berücksichtigt Unternehmensgröße, Eintrittswahrscheinlichkeit von Vorfällen, gesellschaftliche Auswirkungen und Umsetzungskosten laut BSI.
Die zehn Mindestmaßnahmen im Überblick
- Risikoanalyse und Sicherheitskonzepte: Zulieferer müssen ihre IT-Landschaft systematisch analysieren und daraus ein dokumentiertes Sicherheitskonzept ableiten. In der Automobilindustrie betrifft das neben der klassischen IT auch vernetzte Produktionsanlagen (OT) und Entwicklungsumgebungen für Steuergeräte-Software.
- Bewältigung von Sicherheitsvorfällen: Klare Prozesse für Erkennung, Analyse und Reaktion auf Cybervorfälle. Bei Just-in-Time-Fertigung zählt jede Stunde – ein Ransomware-Angriff kann innerhalb weniger Stunden zu Bandstillständen beim OEM führen.
- Business Continuity und Krisenmanagement: Notfallpläne müssen sicherstellen, dass die Produktion nach einem Vorfall wieder anläuft. Gerade bei Just-in-Sequence-Lieferungen reichen kurze Ausfälle, um die gesamte Montagelinie beim Kunden zu stoppen.
- Sicherheit der Lieferkette: Betroffene Unternehmen müssen die Cybersicherheit ihrer unmittelbaren Lieferanten vertraglich absichern. Details dazu im folgenden Abschnitt.
- Sicherheit bei Erwerb, Entwicklung und Wartung: Sicherheitsanforderungen müssen in Beschaffungsprozesse und Softwareentwicklung einfließen. Für Zulieferer mit eigener ECU- oder Embedded-Software-Entwicklung bedeutet das Security-by-Design nach Automotive SPICE oder ISO/SAE 21434.
- Bewertung der Wirksamkeit: Zulieferer brauchen regelmäßige Audits und Tests, um nachzuweisen, dass ihr Schutz funktioniert. Penetrationstests auf produktionsnahe Systeme und regelmäßige Notfallübungen gehören dazu.
- Cyberhygiene und Schulungen: Alle Mitarbeitenden sollen regelmäßige Schulungen erhalten – auch Werker in der Produktion, die zunehmend mit vernetzten Maschinen und Scannern arbeiten. Die Geschäftsleitung muss selbst regelmäßig an Cybersicherheitsschulungen teilnehmen.
- Kryptografie und Verschlüsselung: Sensible Daten müssen bei Übertragung und Speicherung verschlüsselt werden. In der Automobilbranche betrifft das vor allem CAD-Konstruktionsdaten, Prototypen-Informationen und den elektronischen Datenaustausch mit OEMs.
- Personalsicherheit und Zugriffskontrolle: Rollenbasierte Zugriffsrechte und definierte Prozesse für Ein- und Austritte von Mitarbeitenden. Bei Zulieferern mit hoher Zeitarbeitnehmer-Fluktuation sind ein schnelles, zuverlässiges Onboarding und Offboarding besonders kritisch.
- Multi-Faktor-Authentifizierung und sichere Kommunikation: MFA wird zum Standard für Remote-Zugänge und administrative Systeme. Für VPN-Zugänge zu Produktionsnetzwerken und OEM-Portalen ist MFA ein Mindeststandard.
Verhältnismäßigkeit als Leitprinzip
Das BSI betont explizit, dass die Maßnahmen verhältnismäßig sein müssen. Ein mittelständischer Zulieferer für Bremsleitungen muss nicht dieselbe Infrastruktur vorhalten wie ein Hersteller autonomer Fahrsysteme.
Konkretisierung durch EU-Durchführungsverordnung
Operative Details liefert die EU-Durchführungsverordnung 2024/2690. Sie definiert konkrete Anforderungen an Risikobewertungsmethoden, Vorfallbehandlung und Sicherheitsarchitekturen. Für Automobilzulieferer mit einem ISMS nach ISO 27001 oder TISAX bietet die Verordnung eine klare Orientierung.
Lieferkettensicherheit: Anforderungen an die Automotive-Supply-Chain
Die Automotive-Supply-Chain verbindet hunderte Zulieferer über mehrere Stufen. Ein kompromittierter Lieferant kann die gesamte Produktion lahmlegen. Deshalb greift § 30 Abs. 2 Nr. 4 BSIG über die eigenen Unternehmensgrenzen hinaus. Regulierte Unternehmen müssen die Cybersicherheit ihrer unmittelbaren Lieferanten und Dienstleister vertraglich absichern.
Der C-SCRM-Ansatz des BSI
Das BSI hat mit dem C-SCRM-Ansatz ein konkretes Framework geschaffen:
- Identifikation kritischer Lieferanten: Klären Sie, welche Zulieferer Zugriff auf Ihre IT-Systeme oder Produktionsdaten haben.
- Risikobewertung: Bewerten Sie das Risiko anhand von Zugriffstiefe und Abhängigkeitsgrad.
- Vertragliche Absicherung: Verträge müssen Sicherheitsanforderungen, Audit-Rechte und Nachweispflichten enthalten.
- Kontinuierliches Monitoring: Zertifikats-Tracking und regelmäßige Reviews sichern das Schutzniveau dauerhaft ab.
- Incident Response in der Lieferkette: Definieren Sie Eskalationswege für Sicherheitsvorfälle bei Lieferanten.
Was vertraglich verankert sein muss
Drei Kernelemente gehören in jeden Lieferantenvertrag:
- Sicherheitsanforderungen: Konkrete technische Vorgaben wie Verschlüsselung oder Patch-Management-Zyklen.
- Audit-Rechte: Sie müssen sich vertraglich vorbehalten, die Einhaltung der Vorgaben zu überprüfen.
- Nachweispflichten: Lieferanten belegen regelmäßig, dass sie die Anforderungen erfüllen. Anerkannte Formate sind das TISAX-Label oder ein ISO-27001-Zertifikat.
Praxis-Tipp: Behandeln Sie die Vertragsanpassung als eigenständiges Teilprojekt. Erstellen Sie Musterklauseln, die sich auf alle Lieferantenbeziehungen skalieren lassen.
NIS 2 und KMU: Wenn die Lieferkette Cybersicherheit erzwingt
Unternehmen unter 50 Mitarbeitenden und unter 10 Millionen Euro Jahresumsatz fallen nicht direkt unter das Gesetz. Diese formale Ausnahme schützt jedoch nicht vor den Realitäten der Automotive-Lieferkette. Regulierte OEMs und Tier-1-Zulieferer geben ihre Pflichten vertraglich weiter.
Der Kaskadeneffekt erreicht Kleinunternehmen
Ein OEM stuft seine Lieferanten nach Kritikalität ein, fordert den Nachweis grundlegender Cybersicherheitsmaßnahmen und behält sich Prüfrechte vor. Wer diese Anforderungen nicht erfüllt, riskiert den Auftrag.
Eine Kurzstudie des IW Köln zu den Regulierungen NIS-2, CRA und KI-VO bestätigt, dass KMU erheblichen Nachholbedarf bei der Umsetzung haben. Viele unterschätzen den Aufwand.
Drei pragmatische Einstiegswege für KMU
KMU brauchen keinen vollständigen ISMS-Aufbau als ersten Schritt. Es gibt abgestufte Optionen:
- a) CyberRisikoCheck nach DIN SPEC 27076: Ein standardisierter Check, der den aktuellen Sicherheitsstatus erfasst und priorisierte Handlungsempfehlungen liefert.
- b) Orientierung am BSI-Grundschutz-Profil: Der BSI-Grundschutz bietet skalierbare Profile für kleinere Organisationen.
- c) TISAX-Assessment als Automotive-Nachweis: Ein TISAX-Label deckt den Großteil der technisch-organisatorischen Anforderungen ab. Für KMU mit ausschließlich Automotive-Kunden ist dieser Weg oft der effizienteste.
Sie müssen nachweisen, dass Cybersicherheit systematisch gesteuert wird. Dies geschieht proportional zu Ihrer Rolle in der Lieferkette.
Meldepflichten, Registrierung und Sanktionen
Neben den technisch-organisatorischen Anforderungen bringt das Gesetz drei formale Pflichten mit. Diese erfordern sofortiges Handeln. Wer hier die Fristen versäumt, riskiert Bußgelder.
Dreistufige Meldepflicht bei Sicherheitsvorfällen
Betroffene Unternehmen müssen erhebliche Sicherheitsvorfälle dem BSI in drei Stufen melden.
- 24 Stunden: Erstmeldung nach Kenntnis des Vorfalls.
- 72 Stunden: Aktualisierung mit erster Bewertung und ergriffenen Gegenmaßnahmen.
- 1 Monat: Detaillierter Abschlussbericht.
BSI-Registrierung über MUK
Das BSI hat sein Melde- und Registrierungsportal am 6. Januar 2026 freigeschaltet. Die Registrierung läuft über das ELSTER-basierte Unternehmenskonto (MUK). Die Frist endete am 6. März 2026. Unternehmen, die diese Frist verpasst haben, müssen die Registrierung unverzüglich nachholen.
Sanktionen und Geschäftsführerhaftung
Das NIS2UmsuCG sieht einen gestaffelten Bußgeldrahmen vor. Für besonders wichtige Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Grenze bei 7 Millionen Euro oder 1,4 Prozent.
Noch schwerer wiegt die persönliche Haftung der Geschäftsleitung. Diese muss die Maßnahmen aktiv genehmigen, deren Umsetzung kontrollieren und an regelmäßigen Cybersicherheitsschulungen teilnehmen. Diese Pflichten sind nicht delegierbar.
Praxis-Tipp: Dokumentieren Sie die Genehmigung der Maßnahmen durch die Geschäftsleitung schriftlich. Ein Vorstandsbeschluss oder ein Protokoll der Geschäftsführersitzung dient im Prüffall als Beleg.
Kosten der NIS-2-Umsetzung: Womit Unternehmen rechnen müssen
Die OpenKRITIS-Kostenanalyse schlüsselt den Erfüllungsaufwand laut Gesetzesbegründung detailliert auf. Für die deutsche Wirtschaft fallen circa 2,2 Milliarden Euro einmalige Umstellungskosten an. Hinzu kommen circa 2,3 Milliarden Euro jährliche laufende Kosten.
Für kleine betroffene Unternehmen liegen die jährlichen Kosten für ein konformes ISMS bei 20.000 bis 40.000 Euro. Bei größeren Einrichtungen mit komplexeren IT-Landschaften bewegen sich die Kosten im Bereich von mehreren hunderttausend Euro.
Kostenvorteil durch TISAX oder ISO 27001
Für Automobilzulieferer mit bestehendem TISAX-Label oder einer ISO-27001-Zertifizierung fällt die Rechnung günstiger aus. Der Großteil der technisch-organisatorischen Maßnahmen ist in diesen Unternehmen bereits implementiert.
Der verbleibende Zusatzaufwand konzentriert sich auf die Registrierung beim BSI, die Einrichtung der Meldeprozesse und die Governance-Anpassungen. Für TISAX-zertifizierte Unternehmen liegt der zusätzliche Jahresaufwand daher eher im unteren fünfstelligen Bereich.
Umsetzungs-Roadmap: Von TISAX zur NIS-2-Konformität
Der Weg zur Konformität hängt vom aktuellen Stand Ihres Unternehmens ab. TISAX-zertifizierte Betriebe starten mit einem klaren Vorsprung. Unternehmen ohne ISMS brauchen einen strukturierten Aufbauplan.
Für Unternehmen mit bestehendem TISAX-Label
Die ENX-Analyse bestätigt: Ein aktuelles TISAX-Label deckt sämtliche technisch-organisatorischen NIS-2-Anforderungen ab. Der verbleibende Gap beschränkt sich auf die drei nationalen Pflichten — Registrierung, Meldekette und Geschäftsführer-Governance (siehe Mapping-Tabelle im TISAX-Vergleich). Ein realistischer Zeitrahmen für den Gap-Close liegt bei 2 bis 4 Monaten.
Für Unternehmen ohne bestehendes ISMS
Ohne vorhandene Strukturen benötigen Sie einen systematischen Aufbau in fünf Schritten:
- Betroffenheitsprüfung: Klären Sie, ob Ihr Unternehmen unter die Size-Cap-Regel fällt.
- Gap-Analyse: Gleichen Sie Ihren Ist-Zustand mit den 10 Mindestmaßnahmen ab.
- ISMS-Aufbau: Etablieren Sie ein konformes Risikomanagement.
- Melde- und Registrierungsprozesse: Registrieren Sie sich im BSI-Portal und richten Sie interne Abläufe für die Erstmeldung ein.
- Wirksamkeitsprüfung: Planen Sie interne Audits und passen Sie Ihr ISMS laufend an.
Ein realistischer Zeitrahmen für diesen Aufbau liegt bei 6 bis 12 Monaten.
FAQ: Häufige Fragen zu NIS-2-Anforderungen in der Automobilindustrie
Ja. Voraussetzung ist, dass das Unternehmen unter einen der 18 definierten Sektoren fällt und die Size-Cap-Schwelle erreicht. Auch unterhalb dieser Schwelle können regulierte Auftraggeber vertragliche Cybersicherheits-Nachweise verlangen. Der VDA ISA 6.0 enthält erweiterte Prüfkriterien speziell für Software-Entwicklung.
Nein, aber es deckt einen Großteil der technisch-organisatorischen Maßnahmen ab. Was bleibt, sind die BSI-Registrierung, die dreistufige Meldepflicht, die persönliche Governance-Verantwortung der Geschäftsführung und eine spezifische Lieferketten-Dokumentation gemäß § 30 BSIG.
Der regulierte Auftraggeber muss dieses Risiko im Rahmen seines Cyber Supply Chain Risk Managements bewerten. Mögliche Konsequenzen reichen von Vertragsanpassungen über Lieferanten-Audits bis hin zum Lieferantenwechsel.
Die Registrierung erfolgt pro juristischer Einheit. Bei Konzernstrukturen mit mehreren GmbHs muss jede eigenständige juristische Person separat prüfen, ob sie die Size-Cap-Schwelle erreicht.
Fazit: NIS 2 in der Automobilindustrie erfordert sofortiges Handeln
Das Gesetz ist in Kraft. Die Frist für die BSI-Registrierung ist am 6. März 2026 abgelaufen. Unternehmen, die diesen Schritt noch nicht vollzogen haben, befinden sich im Verzug.
Für Automotive-Zulieferer mit bestehendem TISAX-Label sind die technisch-organisatorischen Maßnahmen vollständig abgedeckt. Der verbleibende Handlungsbedarf beschränkt sich auf die drei nationalen Pflichten, die TISAX nicht adressiert. Diese Bausteine erfordern neue Prozesse, sind aber in 2 bis 4 Monaten umsetzbar.
Gleichzeitig spüren auch Zulieferer unterhalb der Size-Cap-Schwelle den Druck. OEMs und Tier-1-Unternehmen reichen ihre Pflichten auf die Lieferkette durch. Cybersicherheit wird zur harten Voraussetzung für Aufträge.
Wir liefern Ihnen eine detaillierte Gap-Analyse mit priorisierten Handlungsfeldern und konkreten Fristen. Buchen Sie ein unverbindliches Erstgespräch. Wir zeigen Ihnen, welche Anforderungen Sie bereits erfüllen und wo Sie nachbessern müssen.
„Seit 1996 berate ich verschiedenste Kunden – von KMU bis zu Großkonzernen. Meine Beratungsschwerpunkte liegen im Bereich der Informationssicherheit und der Managementsysteme. Neben den Projekteinsätzen in unterschiedlichen Branchen bin ich als Dozent für verschiedene Bildungsträger tätig. Meine Devise ist einfache, praktikable und wirtschaftliche Lösungen für unsere Kund*innen zu finden.“