NIS-2 in der Chemieindustrie — IT-Sicherheit für Chemie- und Pharmaunternehmen in Sachsen

Die Chemieindustrie unter NIS-2: Ein hochregulierter Sektor mit neuen Cybersicherheitspflichten

Die NIS-2-Richtlinie (EU 2022/2555) erfasst den Sektor „Herstellung, Produktion und Vertrieb von Chemikalien“ in Anlage 2 als wichtige Einrichtung. Für die sächsische Chemieindustrie — von Spezialchemie über Pharma bis zu Grundstoffchemie — bedeutet dies weitreichende neue Pflichten im Bereich der Informationssicherheit. Unternehmen mit mindestens 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz fallen automatisch in den Geltungsbereich der NIS-2-Anforderungen.

Die Chemieindustrie ist dabei ein Sektor, der bereits heute stark reguliert ist — durch die Störfallverordnung (12. BImSchV), die REACH-Verordnung, die CLP-Verordnung und zahlreiche weitere Vorschriften. NIS-2 fügt eine neue Dimension hinzu: die systematische Absicherung der digitalen Infrastruktur, die für den sicheren Betrieb chemischer Anlagen unverzichtbar ist.

Sächsische Chemieindustrie: Standorte und Betroffenheit

Sachsen und Mitteldeutschland bilden eines der traditionsreichsten und heute wieder dynamischsten Chemiereviere Europas. Die NIS-2-Betroffenheit ist entsprechend breit:

• Wacker Chemie AG Nünchritz: Eines der größten Chemiewerke Sachsens, spezialisiert auf Silikonprodukte und Polysilizium. Der Standort umfasst hochautomatisierte Produktionsanlagen mit umfangreicher Prozessleittechnik.
• DOW in Schkopau/Böhlen: Der mitteldeutsche Chemiestandort mit Polyurethan- und Kunststoffproduktion betreibt komplexe IT/OT-Infrastrukturen, die unter NIS-2 abgesichert werden müssen.
• Chemieparks in Mitteldeutschland: Standorte wie Leuna, Bitterfeld-Wolfen und Schwarzheide sind Multi-Tenant-Chemieparks, in denen zahlreiche Unternehmen vernetzt operieren — ein besonderes Risiko für Supply-Chain-Angriffe.
• Pharmaindustrie in Dresden: Die Landeshauptstadt hat sich zu einem bedeutenden Pharmastandort entwickelt. Unternehmen wie die GlaxoSmithKline Biologicals und zahlreiche Biotech-Firmen verbinden pharmazeutische Produktion mit hohen Anforderungen an Datenintegrität und GxP-Compliance.
• Spezialchemie und Mittelstand: Zahlreiche spezialisierte Chemieunternehmen in Sachsen — von Lacken und Farben über Klebstoffe bis zu Reinigungsmitteln — überschreiten die NIS-2-Schwellenwerte und müssen erstmals systematische Cybersicherheitsmaßnahmen implementieren.

IT/OT-Konvergenz in der Chemieindustrie: Besondere Herausforderungen

Die Chemieindustrie gehört zu den Branchen, in denen die Konvergenz von IT und OT (Operational Technology) die größten Risiken birgt. Chemische Produktionsprozesse werden durch Prozessleitsysteme (PLS/DCS), speicherprogrammierbare Steuerungen (SPS) und SCADA-Systeme gesteuert, die historisch isoliert betrieben wurden — heute aber zunehmend mit der IT-Infrastruktur vernetzt sind.

Branchenspezifische IT-Risiken in der Chemieindustrie

• Prozessleittechnik (DCS/PLS): Distributed Control Systems steuern in Echtzeit chemische Reaktionen, Temperaturen, Drücke und Durchflussmengen. Eine Manipulation dieser Systeme kann zu unkontrollierten Reaktionen, Explosionen oder Freisetzung giftiger Stoffe führen. Der Angriff auf eine Wasseraufbereitungsanlage in Oldsmar, Florida (2021) — bei dem ein Angreifer die Natriumhydroxid-Dosierung verfünfzigfachte — zeigt das reale Gefahrenpotenzial.
• Safety Instrumented Systems (SIS): Sicherheitsgerichtete Systeme nach IEC 61511 sollen im Notfall Anlagen sicher abschalten. Werden diese Systeme kompromittiert — wie beim TRITON/TRISIS-Malware-Angriff auf eine Petrochemieanlage 2017 — versagt die letzte Schutzbarriere.
• Gefahrstoffmanagement: Digitale Systeme zur Verwaltung von Gefahrstoffdaten, Sicherheitsdatenblättern und Lagerbeständen müssen integritätsgeschützt sein. Falsche Daten können zu gefährlichen Verwechslungen oder fehlerhafter Lagerung führen.
• REACH- und CLP-Compliance-Daten: Die umfangreichen Registrierungsdossiers unter der REACH-Verordnung und die CLP-Einstufungsdaten sind geschäftskritische Assets. Ihre Manipulation oder ihr Verlust kann zu Vertriebsverboten und massiven wirtschaftlichen Schäden führen.
• Laborinformationssysteme (LIMS): Qualitätskontrolldaten, Analyseergebnisse und Chargenfreigaben werden in LIMS verwaltet. Die Integrität dieser Daten ist für die Produktsicherheit und regulatorische Compliance wichtig.
• Emissionsüberwachung: Kontinuierliche Emissionsmessungen sind gesetzlich vorgeschrieben. Eine Manipulation dieser Systeme kann Umweltschäden verschleiern und strafrechtliche Konsequenzen haben.

Schnittstelle Störfallverordnung und NIS-2

Für Betriebsbereiche, die unter die Störfallverordnung (12. BImSchV) fallen, ergibt sich eine besondere Herausforderung: Die Störfallverordnung verlangt bereits heute ein Sicherheitsmanagementsystem, das auch die IT-Sicherheit prozesstechnischer Anlagen umfassen sollte. NIS-2 konkretisiert und erweitert diese Anforderungen nun systematisch.

Die Synergien zwischen beiden Regelwerken sind erheblich:

• Gefahrenanalyse: Die HAZOP-Studie (Hazard and Operability Study) der Störfallverordnung kann um Cyber-Gefährdungsszenarien erweitert werden
• Sicherheitsmanagementsystem: Das SMS nach Störfallverordnung und das ISMS nach NIS-2 können integriert werden — ein Ansatz, den wir als ISMS-Berater aktiv unterstützen
• Notfallplanung: Interne und externe Alarm- und Gefahrenabwehrpläne müssen Cyberangriffe als Auslöser für Störfälle berücksichtigen
• Meldepflichten: Sowohl Störfallverordnung als auch NIS-2 kennen Meldepflichten — deren Koordination muss im Incident-Response-Prozess sichergestellt werden

NIS-2-Anforderungen: Was Chemieunternehmen konkret umsetzen müssen

Risikomanagement mit IT/OT-Fokus

Chemieunternehmen müssen ein Informationssicherheits-Managementsystem (ISMS) etablieren, das beide Welten — IT und OT — abdeckt. Dies erfordert:

• Eine vollständige Asset-Inventarisierung aller IT- und OT-Komponenten
• Eine Risikobewertung, die sowohl Cyber-Risiken als auch deren potenzielle Auswirkungen auf die Anlagensicherheit berücksichtigt
• Die Definition von Sicherheitszonen und Conduits nach IEC 62443 für industrielle Automatisierungssysteme
• Die Orientierung an ISO 27001 und BSI IT-Grundschutz, ergänzt um den Standard IEC 62443 für industrielle Cybersicherheit

Netzwerksegmentierung und Defense-in-Depth

Die Trennung von IT- und OT-Netzwerken ist in der Chemieindustrie eine der wichtigsten Sicherheitsmaßnahmen. Das Purdue-Modell (ISA-95) bietet eine bewährte Referenzarchitektur. In der Praxis müssen Chemieunternehmen:

• Demilitarisierte Zonen (DMZ) zwischen IT- und OT-Netzwerken einrichten
• Unidirektionale Gateways (Data Diodes) für den sicheren Datenaustausch von OT nach IT implementieren
• Remote-Zugänge für Wartungstechniker und Hersteller absichern — ein häufiges Einfallstor für Angreifer
• Legacy-Systeme isolieren, die keine Security-Updates mehr erhalten, aber noch jahrelang in Betrieb bleiben

Meldepflichten und Incident Response

Die NIS-2-Meldepflichten — 24 Stunden Erstmeldung, 72 Stunden detaillierte Bewertung, 1 Monat Abschlussbericht — erfordern vorbereitete Prozesse. Für Chemieunternehmen kommt die Koordination mit den Meldepflichten nach Störfallverordnung hinzu. Ein gut durchdachter Incident-Response-Plan muss beide Meldewege integrieren und klare Verantwortlichkeiten definieren.

Geschäftsführerhaftung

Die persönliche Haftung der Geschäftsleitung ist bei Chemieunternehmen besonders brisant: Wenn ein Cyberangriff zu einem Störfall mit Personenschäden oder Umweltschäden führt, können neben den NIS-2-Bußgeldern (bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes) auch strafrechtliche Konsequenzen drohen. Geschäftsführer müssen nachweislich an Cybersicherheitsschulungen teilgenommen und die Risikomanagementmaßnahmen genehmigt haben.

Unser Beratungsansatz für die Chemieindustrie

Als spezialisierte NIS-2-Berater mit Erfahrung in der Chemieindustrie bieten wir einen praxisorientierten Ansatz:

1. NIS-2-Betroffenheitsanalyse und Scope-Definition

Wir klären, welche Unternehmensteile unter NIS-2 fallen, und definieren den Scope des aufzubauenden ISMS. Bei Chemieunternehmen ist dies besonders komplex, wenn mehrere Gesellschaften an einem Standort operieren oder Chemieparkstrukturen vorliegen.

2. Integrierte Gap-Analyse

Wir bewerten den Ist-Zustand Ihrer IT- und OT-Sicherheit unter Berücksichtigung bereits vorhandener Managementsysteme (SMS nach Störfallverordnung, QMS, Umweltmanagement). Dies vermeidet Doppelarbeit und schafft ein effizientes integriertes Managementsystem.

3. ISMS-Aufbau mit OT-Kompetenz

Wir implementieren ein ISMS, das die Besonderheiten der Chemieindustrie berücksichtigt: Lange Anlagen-Lebenszyklen, Legacy-Systeme, Safety-Anforderungen und die Notwendigkeit, Sicherheitsmaßnahmen ohne Produktionsunterbrechung einzuführen.

4. Schulung und Awareness

Von der Geschäftsführung (NIS-2-Pflicht!) über IT-Administratoren bis zum Leitstandpersonal — unsere Schulungen sind auf die jeweilige Zielgruppe und die spezifischen Risiken der Chemieindustrie zugeschnitten.

5. Externer ISB für Chemieunternehmen

Als externer Informationssicherheitsbeauftragter bieten wir die laufende Betreuung Ihres ISMS, einschließlich regelmäßiger Audits, Risiko-Updates und Unterstützung bei Sicherheitsvorfällen. Durch unsere Erfahrung über mehrere Mandanten hinweg bringen wir Best Practices und aktuelle Bedrohungsinformationen ein.

Cyber-Physical-Risiken: Wenn IT-Angriffe zu Störfällen werden

Die besondere Brisanz der Cybersicherheit in der Chemieindustrie liegt im Cyber-Physical-Risiko: Ein erfolgreicher Angriff auf Prozessleitsysteme kann physische Auswirkungen haben — von der Freisetzung giftiger Stoffe über Explosionen bis zu Umweltkontamination. Historische Beispiele wie der Stuxnet-Angriff auf iranische Urananreicherungsanlagen und der TRITON/TRISIS-Angriff auf eine Petrochemieanlage zeigen, dass solche Szenarien real sind.

Für sächsische Chemieunternehmen bedeutet dies: Informationssicherheit ist nicht nur eine regulatorische Pflicht nach NIS-2, sondern eine Frage der Anlagensicherheit und des Schutzes von Mensch und Umwelt. Ein strukturiertes ISMS mit besonderem Fokus auf OT-Sicherheit ist damit eine Investition in die Zukunftsfähigkeit des Standorts.

Weiterführende Informationen

• Externer Datenschutzbeauftragter — Datenschutz für Chemieunternehmen
• Datenschutz im Unternehmen — DSGVO-Compliance für alle Branchen

Häufig gestellte Fragen: NIS-2 in der Chemieindustrie

Fällt mein Chemieunternehmen unter NIS-2?

Der Sektor „Herstellung, Produktion und Vertrieb von Chemikalien“ ist in Anlage 2 der NIS-2-Richtlinie als wichtige Einrichtung klassifiziert. Wenn Ihr Unternehmen mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von 10 Millionen Euro überschreitet, fallen Sie in den Geltungsbereich. Dies betrifft auch Pharmaunternehmen, die Chemikalien als Ausgangsstoffe herstellen. Eine professionelle Betroffenheitsanalyse schafft Klarheit — insbesondere bei komplexen Konzernstrukturen oder Chemieparkkonstellationen.

Wie lassen sich Störfallverordnung und NIS-2 integrieren?

Beide Regelwerke verfolgen das Ziel, Risiken systematisch zu managen. Das Sicherheitsmanagementsystem (SMS) nach Störfallverordnung kann um IT/OT-Sicherheitsaspekte erweitert werden, um die NIS-2-Anforderungen zu erfüllen. Wir empfehlen einen integrierten Ansatz: Die HAZOP-Analyse wird um Cyber-Szenarien ergänzt, Notfallpläne berücksichtigen IT-Ausfälle als Störfallauslöser, und das ISMS wird in die bestehende Managementsystemlandschaft eingebettet. So vermeiden Sie Redundanzen und nutzen vorhandene Strukturen.

Welche besonderen OT-Sicherheitsmaßnahmen sind für Chemieanlagen erforderlich?

Chemische Anlagen erfordern einen Defense-in-Depth-Ansatz: strikte Netzwerksegmentierung nach dem Purdue-Modell, Demilitarisierte Zonen zwischen IT und OT, gehärtete Fernzugänge für Wartungstechniker, Patch-Management für Prozessleitsysteme (mit Herstellerfreigabe), Application Whitelisting auf HMI-Stationen und regelmäßige Schwachstellenanalysen der OT-Infrastruktur. Besonders kritisch: Safety Instrumented Systems (SIS) müssen physisch oder logisch von anderen Netzwerken getrennt werden.

Was kostet die NIS-2-Umsetzung für ein mittelständisches Chemieunternehmen?

Die Kosten hängen stark vom bestehenden Sicherheitsniveau und der Komplexität der IT/OT-Landschaft ab. Unternehmen, die bereits ein Managementsystem nach ISO 14001 oder die Störfallverordnung betreiben, haben organisatorische Strukturen, die adaptiert werden können. Erfahrungsgemäß liegen die Kosten für ein mittelständisches Chemieunternehmen im fünf- bis sechsstelligen Bereich — verteilt über einen Implementierungszeitraum von 12 bis 18 Monaten. Ein externer ISB ist dabei oft kostengünstiger als eine interne Vollzeitstelle, da die Expertise sofort verfügbar ist.