NIS2 (die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit) hebt das Mindestniveau für Cybersicherheit und operative Resilienz in weiten Teilen der Wirtschaft an.
In Deutschland ist das Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten, das BSI-Portal für Registrierung und Meldungen ist seit dem 6. Januar 2026 live. Die ersten Wochen sind durch eine kleine Anzahl zeitkritischer Verpflichtungen geprägt: Feststellen, ob die eigene Organisation betroffen ist, Verantwortlichkeiten und Governance festlegen, Registrierung über das BSI-Portal, Sicherstellung der Incident-Reporting-Fähigkeit (inklusive Entscheidungs- und Kommunikationsprozesse) sowie Implementierung und Dokumentation von Risikomanagementmaßnahmen unter Managementverantwortung. Die Registrierung muss innerhalb des Übergangszeitraums bis zum 6. März 2026 abgeschlossen sein. Die Meldepflichten sind ausdrücklich zeitkritisch (Frühwarnung gefolgt von einer vollständigen Meldung innerhalb definierter Stunden bzw. Tage). Operative Bereitschaft und klare Verantwortlichkeiten sind daher unverzichtbar.
Aktuelle Daten von Bitkom Research (2026) zeigen, dass 73 % der deutschen Unternehmen Deutschland als unzureichend auf hybride Angriffe vorbereitet ansehen und 74 % geopolitische Spannungen als Risikofaktor bewerten.
Vor diesem Hintergrund kann das erweiterte Bedrohungsumfeld nicht ignoriert werden. Für Pharmaunternehmen verschiebt sich Resilienz damit von einem IT-Thema zu einer strategischen Governance-Frage.
Basis: Alle befragten Unternehmen (n=604) | Prozentangaben für „Stimme voll zu“ und „Stimme eher zu“ | Quelle: Bitkom Research 2026
Geltungsbereich: Fast alle sind betroffen
Das BSI unterscheidet zwischen Betreibern Kritischer Infrastrukturen (KRITIS) und Unternehmen, die nach dem deutschen NIS2-Umsetzungsgesetz als besonders wichtig oder wichtig eingestuft sind (entsprechend der NIS2-Logik „essential“ vs. „important entities“). Für Pharma, Chemie und MedTech ist die praktische Konsequenz eindeutig: NIS2-Readiness ist eine regulatorische und strategische Notwendigkeit. Im Vergleich zur früheren reinen KRITIS-Welt erweitert sich der Anwendungsbereich erheblich – durch niedrigere Schwellenwerte und eine breitere Sektorabdeckung.
Spätestens mit Inkrafttreten der Registrierungs- und Meldepflichten sollte entlang der Wertschöpfungskette davon ausgegangen werden, dass nahezu alle betroffen sind – entweder direkt (KRITIS, besonders wichtiges oder wichtiges Unternehmen) oder indirekt als Lieferant, Lohnhersteller oder Dienstleister, der in das Sicherheits- und Kontinuitätsregime eines regulierten Kunden eingebunden werden muss. In der Praxis werden regulierte Kunden Anforderungen in Lieferantenmanagement, Verträge, Nachweispflichten und Eskalationsprozesse weitergeben. Auch Unternehmen, die sich selbst als „nicht betroffen“ einstufen, können somit faktisch NIS2-äquivalenten Anforderungen unterliegen.
Robuste digitalisierte Betriebsabläufe
Pharmaunternehmen digitalisieren, um Prozessrisiken zu reduzieren und Qualität sowie Liefersicherheit zu erhöhen. Daraus entsteht ein Dreiklang:
- Compliance (GxP inkl. EU-GMP Annex 11, US FDA Part 11, GAMP 5, Qualifizierung/Validierung)
- Resilienz (NIS2/KRITIS, Cybersicherheit und Business Continuity, z. B. ausgerichtet an ISO 27001/22301 und BSI 200-x)
- Manufacturing Operations (Prozessoptimierung und IT/OT-Orchestrierung, Quality by Design, Review and Release by Exception)
Pharma NIS2 Readiness | Copyright msg industry advisors ag
Regulatorische Rahmenwerke (EU GMP Annex 11, NIS2, ISO 27001/22301) verlangen eine robuste Ausführung von Geschäftsprozessen. Das Leitprinzip ist einfach: Digitalisierung ohne Resilienz setzt Unternehmen operativen und Compliance-Risiken aus. Resilienz ist der Enabler, der Digitalisierung nachhaltig macht.
Harmonisieren statt multiplizieren
NIS2 trifft auf Organisationen, in denen viele Bausteine bereits existieren – Qualitätsmanagement, Risiko- und Compliance-Prozesse, Validierungslogiken für kritische Systeme und etablierte Governance-Gremien. Werden NIS2-Anforderungen jedoch isoliert ergänzt, entstehen zusätzliche Rollen, Dokumentationen und Entscheidungswege, die schwer steuerbar, teuer in der Pflege und in Audits schwer vermittelbar sind.
Ein robuster Ansatz harmonisiert daher Managementsysteme, statt parallele Strukturen aufzubauen. Überlappende Anforderungen sollten in ein kohärentes Kontroll- und Nachweismodell über Qualität, Risiko, Resilienz und Lieferantenmanagement integriert werden. Ziel ist ein einheitliches, auditierbares Set aus Verantwortlichkeiten, Prozessen und Evidenzen, das Compliance und operative Leistungsfähigkeit gleichermaßen unterstützt.
Global organisiert, lokal reguliert
Die praktische Komplexität beginnt, wenn ein neuer Rechtsrahmen in bestehende technische und organisatorische Strukturen integriert werden muss. NIS2 gilt lokal, während Unternehmen häufig global oder regional organisiert sind. Ohne durchdachtes Integrationsdesign funktionieren selbst gut strukturierte regulatorische Routinen im Alltag nicht zuverlässig.
Ein typisches Muster: Zentrale Beschaffung sitzt in den USA und wählt Lieferanten aus, während die Lieferung nach Deutschland oder in die EU erfolgt. Diese Lieferanten müssen nach deutschen und europäischen Anforderungen bewertet und vertraglich eingebunden werden – auch wenn Auswahl und Steuerung außerhalb der EU erfolgen. Hier zeigen sich häufig organisatorische Lücken: fehlende Verantwortliche, unklare Zuständigkeiten und keine durchgängigen Prozesse zwischen Beschaffung, Lieferantenmanagement und Fachbereichen.
NIS2-Readiness wird damit zur Frage internationaler Orchestrierung:
- Wie wird sichergestellt, dass Beschaffung außerhalb der EU EU-Kriterien konsequent anwendet?
- Welche Lieferanten sind kritisch, weil sie in die EU liefern?
- Welche zusätzlichen Vereinbarungen, Eskalationspfade und Nachweise sind erforderlich?
Ohne bewusst definiertes Operating Model droht ein unkontrolliertes Nebeneinander paralleler Prozesse – mit negativen Folgen für Compliance und operative Performance.
Business Continuity macht NIS2 messbar
NIS2 zielt letztlich darauf ab, Dienstleistungen und kritische Prozesse auch unter Störungen verfügbar und wiederherstellbar zu halten – nicht nur Vorfälle zu verhindern. Genau hier wird Business Continuity zum operativen Nachweis: Sie macht aus Richtlinien und Kontrollen eine konkrete Fähigkeit, die demonstriert, geübt und kontinuierlich verbessert werden kann.
Referenz: BSI Standard 200-4 "Business Continuity Management"
Die Verbindung zu NIS2 ist unmittelbar. Durch NIS2 vorgegebene Meldefristen verpflichten Organisationen dazu, Auswirkungen schnell zu bewerten, den Umfang zu bestimmen, Stakeholder zu koordinieren und unter Druck präzise zu kommunizieren. Das ist ohne ein eingeübtes Krisensetup, klare Eskalations- und Entscheidungsstrukturen sowie ein Operating Model, das kritische Prozesse während der Wiederherstellung aufrechterhalten kann, nicht erreichbar. In der regulierten Produktion liegt der Treiber auf der Hand. GxP-relevante Systeme sind zunehmend über interne Grenzen hinaus vernetzt, etwa durch Fernwartungszugriffe, Cloud-Lösungen, IoT und „Pharma 4.0“, wodurch sich die Bedrohungslage erweitert. Ransomware-Vorfälle haben wiederholt gezeigt, dass Unternehmen zeitweise nicht produzieren und liefern können. Wirksames Krisenmanagement muss daher über reine Incident Response hinausgehen. Es erfordert vordefinierte Entscheidungsbefugnisse, klare Eskalationslogiken über IT, OT, Qualität und Operations hinweg sowie die Fähigkeit, auch unter Druck in einem validierten Umfeld handlungsfähig zu bleiben. In der Praxis unterscheiden sich Organisationen vor allem darin, ob sie in einen kontrollierten Notfallmodus wechseln, die Wiederherstellung parallel steuern und geordnet in den Regelbetrieb zurückkehren können, statt langwierige, unkoordinierte Neustartphasen zu durchlaufen. Abhängigkeiten von Lieferanten sind Teil derselben Gleichung: Sind zentrale Dienstleistungen und Partner nicht in Notfall- und Incident-Prozesse integriert, bleibt NIS2-Compliance reine Dokumentation statt gelebter operativer Bereitschaft.
NIS2 als Werttreiber gestalten
NIS2 schafft Mehrwert, wenn es als integrierte Resilienz- und Governance-Initiative aufgesetzt wird:
- Anwendbarkeit auf Basis kritischer Prozesse und Abhängigkeiten bestimmen (inkl. EU-Lieferbezug)
- Managementsysteme harmonisieren statt neue Strukturen aufzubauen
- Ein Target Operating Model definieren, das globale Organisation und lokale Verpflichtungen verbindet
- Business Continuity als gelebtes, getestetes Betriebsprinzip verankern
Hybride Bedrohungen sind kein primär technisches IT-Problem – sie sind ein Stresstest für Führung, Governance und operative Resilienz.
Autoren
Sie möchten mehr über dieses Thema erfahren oder individuelle Herausforderungen diskutieren?
Unsere Ansprechpartner stehen Ihnen gerne für ein persönliches Gespräch zur Verfügung.
