NIS-2 für die Chemie- und Pharmaindustrie

Chemie und Pharma haben es nicht leicht mit NIS-2. Hochautomatisierte Produktionsanlagen, die man nicht einfach patchen kann. Strenge regulatorische Anforderungen, die schon vor NIS-2 existierten. Und Produkte, bei denen Fehler im besten Fall teuer werden und im schlimmsten Fall Menschenleben kosten. Ein sorgfältiger Ansatz ist hier nicht optional.

Wo Chemie und Pharma unter NIS-2 eingeordnet werden

Der Chemiesektor fällt unter “sonstige kritische Sektoren” – das ist die etwas weniger strenge Kategorie. Erfasst ist die Herstellung chemischer Stoffe und deren Vertrieb, außerdem chemische Erzeugnisse wie Pestizide, Düngemittel, Sprengstoffe, Farben, Reinigungsmittel.

Bei Pharma wird es komplizierter, weil Unternehmen unter mehrere Kategorien fallen können. Hersteller von Arzneimitteln, die für Notfälle kritisch sind, gehören zum Gesundheitssektor – das ist die strengere Kategorie. Hersteller von Wirkstoffen und Vorprodukten fallen unter Chemie. Forschungsintensive Unternehmen können unter den Forschungssektor fallen.

Die Größenschwellen sind wie üblich: Ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz sind Sie “wichtig”, ab 250 Mitarbeitenden oder 50 Millionen “besonders wichtig”. Viele Chemie- und Pharmaunternehmen überschreiten diese Schwellen deutlich.

Was diese Branche so besonders macht

In Chemie und Pharma ist fast alles automatisiert. Prozessleitsysteme steuern kontinuierliche Prozesse. Batch-Steuerungen fahren chargenweise Produktion. Sicherheitssysteme schützen vor Unfällen. Laborautomatisierung prüft die Qualität.

Diese Systeme sind oft alt. Sehr alt. Und man kann sie nicht einfach aktualisieren, weil jede Änderung eine aufwendige Revalidierung nach sich zieht. Also laufen da Systeme, die Sicherheitslücken haben, von denen man weiß, die man aber nicht schließen kann.

Dann die regulatorische Last. Pharma unterliegt GxP-Anforderungen – Good Manufacturing Practice, Good Distribution Practice, Good Laboratory Practice, Computerized Systems Validation. Das sind strenge Vorgaben, die schon vor NIS-2 existierten. NIS-2 kommt obendrauf, nicht anstelle dessen.

In der Chemie sind IT-Ausfälle potenziell gefährlich. Fehlsteuerungen können zu Unfällen führen. Unkontrollierte Freisetzungen verursachen Umweltschäden. Falsche Parameter können Explosionen auslösen. Das ist eine andere Liga als “der Server ist ausgefallen, wir können keine E-Mails verschicken”.

Und beide Branchen sind forschungsintensiv. Rezepturen, Synthesewege, Forschungsdaten, Patente, klinische Studiendaten – das sind hochwertige Ziele für Industriespionage. Chinesische und russische Akteure sind hier besonders aktiv.

Wie Sie NIS-2 in dieser Umgebung umsetzen

Beim Risikomanagement müssen Sie vier Dimensionen im Blick haben: Safety (was kann zu Unfällen führen?), Security (was können Angreifer erreichen?), Verfügbarkeit (Prozessleittechnik muss laufen), und Integrität (Produktionsdaten und Batch Records dürfen nicht manipuliert werden).

Für OT-Security gibt es bewährte Ansätze. Netzwerksegmentierung: IT und OT strikt trennen, eine DMZ für kontrollierte Übergänge, Sicherheitssysteme komplett isolieren. Schwachstellenmanagement: OT-spezifische Scans, Koordination mit Herstellern, kompensatorische Maßnahmen wenn Patching nicht möglich ist. Zugriffskontrollen: Engineering Workstations absichern, Fernzugriffe streng kontrollieren, alles loggen. Monitoring: OT-spezifische Anomalieerkennung, Protokollanalyse für industrielle Kommunikation, vorsichtige Integration ins SIEM.

Die gute Nachricht: GxP und NIS-2 haben Überschneidungen. Computerized Systems Validation und sichere Entwicklung lassen sich verbinden. Audit Trail-Anforderungen und Logging-Anforderungen sind verwandt. Datenintegrität nach GxP und Integrität nach NIS-2 meinen ähnliches. Change Control und Change Management können ein gemeinsamer Prozess sein. Backup/Recovery-Anforderungen müssen nur um Security-Aspekte erweitert werden.

Der praktische Ansatz: NIS-2-Anforderungen in bestehende QMS-Prozesse integrieren. Keine parallelen Systeme aufbauen. Gemeinsame Audits und Reviews durchführen. Das spart Arbeit und vermeidet Reibungsverluste.

Incident Response mit Branchen-Twist

In Pharma müssen Sie bei einem Vorfall möglicherweise nicht nur ans BSI melden, sondern auch an Gesundheitsbehörden. Die Auswirkungen auf die Chargenfreigabe müssen Sie bedenken – können Sie noch garantieren, dass die Produktion nicht kompromittiert wurde? Potenzielle Produktrückrufe sind ein Thema. Und das GMP-Abweichungsmanagement muss parallel laufen.

In der Chemie: Koordination mit der Gefahrenabwehr, falls etwas schiefgeht. Umweltbehörden informieren, wenn relevant. Störfallvorschriften beachten. Das sind zusätzliche Stakeholder, die bei anderen Branchen keine Rolle spielen.

Lieferkette – besonders kritisch

Bei der Lieferkettensicherheit sind einige Akteure besonders relevant: IT-Dienstleister, die an GxP-Systemen arbeiten – die haben oft weitreichenden Zugriff. Anlagenbauer und Wartungsdienstleister – deren Fernzugriff auf Ihre Produktionssysteme ist eine klassische Schwachstelle. Cloud-Anbieter, wo regulatorisch erlaubt. Und bei Pharma: CDMOs und CMOs, also Auftragsfertiger, die Ihre Produkte herstellen.

Die anderen Regulierer

EMA und FDA haben eigene Cybersicherheitserwartungen. Das passt nicht immer nahtlos mit NIS-2 zusammen, aber die Schnittmengen sind groß.

Chemieunternehmen, die unter die Störfallverordnung (Seveso III) fallen, haben bereits Sicherheitsanforderungen, die auch Cybersicherheit berühren. REACH und CLP – Chemikalienregistrierung und -kennzeichnung – erfordern sichere Datenhaltung.

Der praktische Fahrplan

Phase 1: Verstehen Sie Ihre IT/OT-Konvergenz. Erfassen Sie alle IT-Systeme, alle Produktionssysteme, alle Schnittstellen dazwischen. Kartieren Sie, welche Daten wohin fließen.

Phase 2: Integrierte Risikobewertung. Was kann zu Unfällen führen? Was können Angreifer erreichen? Was gefährdet Ihre GxP-Compliance und Zulassungen? Dann priorisieren Sie auf Basis dieser kombinierten Bewertung.

Phase 3: Maßnahmen umsetzen. IT/OT-Trennung implementieren, wenn noch nicht vorhanden. Privileged Access Management für kritische Systeme einführen. OT-spezifische Erkennung aufbauen. Incident-Response-Prozesse an die Pharma- oder Chemie-Spezifika anpassen.

Phase 4: Integration in Ihr Qualitätsmanagementsystem. NIS-2 in bestehende SOPs integrieren, statt parallele Dokumente zu erstellen. GxP-Personal auch zu Security schulen. Security in interne Audits einbeziehen. Den CAPA-Prozess (Corrective and Preventive Action) für kontinuierliche Verbesserung nutzen.

Standards, die helfen

IEC 62443 ist der Standard für industrielle Cybersicherheit und besonders relevant für OT-Umgebungen. ISPE GAMP 5 adressiert computergestützte Systeme in der Pharmaindustrie und wird zunehmend um Cybersicherheitsaspekte erweitert. Die NAMUR gibt Empfehlungen für OT-Security speziell in der Prozessindustrie.

Der Punkt ist

Chemie und Pharma stehen vor der Herausforderung, NIS-2-Anforderungen mit bestehenden GxP-Anforderungen und komplexen OT-Umgebungen zu verbinden. Das klingt nach Kopfschmerzen, und das ist es auch.

Aber der Ansatz ist klar: Integration statt Parallelwelten. NIS-2 in bestehende QMS-Strukturen einbauen, nicht daneben. IT und OT gemeinsam betrachten, nicht getrennt. Safety und Security zusammen denken. Risikobasiert priorisieren, nicht alles auf einmal.

Wer bereits GxP-compliant ist, hat einen Vorsprung. Viele Prozesse sind etabliert, die sich auf Cybersicherheit übertragen lassen. Nutzen Sie diese Basis. Erweitern Sie sie systematisch. Dann wird NIS-2 vom regulatorischen Alptraum zur strukturierten Weiterentwicklung Ihrer ohnehin notwendigen Sicherheitsmaßnahmen.