Die NIS-2-Richtlinie soll Europa resilienter gegen digitale Feinde machen. Nachrichten und Schlagzeilen über digitale Angriffe auf die europäische Infrastruktur nehmen weiter zu. Sicherheitsprobleme und kriminelle Attacken gibt es zwar schon lange, doch spätestens durch den russischen Angriffskrieg auf die Ukraine und den Einsatz professioneller Hacker gegen westliche Firmen, Behörden und Einrichtungen hat das Thema Cybersicherheit große Bedeutung bekommen – auch für die Farbenbranche.
Cybersicherheit umfasst den Schutz von Netzwerk- und Informationssystemen (NIS), vor Cybervorfällen und -bedrohungen. Mit der europäischen NIS-2-Richtlinie wurde daher schon 2022 ein einheitlicher Rahmen für die Aufrechterhaltung der Cybersicherheit in 18 kritischen Sektoren in der EU geschaffen. NIS-2 soll das Sicherheitsniveau durch einen breiteren Anwendungsbereich, klarere Vorschriften und stärkere Aufsichtsstrukturen erhöhen und geht so über die deutsche „KRITIS“-Regulierung hinaus.
Die Mitgliedstaaten sind aufgefordert, ihre Cybersicherheitskapazitäten zu verbessern und gleichzeitig Risikomanagementmaßnahmen und verstärkt Meldepflichten für Einrichtungen aus mehr Sektoren einzuführen. Die Richtlinie schreibt vor, dass jeder Mitgliedstaat eine nationale Cybersicherheitsstrategie verabschiedet, die die Sicherheit der Lieferkette, das Management für Schwachstellen sowie die Aufklärung und Sensibilisierung umfasst. Die Mitgliedstaaten müssen außerdem eine Liste wesentlicher und wichtiger Dienste und Einrichtungen erstellen und regelmäßig aktualisieren, um sicherzustellen, dass diese Einrichtungen die Anforderungen erfüllen.
Nach Einschätzung der Politik hat die Widerstandskraft von Staat und Wirtschaft angesichts schwieriger Zeiten Priorität, und auch in der Industrie stößt die Forderung grundsätzlich auf offene Ohren, nehmen die Probleme und Gefahren durch Cyberangriffe und digitale Kriminalität doch ständig zu. Aber die Umsetzung auf nationaler Ebene ist im Detail steckengeblieben.
Berlin ist im europäischen Vergleich zurück: Deutschland hätte die Richtlinie bis spätestens Oktober 2024 in nationales Recht umsetzen müssen. Aufgrund politischer Verzögerungen – auch wegen des Bruchs der Ampelkoalition – konnte der Zeitplan nicht eingehalten werden. Der ursprüngliche Referentenentwurf ist dann dem Regierungswechsel zum Opfer gefallen.
Sind Lack- Farben- und Druckfarbenhersteller überhaupt betroffen?
Ob Unternehmen der Lack- und Druckfarbenindustrie von NIS-2 betroffen sein werden, hängt von der nationalen Umsetzung ab. Die europäischen Länder gehen hier unterschiedliche Wege. Der Anhang II des deutschen Gesetzentwurfs führt als „wichtige Einrichtungen“ unter Punkt 3 „Produktion, Herstellung und Handel mit chemischen Stoffen“ auf. Farbenhersteller gelten laut REACH-Verordnung aber als „nachgeschaltete Anwender“ (Nr.13) bzw. werden durch das Inverkehrbringen (Nr.12) beschrieben. Diese Nichtbetroffenheit haben bereits andere Länder in ihren nationalen Umsetzungsgesetzen berücksichtigt, z. Bsp. Italien oder die Niederlande.
Gleichwohl hat der erste Referentenentwurf die Farbenhersteller wohl miteinbeziehen wollen, eine vom VdL sogleich kritisierte Übererfüllung der EU-Regelung („Gold Plating“) wie sie die neue Bundesregierung zwecks Bürokratieabbau ja ausdrücklich vermeiden will. Der neue Regierungsentwurf vom Sommer 2025, der im September zum ersten Mal im Bundestag diskutiert wurde, sieht eine Betroffenheit nun wohl nicht mehr vor, indem er die Betroffenheit auf Stoffhersteller und Importeure beschränken will, die der Registrierungspflicht nach Artikel 6 der REACH-Verordnung unterliegen.
Kritik aus der Chemieindustrie
Im Juli hat dann das Kabinett einen Gesetzentwurf mit Änderungen verabschiedet Das Innenministerium ist federführend, zuständige Aufsichtsbehörde soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Ansonsten bleibt vorerst viel unklar und in Bewegung: Das wird auch in der chemischen Industrie kritisiert, deren Unternehmen als „Hersteller chemischer Stoffe und Gemische“ in der Regel über Anlage II als wichtige Einrichtungen im Scope der NIS-2-Richtlinie sind.
Das Gesetz übererfülle die Vorgaben aus Brüssel, Ausnahmen verhinderten ein bundesweit einheitlich hohes Sicherheitsniveau, zum Beispiel bei der Digitalisierung der Planungs- und Genehmigungsverfahren. Die Bußgeldvorschriften bei Verstößen seien zu hoch, außerdem werden klarere Definitionen von Rechtsbegriffen und eine einfachere Umsetzung des Gesetzes in die Praxis gefordert. Auch Kosten, Bürokratielast und das Risiko von Doppelregulierungen werden kritisiert.
Positiv bewertet der Branchenverband VCI, dass im neuen Gesetzentwurf nun klarer werde, welche Unternehmen aus der chemisch-pharmazeutischen Industrie als „wichtige Einrichtungen“ einzustufen sind. Dies dürfte vor allem kleinere Unternehmen entlasten. Dennoch sollte der Anwendungsbereich an EU-Recht angepasst werden, fordert der VCI. Die EU-Richtlinie sieht vor, dass Unternehmen nur dann unter die NIS-2-Richtlinie fallen, wenn sie mehr als 50 Beschäftigte haben und der Jahresumsatz beziehungsweise die Jahresbilanz mindestens 10 Millionen Euro übersteigt.
Auf jeden Fall: Informieren und Transparenz schaffen
Noch ist das Gesetz im parlamentarischen Verfahren und auch zwischen den Parteien umstritten: Es werde „noch über einige Punkte zu diskutieren sein“, ist aus Berlin zu hören. Aber auch, wenn Lack- Farben- und Druckfarbenhersteller am Ende nicht direkt unter NIS-2 fallen sollten, die tägliche Gefährdung bleibt akut, und das Erfordernis einer professionalisierten Cybersicherheit sollte auch in der Lack- und Farbenindustrie Priorität haben. Wer frühzeitig Transparenz über Systeme, Datenflüsse, Pflichten und OT-Abhängigkeiten schafft, reduziert Risiken für sich und andere. Auf jeden Fall sollten sich die Unternehmen informieren und frühzeitig vorbereiten – spätestens ab der Veröffentlichung von NIS-2 im Bundesanzeiger sind Compliance, Dokumentation und Incident-Response für Firmen im Scope verpflichtend – ohne Übergangsfristen.
Digitale Hilfe bei NIS-2
Das Bundesamt bietet umfassende Informationen zur NIS-2-Richtlinie hier: BSI – Regulierte Wirtschaft
Zur Unterstützung, insbesondere für KMU, wurde im Juni 2025 der Start – FitNIS2-Navigator veröffentlicht. Dieses kostenfreie Tool hilft bei der Betroffenheitsanalyse, Bewertung bestehender Sicherheitsmaßnahmen und Erstellung konkreter Handlungspläne.
