01
OT- und IT-Konvergenz unter NIS-2
Industriesteuerungssysteme mit Corporate-IT integriert. ICS-Netze müssen jetzt NIS-2-Cyber-Standards erfüllen.
IMPACTCyber-physische Vorfälle lösen 24h-Meldung aus.
BRANCHENPRAXIS · INDUSTRIE & FERTIGUNG
EU-Compliance für die Industrie
TISAX für Automobilzulieferer, NIS2 (wichtige Einrichtung, Anlage 2), OT-Security für Produktionssysteme, LkSG und Cyber Resilience Act (CRA) für IoT-Produkte.
REGULIERUNG.STACK · INDUSTRIE● 09
CRACyber-Resilienz für Produkte
NIS-2Industrie als wichtige Einrichtung
AI ACTIndustrie-KI und Maschinensicht
CSDDDLieferketten-Sorgfalt (EU)
LKSGLieferkettengesetz (Deutschland)
DSGVOBeschäftigten- und Kundendaten
MASCHINENMaschinenverordnung 2023
REACHChemikalienregistrierung
BATTERIEBatterie-Verordnung, Pass
KOSTENLOSE 30-MIN-BERATUNG
Gespräch mit einem Senior-Berater.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
ANTWORT IN 1 WERKTAG·NDA AUF WUNSCH·KEINE VERPFLICHTUNG
01 / WEN WIR BETREUEN
Sechs Industrie-Profile, eine Compliance-Karte.
Vom Automotive-Zulieferer bis zu Chemie und Lebensmittelverarbeitung. Jeder Teilsektor löst eine andere Kombination aus Produkt-, Nachhaltigkeits- und OT-Cyber-Regeln aus.
AUTOMOTIVE
Automotive-Zulieferer und -Tiers
R155 Cyber-Typgenehmigung, CRA für Steuergeräte, CSDDD, Konfliktmineralien.
CRAR155CSDDD
MASCHINEN
Industriemaschinen und Robotik
Maschinenverordnung 2023, CE, AI Act für sicherheitskritische Maschinensicht.
MASCHINENAI ACTCRA
ELEKTRONIK
Elektronik und Komponenten
CRA für vernetzte Produkte, RoHS und WEEE, Halbleiter-Lieferkette, REACH.
CRAREACHDSGVO
CHEMIE
Chemie und Werkstoffe
REACH-Registrierung, CLP, BREF-Emissionen, OT-Cyber für gefährliche Prozesse.
REACHNIS-2DSGVO
FOOD & BEV
Lebensmittel- und Getränkeverarbeitung
Lebensmittelsicherheit, Rückverfolgbarkeit, NIS-2, Nachhaltigkeitsreporting.
NIS-2DSGVOCSDDD
PHARMA MFG
Pharmazeutische Fertigung
GMP, Serialisierung, gefälschte Arzneimittel, Integration mit Gesundheitsregimen.
GMPDSGVONIS-2
02 / LAGE
Die Regulatorik-Uhr in der Fertigung.
Mehrere Regime greifen ineinander. Wir takten sie an Ihrer Betriebsfrequenz.
IN KRAFTDSGVO
IN KRAFT
Beschäftigten- und Kundendaten
Mitarbeitendenüberwachung, ERP und CRM, Händler- und After-Sales-Daten, Übermittlung in Nicht-EU-Werke.
IN KRAFTREACH
IN KRAFT
Chemikalienregistrierung
Registrierung, Bewertung, Zulassung und Beschränkung. SVHC-Mitteilungen und SCIP-Datenbank.
IN KRAFTLKSG
IN KRAFT
Lieferkettensorgfaltspflichtengesetz
Risikoanalyse, Lieferantenkodex, Maßnahmen-Tracker, Jahresbericht. Ab 1.000 Mitarbeitenden in Deutschland.
IN KRAFTMASCHINEN
IN KRAFT
Maschinenverordnung 2023
Ersetzt Richtlinie 2006. Cyber-Grundanforderungen, digitale Doku, Konformitätsbewertung.
FOLGTMASCHINEN
JAN 2027
Anwendung Maschinenverordnung
Anwendungsdatum 14. Januar 2027. Einreichungen bei Benannten Stellen brauchen 18 Monate Vorlauf.
KRITISCHAI ACT
AUG 2026
Industrie-KI als Hochrisiko
KI in Maschinen-Sicherheitsfunktionen, Predictive Maintenance mit Sicherheitsbezug, Maschinensicht-QC.
KRITISCHCRA
DEZ 2027
Anwendung Cyber Resilience Act
Vernetzte Produkte (Hardware + Software) brauchen Cyber-Grundanforderungen. CE-Kennzeichnung erforderlich.
FOLGTCSDDD
2027
Lieferketten-Sorgfaltspflichten-Richtlinie
EU-weite Lieferketten-Due-Diligence für große Unternehmen. Gestaffelte Anwendung ab 2027.
03 / WAS ZU LÖSEN IST
Wo Hersteller feststecken.
02
CRA-Cyber-Resilienz für Produkte
Vernetzte Produkte brauchen CE mit Cyber-Grundanforderungen. Schwachstellenbearbeitung und 5-Jahre-Support-Pflicht.
IMPACTKein CE bedeutet keinen EU-Regalplatz ab Dez. 2027.
03
LkSG-/CSDDD-Lieferkettenmapping
Tier 1, Tier 2 und darüber hinaus. Risikoanalyse, Lieferantenkodex, Abhilfe, Jahresbericht. Dokumentation ist das Ergebnis.
IMPACTBAFA-Bußgelder plus Ausschluss aus öffentlichen Aufträgen.
04
Übergang Maschinenverordnung
Neue Verordnung gilt ab Januar 2027. Digitale Doku, Cyber-Grundanforderungen, KI für Sicherheitsfunktionen.
IMPACTTyp vom EU-Markt zurückgezogen ohne Konformität.
05
REACH und Chemikalienregulierung
Substanzregistrierung, SVHC-Mitteilungen, SCIP-Datenbank für Erzeugnisse, wachsende Zulassungslisten.
IMPACTProduktionsstopp für nicht zugelassene Substanzen.
06
Industrie-KI unter AI Act
Maschinensicht-Qualitätskontrolle, Predictive Maintenance mit Sicherheitsbezug, Robotik-Entscheidung – alle Annex III.
IMPACTFehlklassifizierung bedeutet Produktlinien-Rückzug.
04 / ANGEBOT
Unsere Leistungen für die Industrie
MF-01
CRA-Readiness und CE-Kennzeichnung
Grundanforderungen-Gap, Secure-by-Design-Review, Schwachstellenprozess, Konformitätsweg, technische Dokumentation.
DCRA-GapDKonformitätDCE-Pack
MF-02
NIS-2-Readiness Fertigung
Klassifizierung, ISMS nach ISO 27001 und IEC 62443, OT-Segmentierung, Meldepfade.
DKlassifizierungDIEC 62443DIncident-SOP
MF-03
LkSG- und CSDDD-Programm
Risikoanalyse-Methodik, Lieferantenkodex, Präventiv- und Abhilfemaßnahmen, Jahresbericht.
DMethodikDKodexDBericht
MF-04
Maschinen-Verordnung-Konformität
Grundanforderungen, Cyber für Sicherheitsfunktionen, digitale Doku, Einreichungen bei Benannten Stellen.
DKonformitätDTech-AkteDBS
MF-05
AI Act für Industrie-KI
Annex-III-Klassifizierung für sicherheitskritische KI, Maschinensicht und Predictive Maintenance. Technische Akte, Human Oversight.
DKlassifizierungDAnnex IVDPMM
MF-06
REACH- und Chemikalien-Compliance
Registrierungs-Support, SVHC-Mitteilungen, SCIP-Einreichungen, Beschränkungs-Monitoring.
DRegistrierungDSCIPDMonitoring
MF-07
OT-Cybersecurity-Programm
IEC-62443-Rahmen, ICS-Netzsegmentierung, Asset-Inventar OT, sicherer Fernzugriff.
DIEC 62443DSegmentierungDInventar
MF-08
DSGVO für Beschäftigte und Kunden
Rechtsgrundlage für Mitarbeitendenüberwachung, ERP/CRM-Governance, Händlernetz-Daten, Übermittlungen.
DRG-MappingDERP/CRMDÜbermittlung
MF-09
Externer Industrie-Compliance-Officer
Senior-Berater mit Industrieerfahrung, Behörden- und BS-Kontakt, Vorstandsreporting.
DRetainerDVorstandsmemoDBehörde
05 / AUSGEWÄHLTE ARBEIT
Alle Fallstudien →Mandate in der Fertigung.
CASE 01Automotive Tier-1
CRA + R155 Readiness über 11 Produktlinien. CE-Pack vor Dezember 2027 vorbereitet.
11
PRODUKTLINIEN
Eingereicht
DOSSIERS
+8 M
VORLAUF
UMFANGCRA · R155 · CSMS · CE
CASE 02Industriemaschinen
Maschinen-Verordnung-Übergang, KI-Vision-QC-Klassifizierung als Hochrisiko.
4
FAMILIEN
12 M
BS-ZYKLUS
Erteilt
CE
UMFANGMaschinen · AI Act · ISO 13849 · Benannte Stelle
CASE 03Chemiehersteller
LkSG-Programm über 240 Lieferanten. Bericht fristgerecht eingereicht.
240
LIEFERANTEN
62
MASSNAHMEN
Eingereicht
BERICHT
UMFANGLkSG · CSDDD · Kodex · BAFA
06 / KOSTENLOSES TOOL
Kartieren Sie Ihren Fertigungs- Stack zum EU-Regelwerk.
Acht Fragen zu Produkten, Prozessen und Lieferbasis. Indikative Pflichtenkarte über CRA, NIS-2, AI Act, CSDDD, Maschinen und REACH.
Pflichten-Mapper starten~ 4 MINMAPPER.PREVIEWSCHRITT 4 / 8
Enthalten Ihre Produkte Software oder verbinden sie sich mit einem Netzwerk?
Ja, primärer Zweck ist Software (digitales Element)A
Ja, mit Software für Überwachung oder WartungB
Begrenzte Firmware, keine NetzkonnektivitätC
Keine Software oder KonnektivitätD
INDIKATIV → CRA + RED ART. 3(3) + AI ACT
07 / HÄUFIGE FRAGEN
Häufige Fragen aus der Industrie
01Sind wir im NIS-2-Geltungsbereich?+
Fertigungs-Teilsektoren in NIS-2 Anhang II als wichtige Einrichtungen umfassen Automotive, Maschinenbau und Elektronikfertigung über Schwellen (50 MA oder 10 Mio. € Umsatz). Kritische Fertigung (Medizinprodukte, Computer, Optoelektronik) kann nach Anhang I wesentlich sein.
02Wann gilt der CRA?+
Cyber Resilience Act gilt ab 11. Dezember 2027. Schwachstellenmeldung ab 11. September 2026. Vernetzte Produkte, die nach dem Datum in der EU in den Verkehr kommen, brauchen CE mit Cyber-Grundanforderungen.
03Wie interagiert CRA mit der Maschinenverordnung?+
Maschinenverordnung 2023 verlangt bereits Cyber-Grundanforderungen für Sicherheitsfunktionen. CRA ergänzt für den vollständigen Produktlebenszyklus. Wir bauen kombinierte technische Dokumentation für beide Regime.
04Welche LkSG-Schwelle gilt für deutsche Einheiten?+
Unternehmen mit 1.000 Mitarbeitenden in Deutschland sind seit Januar 2024 im Geltungsbereich. Kleinere Unternehmen sind nicht direkt erfasst, werden aber typischerweise von größeren Kunden zur Teilnahme an Lieferantenkodex und Risikoanalyse aufgefordert.
05Sind wir von CSDDD erfasst, wenn wir nicht in Deutschland sind?+
CSDDD gilt EU-weit ab 2027 mit gestaffelten Schwellen. Unternehmen über 1.000 MA und 450 Mio. € EU-Umsatz sind zuerst erfasst, mit kleineren Schwellen danach. Nicht-EU-Unternehmen, die die EU-Umsatzschwelle erreichen, sind ebenfalls erfasst.
06Gilt der AI Act für Predictive Maintenance?+
Ja, wenn die KI Sicherheitsfunktionen beeinflusst oder hochrisikobehaftete Ergebnisse hat (Beschäftigung, sicherheitskritische Anwendungen). Annex III listet KI in Sicherheitskomponenten unter harmonisierte Vorschriften. Die meiste industrielle Sicherheits-KI ist erfasst.
07Was ist die SCIP-Datenbank-Pflicht?+
Substances of Concern in articles, as such or in complex objects (Products). Meldepflicht für Erzeugnisse auf dem EU-Markt mit SVHC über 0,1%. Datenbank wird von ECHA betrieben, Verbrauchern und Behörden zugänglich.
08Können Sie unsere Einreichungen bei der Benannten Stelle übernehmen?+
Ja. Wir bereiten technische Dokumentation vor, koordinieren mit der Benannten Stelle, behandeln Anfragen und führen Vorab-Interviews vor Einreichung. Wir haben Konformitätsakten für Maschinen, Medizinprodukte und vernetzte Produkte abgeschlossen.
08 / VERWANDT
Verwandte Praxen.
Cybersecurity
ISMS, ISO 27001, IEC 62443 und OT-Cybersecurity-Programme.
Praxis öffnen →NIS-2-Compliance
Scoping, ISMS und Aufsichtsbereitschaft für Hersteller.
Praxis öffnen →AI-Compliance
AI Act für Industrie-KI, Maschinensicht und Predictive Maintenance.
Praxis öffnen →09 / GET STARTED
Starten Sie Ihre Industrie-Compliance
Kostenloses Erstgespräch, 30 Minuten. Wir priorisieren TISAX, NIS2, CRA und OT-Security für Ihre spezifische Situation.