Der Auditor kommt – und Sie wissen nicht, wo Sie anfangen sollen
Stellen Sie sich vor: Für den kommenden Monat wird ein Audit angekündigt. Geprüft wird die NIS2-Konformität. Ihr IT-Leiter signalisiert Sicherheit – die IT ist gut aufgestellt. Dann folgt die Frage:
„Wie sieht es mit Ihren OT-Systemen aus? SPSen, HMIs, Roboter?“
Kurze Stille.
Genau hier beginnt für viele Produktionsunternehmen die eigentliche Herausforderung. Während die IT-Sicherheit seit Jahren strukturiert umgesetzt wird, bleibt die OT-Sicherheit – also der Schutz der Produktionssysteme – häufig lückenhaft.
Das ändert sich aktuell grundlegend.
Was NIS2 von Produktionsunternehmen fordert
Seit dem 6. Oktober 2025 gilt das NIS2-Umsetzungsgesetz in Europa. Betroffen sind unter anderem Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in insgesamt 18 Sektoren, einschließlich der verarbeitenden Industrie.
Zu den zentralen Anforderungen gehören:
- Backup und Recovery: Ein dokumentiertes und regelmäßig getestetes Backup-Konzept für alle kritischen Systeme ist verpflichtend.
- Änderungsmanagement: Änderungen an Produktionsanlagen müssen nachvollziehbar dokumentiert sein.
- Wiederherstellungstests: Backups müssen regelmäßig auf ihre Wiederherstellbarkeit geprüft werden.
- Integritätsprüfungen: Backups sind in festen Intervallen auf Vollständigkeit und Korrektheit zu prüfen.
Die 5 häufigsten Mängel im OT-Audit
Aus der Praxis zeigen sich immer wieder dieselben Schwachstellen:
Mangel 1: Unvollständige Inventarliste der OT-Assets
Auditoren beginnen mit der Frage: „Welche Systeme betreiben Sie?“ Eine veraltete Excel-Liste ist dabei keine belastbare Grundlage.
Mangel 2: Fehlende Wiederherstellungstests
Vorhandene Backups allein reichen nicht aus. Entscheidend ist der Nachweis regelmäßiger Restore-Tests.
Mangel 3: Änderungen ohne Dokumentation
Anpassungen an SPSen oder Anlagen erfolgen im Alltag oft ohne Protokollierung. Im Audit wird das kritisch bewertet.
Mangel 4: IT-Backup ohne OT-Abdeckung
Während IT-Systeme häufig abgesichert sind, fehlen entsprechende Konzepte für OT-Komponenten wie Steuerungen, HMIs oder Roboter.
Mangel 5: Unklare Verantwortlichkeiten
Ist nicht eindeutig geregelt, wer für die OT-Datensicherung verantwortlich ist, wird dies als strukturelles Defizit gewertet.
Was Auditoren konkret sehen wollen
Eine gute Vorbereitung bedeutet, relevante Nachweise strukturiert bereitzuhalten:
| Frage des Auditors | Erforderlicher Nachweis |
|---|---|
| Werden regelmäßig Backups erstellt? | Automatisch erzeugte Backup-Logs mit Zeitstempeln |
| Werden Backups getestet? | Dokumentierte Restore-Tests mit Datum und Ergebnis |
| Sind Änderungen nachvollziehbar? | Versionshistorie mit Benutzer, Zeitstempel und Kommentar |
| Wer ist verantwortlich? | Dokumentierte Zuständigkeiten |
Praxislösung: Nachweise automatisch erzeugen
Mit eguide4DATA werden diese Nachweise nicht manuell zusammengestellt, sondern entstehen automatisch im laufenden Betrieb. Backup-Logs, Versionshistorien und Änderungsprotokolle sind jederzeit abrufbar.
eguide4DATA unverbindlich in Aktion erleben
In einer persönlichen Demo zeigen wir Ihnen, wie eguide4DATA Ihre OT-Infrastruktur absichert - abgestimmt auf Ihre Produktionsumgebung und Anforderungen.
FAQ: Audit
Wer führt ein OT-Sicherheitsaudit durch?
Abhängig von Branche und Kontext erfolgen Audits durch BSI-akkreditierte Prüfer, Zertifizierungsstellen (z. B. ISO 27001, IEC 62443), Branchenverbände oder interne Revisionen. Im Rahmen von NIS2 sind auch behördliche Prüfungen möglich.
Kann die Vorbereitung intern erfolgen oder ist externe Unterstützung notwendig?
Grundsätzlich ist beides möglich. Mit eguide4DATA steht die technische Basis intern zur Verfügung. Für organisatorische und rechtliche Aspekte empfiehlt sich bei komplexeren Strukturen ergänzende externe Beratung.
