NIS2-konformer Fernzugriff: Anforderungen und Umsetzung
Timo Wevelsiep•Aktualisiert: 30.06.2026Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.
NIS2-konformer Fernzugriff bedeutet: Jeder externe Zugriff auf Ihre Systeme läuft rollenbasiert (RBAC), erzwingt Multi-Faktor-Authentifizierung (MFA), ist zeitlich begrenzt und wird lückenlos protokolliert. Die EU-Richtlinie NIS2 (2022/2555) und ihre deutsche Umsetzung, das NIS2-Umsetzungsgesetz (NIS2UmsuCG, seit 6. Dezember 2025 in Kraft), verlangen über die Risikomanagementmaßnahmen nach Paragraf 30 BSIG genau diese Maßnahmen. Für Industrieanlagen und OT kommt mit IEC 62443 ein zweiter, technischer Maßstab hinzu. Dieser Beitrag erklärt, welche Pflichten den Fernzugriff konkret treffen und wie Sie sie sauber umsetzen.
NIS2 und das NIS2UmsuCG: der Stand 2026
Die NIS2-Richtlinie (EU) 2022/2555 wurde am 14. Dezember 2022 verabschiedet; die Frist zur Umsetzung in nationales Recht endete am 17. Oktober 2024. Deutschland hat sie mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist und das BSI-Gesetz (BSIG) umfassend neu gefasst hat.
Mit dem Gesetz steigt die Zahl der regulierten Organisationen in Deutschland von rund 4.500 auf etwa 29.500. Eine allgemeine Übergangsfrist gibt es nicht: Die Pflichten gelten seit Inkrafttreten. Die Frist zur Registrierung beim BSI lief am 6. März 2026 ab; eine verspätete Registrierung bleibt möglich, schützt aber nicht rückwirkend vor Pflichtverstößen.
Wer ist betroffen: Sektoren und Schwellenwerte
Das BSIG unterscheidet zwei Klassen, die den europäischen Kategorien wesentlich (essential) und wichtig (important) entsprechen:
- Besonders wichtige Einrichtungen: ab 250 Beschäftigten oder mehr als 50 Mio. Euro Jahresumsatz und mehr als 43 Mio. Euro Bilanzsumme (Paragraf 28 BSIG). KRITIS-Betreiber nach BSI-KritisV gehören unabhängig von ihrer Größe immer dazu.
- Wichtige Einrichtungen: ab 50 Beschäftigten oder mehr als 10 Mio. Euro Jahresumsatz.
Erfasst sind 18 Sektoren, aufgeteilt in Anlage 1 (11 Sektoren mit hoher Kritikalität wie Energie, Transport, Bankwesen, Gesundheit, digitale Infrastruktur und Wasser) und Anlage 2 (7 weitere Sektoren wie Lebensmittel, Chemie und verarbeitendes Gewerbe). Wichtig für Industriebetriebe: Auch wer selbst knapp unter den Schwellen liegt, wird über die Lieferkettensicherheit indirekt erfasst, sobald er Zulieferer einer betroffenen Einrichtung ist. Genau hier liegt der Fernwartungszugriff von Maschinen- und Anlagenbauern.
Bußgelder und Meldefristen
Der Bußgeldrahmen ist deutlich: Besonders wichtige Einrichtungen riskieren bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes (der höhere Wert gilt), wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent. Zusätzlich trägt die Geschäftsleitung persönliche Verantwortung für die Umsetzung und Überwachung der Risikomanagementmaßnahmen.
Erhebliche Sicherheitsvorfälle sind nach Paragraf 32 BSIG gestaffelt zu melden: eine Erstmeldung unverzüglich, spätestens nach 24 Stunden, eine bestätigende Folgemeldung nach 72 Stunden und eine Abschlussmeldung nach einem Monat. Diese Fristen sind nur einzuhalten, wenn Sie Zugriffe und Vorfälle lückenlos nachvollziehen können - der direkte Brückenschlag zum Fernzugriff.
Welche NIS2-Pflichten den Fernzugriff konkret treffen
Die zehn Mindestmaßnahmen nach Paragraf 30 Absatz 2 BSIG sind technologieneutral formuliert. Übersetzt auf den Fernzugriff ergeben sich daraus konkrete Anforderungen:
| Anforderung an den Fernzugriff | Grundlage NIS2 / BSIG | Grundlage IEC 62443 |
|---|---|---|
| Rollenbasierte Zugriffskontrolle (RBAC), least privilege | Paragraf 30 Abs. 2 Nr. 9 (Zugriffskontrolle) | SR 1.1 / SR 2.1 |
| Multi-Faktor-Authentifizierung | Paragraf 30 Abs. 2 Nr. 10 | SR 1.1 (MFA für Remote) |
| Lückenloses Audit und Logging | Paragraf 30 Abs. 2 Nr. 2, Paragraf 32 | SR 2.8 / SR 6.1 |
| Zeitlich begrenzter Just-in-time-Zugriff | Paragraf 30 Abs. 2 Nr. 9 | Genehmigter Session-Workflow |
| Kontrolle des Lieferanten-/Drittparteienzugriffs | Paragraf 30 Abs. 2 Nr. 4 (Lieferkette) | Vendor Access Management |
| Gesicherte Kommunikation (Verschlüsselung) | Paragraf 30 Abs. 2 Nr. 8 und 10 | Zones and Conduits |
| Asset-Inventar | Paragraf 30 Abs. 2 Nr. 9 (Verwaltung IKT) | SL-Targets je Zone |
Zwei Punkte verdienen besondere Aufmerksamkeit. Erstens der Lieferanten- und Drittparteienzugriff: Externe Servicepartner sind oft das schwächste Glied, weil sie mit pauschalen VPN-Zugängen auf das gesamte Netz kommen. NIS2 verlangt, diese Beziehungen abzusichern. Zweitens die Trennung von IT und OT: Ein Fernzugriff auf eine Maschine darf nicht zugleich Tür zur Office-IT sein. Beide Themen vertiefen wir im Leitfaden zu RBAC und Audit für Fernzugriff.
IEC 62443: Secure Remote Access für die OT
Für Industrieanlagen ergänzt die Normenreihe IEC 62443 die rechtlichen Vorgaben um eine technische Architektur. Ihr Kern für den Fernzugriff:
- Zonen und Conduits: Das Netz wird in Zonen ähnlicher Kritikalität unterteilt, die nur über kontrollierte Übergänge (Conduits) kommunizieren. Eine Schwachstelle bleibt so auf eine Zone begrenzt.
- Jump-Host statt Direktverbindung: Direkte Verbindungen zu OT-Geräten werden unterbunden. Jeder Fernzugriff läuft über einen abgesicherten Jump-Host in einer DMZ am IT/OT-Übergang.
- MFA und Freigabe-Workflow: Jede Wartungssitzung wird ausdrücklich freigegeben, hat eine maximale Dauer, nutzt MFA und wird aufgezeichnet und protokolliert.
- Security Levels (SL 1 bis 4): Je nach Schutzbedarf einer Zone wird ein SL-Ziel definiert, das die nötige Stärke der Maßnahmen vorgibt.
Wie sich daraus eine konkrete, sichere Fernwartung für Maschinen und Anlagen aufbauen lässt, beschreibt der Beitrag Sichere Fernwartung von Maschinen und Anlagen.
Wie eine souveräne Remote-Access-Plattform NIS2 abbildet
Die Anforderungen aus NIS2 und IEC 62443 lassen sich nicht mit einem nackten VPN erfüllen. Sie brauchen eine Plattform, die Identität, Zugriff, Verschlüsselung und Audit zusammenführt. Genau das bauen wir mit unseren souveränen Remote-Management-Plattformen - in Deutschland betrieben, ohne Abhängigkeit von US-Cloud-Diensten:
- Browserbasierter Zugriff über Apache Guacamole, sodass kein flächendeckender VPN-Client auf Drittgeräten nötig ist und jede Sitzung am Gateway endet.
- Verschlüsselte Standortanbindung per WireGuard, die OT-Netze sauber von der IT trennt - Details im Leitfaden zur WireGuard-Standortanbindung.
- RBAC, MFA und lückenloses Audit zentral durchgesetzt, inklusive zeitlich begrenztem Just-in-time-Zugriff und Aufzeichnung kritischer Sitzungen.
- Laufendes Schwachstellenmanagement über unser CVE-Monitoring und eine regelmäßige Überprüfung der Architektur im Security-Audit.
In der Praxis bewährt sich dieser Ansatz bereits: Für ABCO Water Systems in Australien betreiben wir den abgesicherten Fernzugriff auf verteilte Anlagen mit HMI-Zugriff, rollenbasierten Rechten und vollständigem Audit-Trail - genau das Modell, das NIS2 und IEC 62443 verlangen.
Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Für die verbindliche Bewertung Ihrer Betroffenheit und Pflichten ziehen Sie bitte fachkundigen Rechtsrat hinzu; die technische Umsetzung begleiten wir gern. Vereinbaren Sie ein unverbindliches Kennenlernen.
Sie möchten Remote Access & Fernwartung nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.
Häufig gestellte Fragen
Antworten auf die wichtigsten Fragen
Sie sind betroffen, wenn Sie in einem der 18 NIS2-Sektoren (Anlage 1 und 2 des BSIG) tätig sind und die Schwellenwerte überschreiten. Als wichtige Einrichtung gelten Sie ab 50 Beschäftigten oder mehr als 10 Mio. Euro Jahresumsatz, als besonders wichtige Einrichtung ab 250 Beschäftigten oder mehr als 50 Mio. Euro Umsatz und mehr als 43 Mio. Euro Bilanzsumme. KRITIS-Betreiber sind unabhängig von der Größe immer besonders wichtige Einrichtungen.
NIS2 verlangt über die Risikomanagementmaßnahmen nach Paragraf 30 BSIG vor allem rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung, ein lückenloses Audit aller Zugriffe, ein gepflegtes Asset-Inventar und die Kontrolle des Lieferanten- und Drittparteien-Zugriffs. In der Praxis kommen zeitlich begrenzter Just-in-time-Zugriff, Session-Aufzeichnung und eine saubere Trennung von IT und OT hinzu.
Ja. Paragraf 30 Absatz 2 Nr. 10 BSIG nennt ausdrücklich Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung sowie gesicherte Kommunikation. Für den Fernzugriff bedeutet das: Jeder externe Login auf Systeme oder Maschinen sollte mit einem zweiten Faktor abgesichert sein, nicht nur mit Passwort.
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten und hat das BSI-Gesetz (BSIG) umfassend neu gefasst. Eine allgemeine Übergangsfrist gibt es nicht: Die Pflichten gelten seit Inkrafttreten. Die Frist zur Registrierung beim BSI lief am 6. März 2026 ab, eine verspätete Registrierung bleibt möglich.
Für besonders wichtige Einrichtungen sind Bußgelder bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt der Rahmen bei bis zu 7 Mio. Euro oder 1,4 Prozent. Hinzu kommt die persönliche Verantwortung der Geschäftsleitung für die Umsetzung der Risikomanagementmaßnahmen.
IEC 62443 (Secure Remote Access) verlangt, direkte Verbindungen zu OT-Anlagen zu unterbinden und jeden Fernzugriff über einen abgesicherten Jump-Host in einer DMZ zu führen, mit MFA, definiertem Freigabe-Workflow, maximaler Sitzungsdauer, Session-Aufzeichnung und sauberer Trennung in Zonen und Conduits. So bleibt eine Schwachstelle auf eine Zone begrenzt und kompromittiert nicht die ganze Anlage.
Das Gesetz nennt keine wörtliche Pflicht zur Session-Aufzeichnung, aber die Bewältigung von Sicherheitsvorfällen (Paragraf 30 Absatz 2 Nr. 2 BSIG) und die Meldepflichten nach Paragraf 32 BSIG setzen voraus, dass Sie Vorfälle nachvollziehen können. Ein lückenloses Audit, idealerweise mit Aufzeichnung kritischer Fernwartungssitzungen, ist der praktische Weg, diese Nachweisbarkeit zu erfüllen.
Mehr zu Remote Access & Fernwartung
- Was ist Apache Guacamole?
- VNC im Browser: HMI-Fernzugriff
- Fernwartung ohne VPN-Client
- Self-hosted TeamViewer-Alternative (RustDesk)
- NIS2-konformer Fernzugriff
- RBAC & Audit für Fernzugriff
- Was ist ZTNA? (Zero Trust Network Access)
- IEC 62443 für den Fernzugriff auf OT
- SSO & MFA für das Fernzugriffs-Portal
- Privileged Access Management & Session-Recording
- Fernwartung & DSGVO (Auftragsverarbeitung, AV-Vertrag)
- WireGuard zur Standortanbindung
- Was ist NetBird? (Zero-Trust Mesh-VPN)
- Was ist Headscale?
- Interne Dienste ohne VPN veröffentlichen
- Multi-Tenant-Betreiberportal für Anlagen
- OT/IT-Segmentierung, DMZ & Purdue-Modell
- SSH-Bastion / Jump-Host
- Siemens-S7-/SPS-Fernzugriff ohne offene Ports
- NetBird vs Tailscale vs WireGuard
- OpenVPN vs WireGuard
- Sichere Fernwartung von Maschinen & Anlagen
