NIS2-Cybersicherheitsfrist 2026: Was Anwender älterer SPS-Systeme wissen müssen
July 15, 2026
Nach Ablauf der Umsetzungsfrist für die NIS2-Richtlinie und dem Beginn ihrer Durchsetzung in den EU-Mitgliedstaaten verändert die Richtlinie die Cybersicherheitsanforderungen für Industrieanlagen weltweit. Für Anlagen mit älteren SPS-Systemen – Plattformen, die nie für Netzwerksicherheit konzipiert wurden – sind die Auswirkungen der Einhaltung der Richtlinie erheblich.
Die EU-Richtlinie NIS2 (Richtlinie (EU) 2022/2555) weitet die Cybersicherheitsregulierung direkter auf die Fertigungsindustrie aus als ihre Vorgängerrichtlinie. Sie unterstellt Tausende von Betrieben verbindlichen Cybersicherheitsauflagen.
Laut ENISA variiert die Durchsetzung der Vorschriften je nach Mitgliedstaat, umfasst aber im Allgemeinen regelmäßige Audits, die Meldung von Vorfällen rund um die Uhr und Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Bei Anlagen mit veralteter Automatisierungstechnik verfügen die speicherprogrammierbaren Steuerungen (SPS), die den Produktionsablauf gewährleisten, nicht über die integrierten Sicherheitsfunktionen, die für die Einhaltung moderner Compliance-Standards erforderlich sind.

Industrieautomatisierungsplattformen der 1980er- bis frühen 2010er-Jahre wurden zu einer Zeit entwickelt, als Steuerungen über proprietäre Feldbusse oder serielle Schnittstellen kommunizierten, nicht über Ethernet-basierte Protokolle. Diese Ära ist vorbei, die Hardware jedoch geblieben.
Betrachten wir die Plattformen, die in der europäischen und globalen Fertigungsindustrie noch immer weit verbreitet sind:
· Allen-Bradley PLC-5 Und SLC 500 Die bewährten Systeme von Rockwell aus den 1980er- und 1990er-Jahren. Die PLC-5 wurde 2017, die SLC 500 2023 eingestellt. Beide unterstützen weder Verschlüsselung noch Authentifizierung oder Zugriffskontrolle auf Netzwerkebene. Eine einzige unsegmentierte Ethernet-Verbindung ermöglicht es jedem mit CIP-Kenntnissen, auf das Steuerungsprogramm zuzugreifen.
· Siemens SIMATIC S7-300 Und S7-400 Die S7-300 (1994) und die S7-400 gehören zu den am weitesten verbreiteten SPS-Familien in der europäischen Fertigungsindustrie. Ihr Lebenszyklus wurde 2022 eingestellt. Beide unterstützen keine moderne Authentifizierung für die S7-Kommunikation ohne zusätzliche Sicherheitslösungen von Drittanbietern.
· Schneider Der Electric Modicon Quantum war ein Standardprodukt der Prozessindustrie. Das Produkt wurde 2022 eingestellt, die letzten Kaufoptionen sind weitgehend abgelaufen. Die Modbus-TCP-Implementierung des Quantum bietet keine integrierten Sicherheitsfunktionen.
· Mitsubishi Elektrische MELSEC-A-Serie (A-Serie) – Seit den 1980er Jahren weit verbreitet in der asiatischen und europäischen Fertigungsindustrie. Mitsubishi bewirbt die iQ-F und iQ-R als Nachfolger, aber ältere Anlagen der A-Serie sind weiterhin in der Lebensmittel-, Verpackungs- und Materialhandhabungsindustrie im Einsatz, wo sich die Kosten für einen Austausch nur schwer rechtfertigen lassen.
· Omron C200H und CQM1 – im Einsatz in unzähligen Verpackungs- und Maschinensteuerungsanwendungen in ganz Europa und Nordamerika. Omron verlagerte seinen Fokus auf die Plattformen NJ/NX und Sysmac, aber die installierte Basis des C200H ist in der kleinen und mittelständischen Fertigungsindustrie weiterhin beträchtlich.
„Generell gilt: Jede SPS, die vor etwa 2010 entwickelt wurde, verfügt nicht über die Authentifizierungs-, Verschlüsselungs- und Protokollierungsfunktionen, die die NIS2-Konformität heute erfordert“, schrieb ein Steuerungssystemingenieur auf Control.com. „Diese Steuerungen vertrauen jeder empfangenen Nachricht. In einem flachen Netzwerk mit IT/OT-Konvergenz stellt dies einen Compliance-Verstoß dar, der bei einem Audit aufgedeckt werden kann.“
In einem Anfang 2024 von AutomationWorld (automationworld.com) veröffentlichten Bericht wurde festgestellt, dass „die installierte Basis von Legacy-Steuerungen in ganz Europa in die Hunderttausende geht und viele davon unternehmenskritische Prozesse ausführen, die für eine vollständige Migration nicht ohne monatelange Planung abgeschaltet werden können.“
Branchenanalysten beschreiben drei Strategien zur Erfüllung der NIS2-Anforderungen bei älteren SPS-Systemen. Jede Strategie hat unterschiedliche Auswirkungen auf den Ersatzteilbedarf.
Der schonendste Ansatz besteht darin, bestehende SPS-Netzwerke vollständig von den Unternehmens-IT-Netzwerken und dem Internet zu isolieren oder eine mehrschichtige Sicherheitsarchitektur mit Firewalls, unidirektionalen Gateways und industriellen DMZs zu implementieren. Die SPSen selbst bleiben unverändert – die Sicherheit wird an der Netzwerkgrenze implementiert.
Dieser Ansatz ermöglicht es Unternehmen, ihre bestehende Hardware weiterhin zu nutzen, erfordert jedoch eine sorgfältige Planung gemäß ISA/IEC 62443 und stellt hohe Anforderungen an die Ersatzteilverfügbarkeit. Fällt ein älteres SPS-Modul innerhalb einer segmentierten Zone aus, kann die gesamte Produktionszelle stillstehen, bis ein Ersatz gefunden ist. Mit zunehmender Verbreitung von Segmentierungsprojekten steigt der Bedarf an funktionsfähigen Ersatzmodulen für ältere Plattformen proportional an.
Die endgültige Lösung – der Austausch der veralteten PLC-5-, S7-300-, Modicon Quantum- und ähnlichen Steuerungen durch moderne Äquivalente, die verschlüsselte Kommunikation, Authentifizierung und Audit-Protokollierung unterstützen – erfordert erhebliche Investitionen und Produktionsausfälle.
Siemens positioniert seine S7-1500-Plattform als Migrationslösung für S7-300/400-Anwender mit integrierter Sicherheits-Firmware und dem CP 1543-1 für Firewall- und VPN-Funktionen. Rockwell Automation bewirbt seine CompactLogix 5380/5480- und ControlLogix 5580-Serien mit integrierter CIP-Sicherheit für die Migration von SLC 500 und PLC-5. Die Plattformen M580 und M340 von Schneider Electric bieten integrierte Cybersicherheitsfunktionen als Ersatz für Modicon Quantum.
Die Umsetzungsüberwachung der ENISA zeigt jedoch, dass viele Mitgliedstaaten in der ersten Durchsetzungsphase (2025–2027) der Meldung von Vorfällen und der Dokumentation von Risikobewertungen Vorrang vor dem sofortigen Hardwareaustausch einräumen. Dadurch entsteht ein Zeitfenster, in dem Unternehmen die Einhaltung der Vorschriften nachweisen müssen, während sie weiterhin ältere Hardware betreiben – ein Szenario, das einen zuverlässigen Bestand an funktionsfähigen Ersatzmodulen erfordert.
Für Organisationen, die mit Vorlaufzeiten von 12 bis 36 Monaten für Engineering, Schrankumgestaltung, Codekonvertierung und Validierung konfrontiert sind – typisch für groß angelegte Migrationsprojekte –, erfordert die Aufrechterhaltung des bestehenden Systems in einer konformen Konfiguration den Zugriff auf Ersatzmodule.
Dieser dritte Weg markiert den Punkt, an dem sich der Ersatzteilmarkt deutlich verlagert hat. Veraltete Module, die früher über den regulären Vertrieb erhältlich waren, werden nun in spezialisierten Restpostennetzwerken konsolidiert. Für Unternehmen, die S7-400-Racks in deutschen Automobilwerken, SLC-500-Prozessoren in französischen Verpackungslinien oder Modicon-Quantum-CPUs in italienischen Wasseraufbereitungsanlagen betreiben, kann die Beschaffung eines Ersatzmoduls innerhalb von 24 bis 48 Stunden darüber entscheiden, ob eine Produktionslinie ihre Quartalsziele erreicht.
Das Zusammentreffen der Fristen für die Einhaltung der NIS2-Vorschriften und der Ankündigungen der Hersteller über das Ende ihrer Produktlebenszyklen führt zu einer Angebotsverknappung, die sich bis 2026 und darüber hinaus noch verschärfen wird.
Die letzten Bestellfenster für SLC-500-Module von Rockwell liefen Mitte 2023 aus. Die letzten Bestellungen für Siemens S7-300 wurden von 2023 bis 2024 abgewickelt, der Service-Support wurde schrittweise eingestellt. Schneiders Modicon Quantum-Programme endeten 2022. Mit jeder Einstellung fällt ein offizieller Lieferkanal weg, und die verbleibenden Lagerbestände werden sowohl für Neuanlagen als auch für Wartungsarbeiten verwendet.
Für Unternehmen, die Pfad 1 (Segmentierung) oder Pfad 3 (Übergangserweiterung) verfolgen, wird der Zugang zu geprüften, funktionsfähigen Ersatzteilen für ältere SPS-Plattformen zu einer strategischen Priorität – und nicht nur zu einer Wartungserleichterung. Teile, die sowohl die CE- als auch die UL-Zertifizierungsstandards für EU-regulierte Anlagen erfüllen, sind besonders schwer erhältlich.
Ersatzteillieferanten, die umfassende Lagerbestände an älteren Komponenten vorhalten – darunter Backplanes, Netzteile, CPU-Module und I/O-Karten –, helfen den Herstellern, die Lücke zwischen dem aktuellen Betrieb und der vollständigen NIS2-Konformität zu schließen.
Hersteller, die die NIS2-Konformität bewerten, sollten ihre bestehenden Automatisierungssysteme inventarisieren, jedes Gerät anhand des ISA/IEC 62443-Rahmenwerks bewerten und einen Migrationszeitplan entwickeln, der die Einschränkungen in den Bereichen Entwicklung, Validierung und Produktion berücksichtigt.
In der Zwischenzeit entscheidet die Verfügbarkeit geprüfter Ersatzteile für ältere Plattformen wie Allen-Bradley, Siemens und andere industrielle Automatisierungssteuerungen darüber, ob ein Werk den Betrieb aufrechterhalten und gleichzeitig eine konforme Architektur aufbauen kann. Mit zunehmender Durchsetzung der Vorschriften bis 2026 werden diejenigen Werke – nicht nur diejenigen mit den fortschrittlichsten Cybersicherheitstools – die Produktion am Laufen halten können, die über die robustesten Ersatzteilstrategien verfügen.
Die Frist für NIS2 ist verstrichen, aber für die Anwender älterer SPS-Systeme in ganz Europa und die globalen Lieferketten, die sie bedienen, beginnt die eigentliche Arbeit zur Sicherstellung von Konformität und Kontinuität erst jetzt.
------------------------------------------------------------------------------------------------------------------
🏢 Über TZ Tech
TZ Tech ist ein führender Anbieter von Komponenten für Industrieautomation, Elektrotechnik, Messtechnik und Telekommunikation. Wir sind spezialisiert auf die Beschaffung sofort lieferbarer Lagerbestände von Distributoren und können Ihnen dadurch äußerst wettbewerbsfähige Preise und kurze Lieferzeiten bieten. Dank unseres umfangreichen Lagers können wir sogar seltene und nicht mehr produzierte Teile beschaffen, die andernorts schwer zu finden sind.
🛡️ Unser Qualitätsversprechen
Wir wissen, dass Qualität für Sie oberste Priorität hat. Jede Komponente durchläuft einen strengen Prüf- und Kontrollprozess, damit Sie unbesorgt kaufen können. Bei älteren oder nicht mehr erhältlichen Teilen setzen wir auf volle Transparenz und liefern Ihnen stets einen ehrlichen und genauen Bericht über den Zustand des Produkts. Darüber hinaus erhalten Sie auf alle Neuteile eine einjährige Garantie.

✉️ Nehmen Sie Kontakt auf
Haben Sie ein Projekt oder benötigen Sie ein Ersatzteil? Senden Sie uns noch heute Ihre Anfrage! Unser Team ist bestrebt, Ihnen innerhalb von 6 Stunden (außer an Wochenenden) eine schnelle Antwort zu geben.
Darüber hinaus möchten wir mit Ihrer Erlaubnis Cookies platzieren, um Ihren Besuch und die Interaktion mit slOC persönlicher zu gestalten. Hierzu verwenden wir Analyse- und Werbecookies. Mit diesen Cookies können wir und Dritte Ihr Internetverhalten innerhalb und außerhalb von super-instrument.com verfolgen und erfassen. Dabei passen wir und Dritte super-instrument.com und Werbung an Ihre Interessen an. Indem Sie auf „Akzeptieren“ klicken, stimmen Sie dem zu. Wenn Sie dies ablehnen, verwenden wir nur die notwendigen Cookies und Sie erhalten leider keine personalisierten Inhalte. Bitte besuchen Sie unsere Cookie-Richtlinie für weitere Informationen oder um Ihre Einwilligung in Zukunft zu ändern.
Accept and continue Decline cookies