Dr. Christine Payer, Lead Counsil IIOT, Dürr AG, hat diese EU-Vorgaben für die Digitalisierung beim VDMA European Summit 2026 in Rom auf den Punkt gebracht – und teilt im Interview die wichtigsten Learnings: Was sich für Hersteller ändert, warum „Security by Design“ mehr als ein Buzzword ist und wie eine Umsetzung aussehen kann am Beispiel von Dürr.
Dr. Christine Payer: Weil Digitalisierung heute nicht mehr „nice to have“ ist. Wer als Industrieunternehmen wettbewerbsfähig bleiben will, kommt an digitalisierten Produktionsprozessen nicht vorbei. Sie schaffen Effizienz, verbessern Qualität, helfen bei Energieoptimierung und unterstützen nachhaltigere Produktion. Aber: Mit jeder zusätzlichen Schnittstelle, jedem vernetzten System und jeder Software-Komponente verändert sich die Risikolandschaft. Die Angriffsfläche wächst – und zwar über IT und OT hinweg. Es reicht heute nicht mehr aus, Produktionssysteme lediglich durch eine Netzwerktrennung abzusichern. Angreifer gehen heute äußerst raffiniert vor und suchen bewusst über interne Unternehmensstrukturen nach potenziellen Schwachstellen.
Dr. Christine Payer: Genau. Cybervorfälle treffen heute nicht nur „die IT“. Sie können Produktion und Sicherheit beeinträchtigen, Lieferketten stören und am Ende Vertrauen zerstören. Cybersecurity ist damit Teil industrieller Resilienz und unternehmerischer Verantwortung.
Dr. Christine Payer: Es sollte verdeutlichen, wie breit Cyberangriffe inzwischen wirken. Ich habe auf Angriffe verwiesen, die Ende Dezember in Polen Wind- und Photovoltaikparks betroffen haben – und bei denen zusätzlich versucht wurde, die Abläufe eines Unternehmens aus dem verarbeitenden Gewerbe zu stören. Das zeigt: Angriffe sind nicht „weit weg“ oder nur ein Problem einzelner Branchen. Die Frage ist nicht, ob man betroffen sein kann, sondern wie gut man vorbereitet ist.
Dr. Christine Payer: Wir erleben gerade eine Verdichtung: Cyber Resilience Act (CRA), NIS-2, Maschinenverordnung, AI Act und das Inkrafttreten des EU Data Act. Vieles soll in kurzer Zeit umgesetzt werden. Das erzeugt enormen Druck, insbesondere für Hersteller.
Und ganz ehrlich: Ich frage mich ernsthaft, wie kleine und mittlere Unternehmen das im geforderten Tempo stemmen sollen – wenn man bedenkt, wie viele Komponenten in einer digitalisierten Fabrik potenziell CRA-relevant sind.
Dr. Christine Payer: Nein – und das ist ein wichtiger Punkt. Bei Dürr ist Cybersecurity seit Jahren konzernweit verankert. Wir haben Prozesse aufgebaut, u. a. mit Bezug zu IEC 62443, um Kunden verlässliche Lösungen zu liefern. Aber Cybersecurity ist natürlich kein einmaliger Aufwand. Dürr hat ein zentrales Team etabliert, das kontinuierlich die Bedrohungslage analysiert und Kunden bei der schnellstmöglichen Lösung unterstützt.
Der CRA verlangt daher eher eine konsequente Erweiterung – keine strategische Kehrtwende. Was sich aber deutlich verändert, ist die Dimension Compliance: Es geht nicht nur darum, Cybersecurity technisch gut zu machen, sondern regulatorische Anforderungen belastbar nachzuweisen und Pflichten sauber zu erfüllen.
Dr. Christine Payer: Wir haben dafür dedizierte Strukturen und klare Verantwortlichkeiten geschaffen. Ein konzernweites Expertenteam – getragen von einzelnen Schlüsselpersonen und flankiert durch ein Gremium – verantwortet die Implementierung des CRA über den gesamten Konzern hinweg, unter anderem durch strukturierten Wissenstransfer. Operativ setzt zugleich jeder Geschäftsbereich die Anforderungen in seinem Verantwortungsbereich um; der rechtliche Rahmen, die Auslegung der Vorgaben und die übergreifende Bewertung werden zentral koordiniert. Zusätzlich haben wir Ressourcen im Product Security Development Team aufgestockt und ein eigenes Team für die gesetzlich geforderten Reporting-Kanäle etabliert. Und: Wir haben ein sicheres Kundenportal aufgebaut, über das Updates bereitgestellt werden.
Dr. Christine Payer: Weil digitale Fabriken nur dann resilient sind, wenn beide Seiten stimmen: NIS-2 adressiert die Organisation und den Betrieb – also die Frage: Welche Systeme sind kritisch, wie schützt man Prozesse, wie managt man Risiken? Und das längst nicht nur in klassischer IT, sondern zunehmend in OT-Landschaften mit gewachsenen Strukturen und Legacy-Systemen.[FL1.1] Damit adressiert NIS‑2 die organisatorische Seite der Resilienz – während der CRA die Produkt- und Lieferkettenebene absichert. Er stellt die Schnittstelle zu Softwarelieferanten dar und sichert so einen einheitlichen Sicherheitsstandard in der gesamten Lieferkette von Softwareapplikationen.
Dr. Christine Payer: Wenn Produkte CRA-konform entwickelt und bereitgestellt werden, können Betreiber ihre Anforderungen aus NIS-2 leichter erfüllen – weil eine sichere Basis schon „eingebaut“ ist. In diesem Sinne stärken sichere Produkte auch die organisatorische Resilienz.
Das ist der Kern der „zwei Seiten derselben Medaille“, über die ich in Rom gesprochen habe.
Dr. Christine Payer: Ja, aus Business-Perspektive ist die klare Stärkung von Cybersecurity durch den europäischen Gesetzgeber grundsätzlich positiv. Dürr ist mit etablierten Standards, Prozessen und Produkten gut positioniert, um diese Anforderungen zu erfüllen – und Kunden bei der sicheren Digitalisierung zu unterstützen.
Occupational Safety Specialist ROB (m/f/d)
How Michael Baitinger, CEO of Dürr China, is rethinking leadership, innovation, and “local for global”
