Mit der Einführung der NIS2-Richtlinie hat Europa erste Gesetze auf den Weg gebracht, die den Cyberraum schützen sollen. Doch was genau steckt dahinter?
Mit der stetig fortschreitenden Digitalisierung befindet sich die Produktion in der nächsten Phase der industriellen Revolution. Diese ist unter anderem geprägt durch die zunehmende Komplexität der Maschinensoftware, die Vernetzung von Produktionsanlagen, die Digitalisierung von Fertigungsprozessen und Lieferketten sowie die Echtzeiterhebung und -verarbeitung von Maschinendaten. Neben den vielen wirtschaftlichen Vorteilen resultiert aus der Digitalisierung auch eine Verwundbarkeit gegenüber Cyberangriffen – und die können weitreichende Folgen haben.
Denn stillstehende Anlagen oder Produktionsausfälle sind kostspielig und haben unter Umständen direkte Auswirkungen auf die gesellschaftliche Versorgung. Durch Angreifer gestohlene und veröffentlichte Konstruktions-, Produktions- oder Kundendaten sind zudem rufschädigend und schwächen Unternehmen im internationalen Wettbewerb.
Um Europa sowohl physisch als auch im Cyberraum zu schützen, wurden zahlreiche Gesetzesvorhaben auf den Weg gebracht und zu Teilen auch schon in Kraft gesetzt, darunter auch die europäische NIS2-Richtlinie. Aber was genau steckt dahinter? Und warum sollten gerade produzierende Unternehmen bereits jetzt aktiv werden?
NIS2-Richtlinie: Europas Werkzeug gegen Cyberbedrohungen
Nach der Veröffentlichung der NIS2-Richtlinie am 27. Dezember 2022 folgte das Inkrafttreten am 16. Januar 2023 – seitdem läuft die Uhr für alle EU-Mitgliedsstaaten. Bis Oktober 2024 haben sie Zeit, die Richtlinie in nationales Recht umzusetzen. Deutschland erarbeitet aktuell das Umsetzungsgesetz.
Die Botschaft der EU ist indes klar: alle EU-Mitgliedsstaaten sollen sich an dieselben Sicherheitsstandards halten und ein gemeinsames hohes Sicherheitsniveau aufrechterhalten. Im Vergleich zur vorhergehenden EU NIS-Richtlinie schließt NIS2 dabei nicht nur deutlich mehr Unternehmen mit ein und gibt ihnen Leitlinien an die Hand, wie sie auf Angriffe reagieren können. Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden zusätzlich dazu mit erweiterten Befugnissen ausgestattet, um sicherzustellen, dass die Sicherheit nicht nur auf dem Papier existiert. Der Gesetzgeber hat erkannt, dass Unternehmen, die essenzielle Güter für die Versorgung der Gesellschaft herstellen, besonders geschützt werden müssen.
Welche produzierenden Unternehmen sind von der NIS2-Richtlinie betroffen?
Betroffene Wirtschaftszweige sind im bisherigen Referentenentwurf des Gesetzes zur Umsetzung der NIS2-Richtlinie (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz oder NIS2UmsuCG) in drei Kategorien unterteilt: Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen.
Produzierende Unternehmen gehören zur Kategorie „wichtige Einrichtungen“ und sind eingeordnet in die Sektoren Produktion, Chemie, Ernährung und verarbeitendes Gewerbe. Sie müssen sich im Bereich Informations-, IT- und OT-Sicherheit entsprechend den Anforderungen des Gesetzes aufstellen und ihre Unternehmensprozesse schützen.
Wie bereiten sich Unternehmen am besten vor?
Die Umsetzung ist als Marathon, nicht als Sprint zu sehen. Unternehmen sollten zunächst prüfen, ob und wie sie von dem neuen Gesetz betroffen sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zur Erreichung eines angemessenen Risiko- und IT-Sicherheitsniveau sind unerlässlich. Dazu gehören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, die dem aktuellen Stand der Technik entsprechen müssen.
Für Industrieunternehmen bringt NIS2 neue Spielregeln und damit neue Aufgaben, unter anderem die Beachtung der Meldeprozesse. Berater und Beraterinnen können unterstützen und maßgeschneiderte Konzepte für die angemessene Umsetzung bieten. Die Steigerung der Cybersicherheit erfordert jedoch ein Bewusstsein auf allen Ebenen. Gerade die oberste Führungsebene ist in der Verantwortung, die Bedeutung des Themas zu erkennen und entsprechende Maßnahmen zu ergreifen. Dies beinhaltet auch die Etablierung einer Sicherheitskultur im gesamten Unternehmen.
Dabei können sich Unternehmen an folgenden sieben Schritten orientieren:
- Bestandsaufnahme – Risiken identifizieren
- Individuelle Maßnahmen ableiten
- Zugangsberechtigungen implementieren (Netzsegmentierung)
- Firewalls installieren und Einstellungen überprüfen
- Physische Sicherheitslösungen einsetzen
- Pentests zur Überprüfung der Robustheit durchführen
- Bei der Neuentwicklung von Maschinen und Komponenten den Grundsatz „Security by Design“ berücksichtigen
Jetzt reagieren, um sicher in die Zukunft zu blicken
Die NIS2-Richtlinie ist mehr als nur ein Regelwerk – sie ist ein Handlungsaufruf, IT- und OT-Sicherheit zu etablieren sowie eine widerstandsfähige Organisation zu schaffen und aufrecht zu erhalten. Neben möglichen Bußgeldern wird die Unternehmensleitung von Großunternehmen dabei auch deutlich stärker in Haftung genommen. Die Aufsichtsbehörde kann den Betrieb besonders wichtiger Einrichtungen vorübergehend aussetzen oder der Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen. Umso wichtiger ist es für Unternehmen, sich gegen die Risiken der digitalen Welt zu wappnen.
Alexander Schlensog, Global Head of Consulting Services, secunet