Tausende Hersteller von neuen Cybersecurity-Vorgaben betroffen
Mit der NIS-2-Richtlinie zur Umsetzung von Cybersecurity-Maßnahmen kommen neue Herausforderungen und Verpflichtungen auf Unternehmen des verarbeitenden Gewerbes zu.
Von Steffen Zimmermann
Was ist die NIS-2-Richtlinie? Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie. Sie zielt darauf ab, die Widerstandsfähigkeit kritischer Infrastrukturen und wichtiger europäischer Sektoren gegen Cyberbedrohungen in Europa zu stärken.
Die europäische Richtlinie verpflichtet erstmals auch Unternehmen im verarbeitenden Gewerbe zur Umsetzung von Cybersecurity. Sie versucht, Unterschiede in der Umsetzung der Cybersicherheitsregeln in den einzelnen EU-Mitgliedstaaten zu verringern, indem sie einheitlichere Anforderungen schafft.
Wann ist der Beginn der Anwendung?
Die NIS-2-Richtlinie wurde im Januar 2023 verabschiedet und erfordert eine umfassende Umsetzung in den EU-Mitgliedsstaaten bis zum 17. Oktober 2024. In Deutschland wurde Ende Juli die Umsetzung mit dem Gesetzesentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) vom Bundeskabinett verabschiedet. Nach aktueller Sachlage ist mit einer Befassung des NIS2UmsuCG in Bundestag und Bundesrat bis Jahresende 2024 zu rechnen. Ein Inkrafttreten des neuen Gesetzes ist aus VDMA-Sicht damit für Anfang 2025 wahrscheinlich.
Der Gesetzesentwurf sieht grundsätzlich keine Umsetzungsfrist vor. Damit sind die Anforderungen durch betroffene Unternehmen mit Inkrafttreten zu erfüllen. Betroffene Unternehmen haben drei Monate Zeit, sich beim Bundesamt für Sicherheit in der IT (BSI) zu registrieren. Das entsprechende BSI-Portal soll rechtzeitig zur Verfügung stehen.
Wer ist davon betroffen?
Betroffen sind erstmals Unternehmen des Maschinen- und Anlagenbaus mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als zehn Millionen Euro und einer Bilanzsumme von mehr als zehn Millionen Euro. In Deutschland sind dies ca. 3.600 Unternehmen, von denen ca. 75 Prozent als kleine und mittelständische Unternehmen (KMU) gelten (50-250 Mitarbeiter).
Foto: © DALL.E/okapidesignDer Gesetzesentwurf listet darüber hinaus weitere 13 Sektoren auf, u. a. Hersteller von elektrischen Ausrüstungen. Unternehmen der genannten Sektoren fallen in den Anwendungsbereich, wenn diese in Europa Waren herstellen oder Dienstleistungen anbieten. Reine Vertriebsgesellschaften sind ausgenommen. Eine Konzernsicht ist nicht im Gesetz enthalten, für Konzerne muss jede einzelne Gesellschaft betrachtet werden.
Der Gesetzesentwurf unterscheidet gemäß Kritikalität zwischen sogenannten wichtigen Einrichtungen und besonders wichtigen Einrichtungen. Unternehmen des Maschinen- und Anlagenbaus können über die Prüfung des statistischen Wirtschaftszweigs ihrer regelmäßigen Statistikmeldungen ermitteln, ob sie betroffen sind. Ist die von Unternehmen gemeldete "WZ-Nummer" zwischen 2800 und 2899, so ist das Unternehmen als Maschinenbauer im Anwendungsbereich des NIS2UmsuCG. Unternehmen im Bereich elektrischer Ausrüstungen sind im Anwendungsbereich, sofern die WZ-Nummer zwischen 2700 und 2799 liegt. Der Gesetzesentwurf sieht keine weitere Unterscheidung nach Fachbereichen oder Untersektoren vor.
Sind auch Aufzugshersteller von der NIS-2-Richtlinie betroffen?
Aufzugshersteller fallen grundsätzlich mit der WZ-Nummer 28.22.0 direkt unter den im NIS2UmsuCG genannten Sektor "Maschinenbau" und gelten damit als wichtige Einrichtung:
28.22.0 Herstellung von Hebezeugen und Fördermitteln
Diese Unterklasse umfasst:
• Herstellung von hand- oder kraftbetriebenen Hebezeugen und Fördermitteln sowie Be- und Entladevorrichtungen:
o Flaschenzüge, Hebezeuge, Winden und Spille
o Derricks, Kräne, fahrbare Hubvorrichtungen, Portalhubwagen usw.
o Kraftkarren, auch mit Eigenantrieb
o Hebezeuge und Fördermittel, für industrielle Zwecke (einschließlich Hand- und Schubkarren)
o eigens für Hebe-, Förder- sowie Be- und Entladetätigkeiten ausgelegte mechanische Greifer und Industrieroboter
• Herstellung von Stetigförderern, Seilbahnen usw.
• Herstellung von Aufzügen, Fahrtreppen und Fahrsteigen
Hersteller von Aufzugskomponenten müssen ebenfalls prüfen, ob sie gemäß der gemeldeten statistischen Wirtschaftstätigkeit (WZ-Nummer) vom Anwendungsbereich des NIS2UmsuCG erfasst sind.
Was sind die Pflichten der Hersteller?
Unternehmen, die in den Anwendungsbereich fallen, müssen strengere Sicherheitsvorkehrungen treffen, darunter Maßnahmen zum Cybersicherheitsrisikomanagement sowie Berichtspflichten über Cybersicherheitsvorfälle. NIS 2 verpflichtet Unternehmen in ihrer Rolle als Betreiber von Informationssystemen – zu denen sowohl klassische IT-Systeme als auch die Fertigungssysteme sowie IT-bezogene Dienstleistungen (z. B. Fernwartungslösungen) zählen – zur Umsetzung angemessener Cybersicherheitsmaßnahmen.
Die Geschäftsleitung muss zudem im Bereich Risikomanagement geschult sein. Erhebliche Sicherheitsvorfälle müssen an die nationale Behörde, in Deutschland das BSI, innerhalb von 24 Stunden gemeldet werden. Welche Sicherheitsvorfälle als erheblich gelten, wird von der EU-Kommission derzeit erarbeitet.
Wie sind die Pflichten in anderen EU-Staaten?
Die NIS 2 kennt keine Konzernregelung. Multinationale Konzerne müssen daher in allen EU-Ländern, in denen sie mit Tochtergesellschaften vertreten sind, die jeweiligen nationalen Umsetzungen der NIS-2-Richtlinie prüfen und die nationalen Konzerntöchter diese einhalten. Für die Betroffenen bedeutet dies, dass jede juristische Person im Konzernverbund individuell und unter Berücksichtigung des EU-KMU-Leitfadens geprüft werden sollte.
Jede nationale Gesellschaft, die im Anwendungsbereich als "wichtige Einrichtung" gilt und auch die Ausnahmetatbestände nicht erfüllt, muss sich bei der jeweiligen nationalen Aufsichtsbehörde registrieren. Dies gilt auch für Konzernteile, die in dem EU-Mitgliedsstaat lediglich Dienstleistungen erbringen (z. B. als Managed Service Provider).
Meldungen von erheblichen Sicherheitsvorfällen müssen von der nationalen Gesellschaft immer an die jeweilige nationale Behörde erfolgen. Bisher sind die nationalen NIS-2-Umsetzungsgesetze in Ungarn, Belgien, Kroatien und zuletzt in Lettland in Kraft getreten.
Was passiert mit Herstellern, die ihre Pflichten nicht erfüllen?
Für Unternehmen, die sich nicht an die Sicherheitsanforderungen halten, werden harte Sanktionen eingeführt. Bußgeldbewehrt sind beispielsweise nicht ergriffene Risikominimierungsmaßnahmen, Unterlassung der Meldung eines erheblichen Cybersicherheitsvorfalls und Verstöße gegen die Registrierungspflicht.
Es drohen Bußgelder von bis zu sieben Millionen Euro sowie Geschäftsbeschränkungen für die Geschäftsleitung.Aufzugshersteller müssen sich umfassend mit den kommenden Verpflichtungen der NIS-2-Richtlinie und in Deutschland dem NIS2UmsuCG befassen.
Der Autor ist Leiter des Compentence Centers für Industrial Security beim VDMA.
Beratung: Der VDMA bietet Unterstützung u. a. durch Handlungsempfehlungen für KMU, einem Mapping der ISO 27001 zur NIS 2 sowie im Rahmen des VDMA Competence Centers Industrial Security eine Beratung von Mitgliedsunternehmen bezüglich Betroffenheit und praktischer Umsetzung.
vdma.org
Kommentar schreiben