11. MÄRZ 2025
12 MIN.
NIS-2-Richtlinie: Welche Maßnahmen die Industrie jetzt umsetzen muss
Im ersten Teil unserer Miniserie zur NIS-2-Richtlinie der Europäischen Union haben wir Sie über den zeitlichen Ablauf der Einführung informiert und die Betroffenheit für Ihr Unternehmen geklärt. Jetzt beschäftigen wir uns mit den konkreten Inhalten der Regulierung: Welche Maßnahmen müssen umgesetzt werden? Welche Folgen drohen bei Nichteinhaltung?
In vielen EU-Mitgliedstaaten sind die Anforderungen bereits in geltendes Recht überführt, in einigen Ländern wie Deutschland und Frankreich verzögert sich der Prozess um mehrere Monate. Das ist jedoch kein Signal zum Füße hochlegen, im Gegenteil: Insbesondere für Industrieunternehmen mit vielschichtigen Produktionsumgebungen und komplexen Betriebsabläufen wird die Einführung neuer Sicherheitsmaßnahmen mehr Zeit in Anspruch nehmen, als bis zum Inkrafttreten des nationalen Gesetzes verbleibt. Informieren Sie sich in diesem Artikel, was zu tun ist, um sich optimal auf die neue Richtlinie vorzubereiten.
NIS-2-Richtlinie: Die Anforderungen im Überblick
Die NIS-2-Direktive gibt ein Rahmenwerk vor, das im nationalen Kontext in konkrete Anforderungen an die Informations- und Cybersicherheit in betroffenen Unternehmen übersetzt wird. Dabei wird ein All-Gefahren-Ansatz (All-Hazards Approach) verfolgt; es soll also ein möglichst breites Spektrum an Risiken abgedeckt werden, das sich nicht nur auf die IT oder Cyberangriffe beschränkt.
Obwohl in Deutschland letzte Details erst mit der konkreten Ausformulierung des Gesetzestextes vorliegen werden, geben die Kerninhalte des EU-Rahmenwerks und verwandte Regulierungen (bspw. für kritische Infrastrukturen, KRITIS) bereits einen guten Eindruck, welche Maßnahmen betroffene Firmen umsetzen müssen. Im Folgenden setzen wir uns mit den wichtigsten Punkten der Richtlinie auseinander, ohne dass es sich dabei um eine vollständige Auflistung handelt.
1. Risikomanagement
1. RisikomanagementJedes Unternehmen ist einer Vielzahl von Risiken ausgesetzt, die über den Cyber-Bereich hinaus alle Assets, Personen und Geschäftsniederlassungen bis hin zu immateriellen Werten wie dem geistigen Eigentum und Reputation betreffen können. Diese Risiken unter Berücksichtigung individueller Faktoren zu identifizieren, nach Bedrohungspotenzial einzuschätzen und schließlich einzudämmen, ist Aufgabe des Risikomanagements.
Als Standard hierfür hat sich das Anlegen eines Informationssicherheits-Managementsystems (ISMS) etabliert, welches alle Schritte der Risikoverwaltung und -mitigierung umfasst. Organisationen, die wie TRIOVEGA eine Zertifizierung nach der internationalen ISO 27001-Norm durchlaufen haben, sind mit ihrem ISMS auch gut auf die NIS-2-Richtlinie vorbereitet. Die meisten Anforderungen an den Umgang mit Risiken sind in den beiden Frameworks ähnlich ausgelegt.
Nicht zu unterschätzen ist der kontinuierliche Aufwand, den die Aktualisierung des ISMS aufgrund veränderter Bedrohungslagen und Anpassungen nach Sicherheitsvorfällen bedeuten wird. Unvermeidliche Restrisiken müssen zudem in Absprache mit der Geschäftsleitung überprüft und akzeptiert werden.
Darüber hinaus kommt den OT-Umgebungen in der Industrie beim Risikomanagement besondere Bedeutung zu. Viele Risiken, denen Produktionslinien ausgesetzt sind, wurden noch nie systematisch erfasst und sind daher unbekannt. Gerade die lange Laufzeit der Anlagen, die oftmals softwareseitig nicht aktualisiert werden können, macht die OT aber besonders anfällig für Cyberangriffe. Betroffene Industrieunternehmen sollten deswegen sorgfältig alle Assets und Risiken im Produktionsbereich identifizieren und spezielle Mitigierungsmaßnahmen anstoßen, um bestmöglich auf NIS-2 vorbereitet zu sein.
2. Umgang mit Vorfällen
2. Umgang mit VorfällenSollte es trotz sorgfältiger Mitigierung der Risiken zu Sicherheitsvorfällen kommen, müssen diese zügig erkannt, behoben und schließlich gemeldet werden. Besonderes Augenmerk sollte der industrielle Sektor dabei auf die Erkennung von Cyberangriffen legen: 199 Tage dauerte laut dem IBM Data Breach Report 2024 die Identifizierung eines Angreifers in den Systemen der Industrieunternehmen, deutlich länger als in anderen Sektoren.
Zudem setzt die NIS-2 bei der Meldung an Behörden strenge Fristen. Schwere Vorfälle müssen nach Bekanntwerden innerhalb von 24 Stunden an die zuständige Stelle übermittelt werden. Dafür müssen geeignete Prozesse nachgewiesen und Personal entsprechend geschult werden.
Der edge.SHIELDOR, TRIOVEGAs Softwarelösung für die OT-Sicherheit, minimiert dabei den Schaden, den ein Cybervorfall anrichten kann. Ähnlich des Air Gap-Prinzips wird das Anlagen-Netzwerk vollständig von der übergeordneten Unternehmens-IT getrennt und die einzelnen Dienste segmentiert, Malware kann sich nicht ausbreiten. Unerwünschte Kommunikationsversuche werden identifiziert und blockiert. Über die Protokollierung des Netzwerkverkehrs können außerdem Informationen über Angreifer gesammelt und in zentralen Logging-Systemen ausgewertet werden.
3. Business Continuity und Wiederherstellungspläne
3. Business Continuity und WiederherstellungspläneFür die Industrie ist die kontinuierliche Aufrechterhaltung des Produktionsbetriebs von zentraler Bedeutung und spielt daher auch in der NIS-2 eine große Rolle. Für den Ernstfall müssen Wiederherstellungspläne vorliegen und regelmäßige Backups aller relevanten Daten durchgeführt werden. In den Produktionslinien ist auf ein sinnvolles Maß an Redundanz zu achten, um die Ausfallsicherheit zu erhöhen.
Je weiter der Grad an Automatisierung in der Fertigung vorangeschritten ist, desto schneller kann die Wiederaufnahme des Betriebs nach einem Vorfall gelingen. TRIOVEGA automatisiert mit individuellen Lösungen für seine Kunden beispielsweise die Maschinenparametrisierung. So können Anlagen effektiv verwaltet und im Notfall zeitnah wieder hochgefahren werden, ohne dass Daten verloren gehen.
4. Lieferkettensicherheit
4. LieferkettensicherheitDie Lieferkette rückt in der NIS-2-Richtlinie in den Fokus: Das Thema wird insbesondere das produzierende Gewerbe eingehend beschäftigen.
Alle Zulieferer sowohl von Hardware- als auch Softwarekomponenten müssen vom Auftraggeber eingehend auf die Einhaltung der geforderten Sicherheitsstandards überprüft werden. Jedes Service Level Agreement (SLA) mit Geschäftspartnern muss Pflichten und Anforderungen in Bezug auf die Sicherheit festlegen, deren Einhaltung kontrolliert wird.
Dazu sind bei tiefergehenden Partnerschaften auch Audits des Zulieferers durchzuführen, um Schwachstellen vor Beginn der Zusammenarbeit aufzuspüren und zu beheben. Der Aufwand lässt sich minimieren, wenn potentielle Partner durch bestehende Zertifizierungen bereits ein hohes Sicherheitsniveau belegen können. Im Fall von TRIOVEGA ist dies zum Beispiel durch die Erfüllung der IEC 62443-Norm für industrielle Kommunikationsnetze gewährleistet.
5. Zugriffskontrollen und Rechtemanagement
5. Zugriffskontrollen und RechtemanagementIm Rahmen der Informationssicherheit wird der physische Zugang zu Büroräumen und Fabrikgebäuden in den meisten Betrieben bereits streng kontrolliert. Aber auch im digitalen Raum fordert die NIS-2 die Umsetzung eines lückenlosen Zugriffs- und Rechtemanagements, mit dem die Sicherheit der IT-Systeme und angeschlossener Netzwerke erhöht wird.
Mitarbeitenden sollten klar definierte Benutzerrollen zugewiesen werden, die den Zugriff über alle Systeme der Organisation hinweg regeln und dabei auf etablierte Best Practices zurückgreifen, wie dem Principle of least privilege; also der Vergabe der jeweils minimalen Rechte, die zur Ausübung einer Aufgabe notwendig sind. Auf vielen Shopfloors werden diese Rechte aus Gewohnheit etwas großzügiger vergeben, weswegen diese Vorgehensweise einige Veränderungen im Arbeitsalltag des Produktionspersonals mit sich bringen wird.
Welche Strafen drohen bei mangelhafter Umsetzung?
Die alte NIS-Richtlinie machte auf EU-Ebene keine detaillierten Vorgaben zu möglichen Sanktionen, die betroffenen Unternehmen drohten, und überließ die Ausgestaltung gänzlich den Mitgliedstaaten. Dies führte besonders für international agierende Organisationen zu einem unübersichtlichen Flickenteppich aus unterschiedlichen Regelungen, weshalb die NIS-2-Direktive hier einen klareren Rahmen vorgibt.
Allgemein werden die Möglichkeiten für rechtliche Konsequenzen deutlich erweitert:
Die Geschäftsleitung muss die getroffenen Maßnahmen absegnen und die Einhaltung überprüfen. Kommt sie dieser Pflicht nicht nach, können die Verantwortlichen persönlich haftbar gemacht werden.
Bußgelder werden deutlich erhöht und können nun bis zu 10 Mio. € oder 2% des weltweiten Umsatzes betragen.
Wenn die Netzwerksicherheit beispielsweise durch übergreifende Malware gefährdet ist, können die Aufsichtsbehörden den Geschäftsbetrieb stilllegen, bis die Bedrohung eingedämmt ist.
Sichern Sie die Zukunft Ihres Unternehmens – handeln Sie jetzt
Gerade in Produktionsunternehmen ist es im Hinblick auf die NIS-2-Richtlinie wichtig, eine Sicherheitskultur zu etablieren. Aufwände zur Erhöhung der Informations- und Cybersicherheit sollten nicht als reine Ausgabenlast wahrgenommen werden, sondern als Investition in die Resilienz des Unternehmens, die den zukünftigen Geschäftserfolg absichert. Mit effektiven Sicherheitspraktiken können Sie sich gegenüber der langsameren Konkurrenz abheben und Alleinstellungsmerkmale erarbeiten.
TRIOVEGA bietet mit seinen maßgeschneiderten Produkten und Services für die Industrie ein ausgewogenes Verhältnis zwischen Sicherheit und Effizienzsteigerungen an. edge.SHIELDOR sichert Ihre Produktion gegen Cyberrisiken ab und macht den Weg frei für datengetriebene Prozessoptimierungen, wie sie unsere Experten von service.factoryINSIGHTS umsetzen. Darüber hinaus entwickeln unsere Teams von Custom Software Solutions sichere individuelle Softwarelösungen für jeden Bereich Ihres Value Streams bis zum Endprodukt. Sprechen Sie uns einfach an!
Autor: René Janz
René Janz ist als Wirtschaftsingenieur mit tiefem Wissen über den Shopfloor seit 2023 bei TRIOVEGA GmbH tätig und verantwortet dort in seiner Rolle als Director Business Development den strategischen Ausbau von OT Sicherheit und Digitalisierung in der Industrie.
Sie wollen mehr über unsere Produkte
und Lösungen erfahren?
edge.SHIELDOR
Ganzheitliche OT Sicherheit für Industrieanlagen, die Datenkonnektivität
ermöglicht und nachhaltig Kosten senkt
service.factory.INSIGHTS
Potenziale entdecken und Produktionsprozesse nachhaltig optimieren
mit unserer Data Science-Expertise
Das könnte Sie auch interessieren:
- Cyber Resilience Act – neue Herausforderungen in der Entwicklung vernetzter ProdukteFachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
- CIA-Triade in der Industrie 4.0: So sichern Sie den ShopfloorFachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
- NIS-2-Richtlinie: Welche Maßnahmen die Industrie jetzt umsetzen mussWelche Maßnahmen fordert die NIS-2-Richtlinie von Industrieunternehmen? Entdecken Sie die wichtigsten Anforderungen und Pflichten für eine erfolgreiche Umsetzung.
