10. FEBRUAR 2025
12 MIN.
NIS-2-Richtlinie wird Gesetz: Was industrielle Unternehmen jetzt beachten sollten
Die Cybersicherheit in Europa wird gestärkt: Im Dezember 2022 hat die Europäische Union die NIS-2-Direktive verabschiedet, die Weiterentwicklung der ersten Richtlinie zur Netzwerk- und Informationssicherheit (NIS) aus dem Jahr 2016.
Das neue Regelwerk erweitert die betroffenen Wirtschaftssektoren und erhöht die Standards für Cybersicherheit, die Unternehmen im Geltungsbereich erfüllen müssen, deutlich.
Gerade im produzierenden Gewerbe sind die Anforderungen immens. Hochkomplexe Produktionsanlagen mit vielen Komponenten laufen nach Jahrzehnten des Betriebs häufig auf veralteter Software, da von Herstellerseite keine Update-Pfade vorgesehen sind. Hacker wissen um diese Probleme und nehmen die Industrie besonders häufig in den Fokus ihrer Angriffe.
In diesem Umfeld ist nun rasches und entschiedenes Handeln gefragt. In unserer zweiteiligen Artikel-Serie geben wir Ihnen alle Informationen an die Hand, um Ihr Industrieunternehmen bestmöglich für die NIS-2-Richtlinie aufzustellen.
In Teil 1 geht es heute vor allem um das Wann und Wer. Finden Sie heraus, ob Ihr Unternehmen von NIS-2 betroffen sein könnte und welche Fristen und Deadlines auf Sie zukommen. Außerdem zeigen wir erste Schritte auf, mit denen Sie in die Vorbereitung gehen können.
NIS-2-Richtlinie: Wann geht es los?
Ursprünglich hätte die EU-Richtlinie bereits bis zum 18. Oktober 2024 in nationale Gesetze der Mitgliedstaaten überführt werden müssen. Viele Länder sind damit jedoch zu spät dran, darunter auch Deutschland, Frankreich und Polen.
Hierzulande rechnet das federführende Bundesministerium des Innern und für Heimat mit einem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bis März 2025. Aktuell finden dazu die Anhörungen im Bundestag statt, danach muss das Gesetz noch durch den Bundesrat.
Durch die Verzögerung gewinnen Sie wertvolle Zeit zur Umsetzung der Maßnahmen. Diese kann besonders wichtig werden, da eine Übergangsfrist im NIS2UmsuCG nach aktuellem Stand nicht vorgesehen ist.
Das bedeutet, dass die Anpassungen in der Cybersicherheit bereits ab dem Tag des Inkrafttretens vollzogen sein müssen, ansonsten drohen empfindliche Strafen.
Eine gute Ausgangsbasis bildet das Aufstellen eines Informationssicherheits-Managementsystems (ISMS), wie es für die ISO 27001-Zertifizierung von zentraler Bedeutung ist. Abhängig vom Handlungsbedarf in Ihrem Unternehmen kann dieser Prozess von einigen Monaten bis zu über einem Jahr in Anspruch nehmen. Sollte es noch nicht geschehen sein, fangen Sie also schnellstmöglich an.
Wer ist betroffen?
Im Vergleich zur alten NIS-Richtlinie sind wesentlich mehr Unternehmen von den neuen Anforderungen betroffen. Grundsätzlich wird zwischen zwei Gruppen von Einrichtungen unterschieden, den Essential Entities und Important Entities.
Unternehmen, die unter die Gruppe der essentiellen Einrichtungen fallen, unterliegen einer größeren staatlichen Aufsicht und härteren Sanktionsmöglichkeiten als wichtige Einrichtungen.
Essential Entities
Den Essential Entities sind diejenigen Wirtschaftssektoren zugewiesen, die besonders wichtig für Infrastruktur, Gesundheit und staatliche Sicherheit in den EU-Mitgliedsländern sind. In Deutschland sind viele dieser Sektoren unter dem Begriff Kritische Infrastruktur (KRITIS) bekannt und bereits seit längerer Zeit reguliert. Es ist jedoch wichtig zu beachten, dass die NIS-2-Sektoren nicht deckungsgleich mit den KRITIS-Sektoren sind.
Bis auf wenige Sonderfälle im Bereich der öffentlichen Verwaltung und digitalen Infrastruktur, die unabhängig ihrer Größe den Essential Entities zugewiesen werden, muss ein Unternehmen mindestens 250 Mitarbeiter beschäftigen oder über 50 Mio. € Jahresumsatz erwirtschaften, um der essentiellen Gruppe zugerechnet zu werden.
Important Entities
Während die essentiellen Einrichtungen nur für Großunternehmen relevant sind, gilt ein Unternehmen ab einer Größe von 50 Mitarbeitern oder 10 Mio. € Umsatz als wichtige Einrichtung, wenn es in einem der aufgeführten Sektoren tätig ist.
Die Größeneinteilung der NIS-2 folgt also der allgemeinen Definition von kleinen und mittleren Unternehmen (KMU) in Abgrenzung zu Großunternehmen, wobei nur mittlere und große Unternehmen von der Regulierung betroffen sind.
Die Fertigungsindustrie einschließlich Hersteller von Medizinprodukten und Maschinenbauer befinden sich in der Gruppe der Important Entities.
Besonders kleinere Organisationen wurden in Deutschland über die NIS-2-Richtlinie unzureichend informiert. Ob Ihr Unternehmen einem der Sektoren zuzuordnen ist, ist nicht immer eindeutig zu bestimmen. Rechtliche Sicherheit wird erst in der Anwendung des Gesetzes durch Präzedenzfälle entstehen. Eine schnelle Entscheidungshilfe kann Ihnen unser NIS-2 Quick-Check bieten: Finden Sie heraus, ob Ihr Unternehmen von NIS-2 betroffen ist.
Nächste Schritte
Nachdem die Betroffenheit geklärt ist, stehen viele Unternehmen vor der Frage, wie sie die erforderlichen Maßnahmen möglichst kosteneffizient umsetzen. Wir skizzieren die ersten Schritte, mit denen Sie Ihre Cyberresilienz zügig auf das erforderliche Niveau heben können.
1. Lücken in der Sicherheitslandschaft identifizieren
Zunächst ist es wichtig, sich einen Überblick zu verschaffen. Dafür sollten unternehmensweite Asset Scans durchgeführt werden. Alle physischen, digitalen und immateriellen Vermögenswerte werden erfasst, um einen ganzheitlichen Überblick zu erlangen.
Dabei sollte das Hauptaugenmerk auf dem Shopfloor liegen. Alle Maschinen müssen inventarisiert und die Komponenten auf Aktualität überprüft werden. Berücksichtigt werden auch alle vernetzten Geräte und deren Verbindungen und eingesetzte Software.
So werden diejenigen Bereiche identifiziert, in denen Handlungsbedarf besteht.
2. Risiken priorisieren
Anschließend werden die Risiken bewertet und priorisiert. Auch hierbei stehen die Fertigungslinien voraussichtlich im Fokus. Produktionsstillstände durch Cyberattacken können so gravierende Schäden verursachen, dass die Existenzgrundlage des Unternehmens auf dem Spiel steht.
Zudem gestalten sich Update-Prozesse durch veraltete Hardware und Kompatibilitätsprobleme in den Produktionsanlagen oftmals besonders langwierig und sollten daher möglichst früh angegangen werden. Wenn ein Update nicht möglich ist, kann eine OT-Sicherheitslösung wie edge.SHIELDOR die Maschine absichern, ohne vom Unternehmensnetzwerk getrennt werden zu müssen.
3. Mitigierungspläne entwickeln
Pläne zur Mitigation der wichtigsten Risiken sind ein essentieller Bestandteil jeder Sicherheitsstrategie. Dazu gehören auch geeignete Maßnahmen zur schnellen Erkennung von Cybervorfällen und Incident Response-Prozesse. Schwerwiegende Sicherheitsereignisse müssen nach den NIS-2-Richtlinien innerhalb von 24 Stunden an das in Deutschland zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
4. Lieferkette überprüfen
Die NIS-2 weitet die Sicherheitsvorgaben auf die gesamte Lieferkette aus. Das bedeutet, dass ein betroffenes Unternehmen nicht nur für seine eigene Cybersicherheit verantwortlich ist, sondern auch für die Sicherheit seiner Zulieferer. Auftraggeber müssen selbstständig überprüfen, ob die Anforderungen kontinuierlich eingehalten werden.
Wir empfehlen, sich frühzeitig mit Ihren Zulieferern auszutauschen und im besten Fall die Einhaltung etablierter Standards wie der ISO 27001 einzufordern, um die Sicherheit Ihrer Lieferkette zu gewährleisten. Im Produktionsumfeld bieten Normen wie IEC 62443, nach der auch TRIOVEGA zertifiziert ist, einen hervorragenden Anhaltspunkt für den Einkauf sicherer Lösungen und Komponenten.
Wie geht es weiter?
Sie merken: Mit der NIS-2 kommen auf Industrieunternehmen umfangreiche Aufgaben im Bereich der Cybersicherheit zu. Im nächsten Teil unserer Artikelserie werden wir uns detailliert mit dem Anforderungskatalog auseinandersetzen, um Sie optimal vorzubereiten.
Autor: Mareike Redder
Mareike Redder ist als Ingenieurin der angewandten Informationstechnik seit 2018 bei der TRIOVEGA GmbH tätig und verantwortet dort seit 2022 das Produkt Management.
Sie wollen mehr über unsere Produkte
und Lösungen erfahren?
edge.SHIELDOR
Ganzheitliche OT Sicherheit für Industrieanlagen, die Datenkonnektivität ermöglicht und nachhaltig Kosten senkt
service.factoryINSIGHTS
Potenziale entdecken und Produktionsprozesse nachhaltig optimieren mit unserer Data Science-Expertise
Das könnte Sie auch interessieren:
- Cyber Resilience Act – neue Herausforderungen in der Entwicklung vernetzter Produkte
Fachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). - CIA-Triade in der Industrie 4.0: So sichern Sie den ShopfloorFachkräfte aus dem IT-Bereich wissen längst, dass sie nichts mit dem amerikanischen Geheimdienst zu tun haben: die drei Säulen der sogenannten CIA-Triade, Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).
- NIS-2-Richtlinie: Welche Maßnahmen die Industrie jetzt umsetzen mussWelche Maßnahmen fordert die NIS-2-Richtlinie von Industrieunternehmen? Entdecken Sie die wichtigsten Anforderungen und Pflichten für eine erfolgreiche Umsetzung.
