Die EU hat 2023 mit der NIS-2-Richtlinie einen neuen Massstab für Cybersicherheit gesetzt – und die Folgen sind weitreichend. Mit dem Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2-UmsuCG), das wahrscheinlich ab Herbst 2025 in Deutschland gilt, stehen produzierende Unternehmen vor einer doppelten Heraus-forderung: strenge Auflagen einhalten und gleichzeitig ihre digitale Resilienz ausbauen. Doch wo neue Anforderungen entstehen, eröffnen sich auch Chancen.
Die Sicherheit der Cyber-Infrastruktur zu gewährleisten, stellt produzierende Unternehmen aktuell vor nie dagewesene Herausforderungen. Die derzeitige Cyber-Kriegsführung in Kombination mit der zunehmenden Digitalisierung und Vernetzung in der Produktion hat eine ernst zu nehmende Bedrohungslage geschaffen. Die EU hat 2023 die seit 2016 bestehenden Sicherheitsvorschriften der „Network and Information Security“-Richtlinie, kurz NIS, durch die NIS-2-Richtlinie erweitert. In Deutschland gibt es dazu einen Gesetzesentwurf, der voraussichtlich im Herbst 2025 in Kraft treten wird: das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS-2-UmsuCG.
Die NIS2-Richtlinie richtet sich zwar primär an EU-Unternehmen, kann aber auch Schweizer Unternehmen betreffen – insbesondere solche mit EU-Geschäftsbeziehungen, Tochtergesellschaften oder als Teil kritischer Lieferketten. Daher sollten auch Schweizer Unternehmen ihre Sicherheitsvorkehrungen überprüfen und bei Bedarf anpassen.
Die Herausforderungen, die mit der Umsetzung einhergehen, unterscheiden sich je nach Sektor: Im Bereich Energie und Elektrizität etwa fallen Unternehmen bereits unter NIS sowie KRITIS. Sie können auf bestehenden Prozessen aufbauen. Ganz anders ist die Situation für das verarbeitende Gewerbe. Diese Unternehmen sind grösstenteils weder KRITIS-relevant noch fallen sie bisher unter die NIS-Richtlinie. Und so wurden hier bislang oft keine den offiziellen Vorgaben entsprechenden Sicherheitsmassnahmen implementiert. Die Anforderungen durch die verschärfte NIS-2-Richtlinie sind für die produzierende Branche somit besonders gross.
Die Verpflichtung zur Umsetzung der Vorgaben kann jedoch eine echte Chance sein, denn im Rahmen des Prozesses müssen klare Mindeststandards für Cybersicherheit in den Unternehmen eingeführt werden. Produzierende Unternehmen, die diese Schritte proaktiv verfolgen, werden nicht nur regulatorische Risiken reduzieren. Sie werden auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen und damit ihre Wettbewerbsfähigkeit erheblich stärken.
Vorbereitende Schritte
Am Anfang steht eine Betroffenheitsanalyse, die zeigt, ob das eigene Unternehmen in den Anwendungsbereich von NIS-2 fällt. Eine erste Orientierung bietet die anonyme und kostenfreie Prüfung auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI): https://betroffenheitspruefung-nis-2.bsi.de/. Die NIS-2-Betroffenheitsprüfung dient als automatische Orientierungshilfe auf Grundlage von Eigenangaben, deren Ergebnis nicht rechtlich bindend ist. Zurzeit basieren die Abfragen auf der NIS-2-Richtlinie der EU. Bestätigen die Rechtsabteilung des eigenen Unternehmens, interne oder externe Experten das Ergebnis, ergibt sich dann die potenzielle Pflicht zur Registrierung.
Die unterschiedlichen nationalen NIS-2-Umsetzungen bedeuten für international tätige Unternehmen eine hohe Komplexität bei der Implementierung, denn für sie gelten potenziell verschiedene nationale Vorgaben innerhalb der EU-Länder. Die aktuellen Gesetze und Entwürfe der jeweiligen Länder zeigen hier deutliche Abweichungen voneinander. Idealerweise werden die Koordination und die Nachverfolgung der Implementierung in den einzelnen europäischen Gesellschaften von Anfang an durch die Muttergesellschaft durchgeführt und die zentralen und dezentralen Verantwortlichkeiten hierbei fest definiert.
NIS-2-Vorgaben praktisch umsetzen
Sobald diese Fragen geklärt sind, kann mit den Vorbereitungen zur Erfüllung der inhaltlichen Anforderungen der Richtlinie begonnen werden. Für das produzierende Gewerbe wird die Umsetzung der Prozesse selbst und der grundsätzliche Umgang mit einer umfassenden Cyber-Regulierung eine umfangreiche Aufgabe darstellen. Daher empfiehlt sich ein mehrstufiges Vorgehen.
Abbildung 1: Unternehmen, die diese Schritte umsetzen, reduzieren regulatorische Risiken und stärken ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen und damit ihre Wettbewerbsfähigkeit.
NIS-2 betont die Verantwortung des Managements. Innerhalb der produzierenden Unternehmen sollten zunächst die Verantwortlichkeiten klar zugewiesen werden. Das Top-Management muss involviert und über Risiken und Fortschritte informiert sein. Zudem besteht durch NIS-2 eine Schulungspflicht für Geschäftsleitungen, wobei idealerweise mit der Vorstandsebene begonnen wird. Ferner muss geklärt werden, wie Unternehmen mit der Verantwortung für organisationsweite Themen umgehen. Hilfreich ist eine zentrale Struktur, die die dezentralen Verantwortlichen unterstützt, ohne deren Verantwortung zu übernehmen.
Abbildung 2: NIS-2 bringt strenge Informations- und Meldepflichten, die deutlich über die bisherigen Meldepflichten hinausgehen.
Um Ressourcen gezielt einsetzen und geeignete Massnahmen ergreifen zu können, müssen die Verantwortlichen die Auswirkungen von Sicherheitsmassnahmen und Vorfällen verstehen. Dabei gilt das Proportionalitätsprinzip, also die Verhältnismässigkeit zwischen Massnahmen und Risiken.
Am Anfang steht die Risikoidentifikation, um mögliche Bedrohungen und Schwachstellen zu erkennen. Anschliessend müssen die Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen bewertet werden. Regelmässige Risikoanalysen liefern dann ein stets aktuelles Bild der Bedrohungslage. Auf Basis der Risikobewertung werden schliesslich Massnahmen zur Risikominderung festgelegt. Unternehmen können auf standardisierte Sicherheitsmassnahmen zurückgreifen, die sich in ihrer Branche bewährt haben, und diese entsprechend der Risikobewertung anpassen.
Bei der Umsetzungsplanung kann auf etablierte Prozesse aufgebaut werden, anstatt diese grundlegend neu zu definieren. Ein Beispiel ist die Meldepflicht: In produzierenden Unternehmen wurden die Anforderungen der Datenschutzgrundverordnung (DSGVO) umgesetzt. Daher verfügen sie in der Regel bereits über bewährte Prozesse für die Meldung von Datenschutzverletzungen. Diese vorhandenen Strukturen und Vorgehensweisen können als solide Grundlage für die Erfüllung der Meldepflicht im Rahmen der NIS-2 Richtlinie dienen.
Betroffene Unternehmen müssen die Umsetzung der Massnahmen dokumentieren und nachweisen können. Für die Sorgfaltspflicht beginnt die Nachweisbarkeit gleichzeitig mit der Einführung der Massnahmen. Sie sollte bereits während der Umsetzung integriert und standardisiert werden.
Fazit
Die Regulierungen der NIS-2-Richtlinie sind für viele produzierende Unternehmen neu, und viele Anforderungen werden möglicherweise bislang nicht vollständig erfüllt. Dennoch ist es wichtig, NIS-2 mit der notwendigen Sorgfalt und Ernsthaftigkeit zu behandeln. Dabei sind der Aufbau auf bestehenden Prozessen sowie die Sicherstellung der Nachweisbarkeit von Massnahmen zentrale Erfolgsfaktoren.
Autorschaft
Nils Kohrt
Cybersecurity-Berater bei Eraneos Deutschland mit Schwerpunkt auf IT-Regulatorik und Compliance
June Snyder-Kamen
Cybersecurity-Beraterin bei Eraneos Deutschland mit Schwerpunkt auf IT-Regulatorik und Compliance
