Die erste EU-Richtlinie zur Netz- und Informationssicherheit (NIS1) ist schon 2016 in Kraft getreten. Bei deren Umsetzung hatten sich jedoch Probleme ergeben. Diese soll nun die NIS2-Richtlinie beheben und damit die Cybersicherheit EU-weit stärken. Ein guter Ansatz. Problematisch ist jedoch die Ausweitung des Anwendungsbereichs. NIS2 soll unter anderem für alle Maschinenbau-Unternehmen mit mehr als 50 Mitarbeitern gelten. Bei einer deutschen Umsetzung der Richtlinie müssten diese ihre Cybersicherheit neu aufstellen.

NIS2-Richtlinie weitet den Anwendungsbereich erheblich aus
Die NIS1-Richtlinie brachte bei der Umsetzung Probleme mit sich. Schwierig war unter anderem die Einteilung in kritische und nicht kritische Firmen. Hierzu machten die EU-Mitgliedstaaten jeweils eigene Vorgaben. NIS2 legt daher nun einheitliche Kriterien fest, die EU-weit gelten sollen. Grundsätzlich ein guter Ansatz. Industrie- und Wirtschaftsvertreter bemängeln jedoch die Ausweitung des Anwendungsbereichs. NIS2 soll nicht nur für kritische Sektoren („Essential Entities“) gelten, sondern auch für sechs „Important Entities“. Zu diesen wichtigen Sektoren gehört auch der Maschinenbau – und zwar alle Unternehmen mit mehr als 50 Mitarbeitern. Bei einer Umsetzung der NIS2-Richtlinie in Deutschland wären damit circa 3.000 Maschinen- und Anlagenbauer betroffen, die bisher nicht von den Vorgaben des IT-Sicherheitsgesetzes erfasst waren.

Neue Pflichten für mittelständische Unternehmen schwer umsetzbar
Die Vorgaben, die die NIS2-Richtlinie für Unternehmen vorsieht, sind weitreichend. Dazu gehören zum Beispiel verschiedene IT-Sicherheits- und Risikomanagement-Maßnahmen sowie Meldepflichten mit kurzen Fristen. Nach Bekanntwerden eines Vorfalls haben die Betriebe nur 24 Stunden Zeit, einen vorläufigen Bericht zu übermitteln. Spätestens einen Monat später ist zudem ein Abschlussbericht fällig. NIS2 bringt damit erheblichen Aufwand mit sich. Für große Unternehmen sind diese Pflichten umsetzbar, einige Mittelständler dürften jedoch überfordert sein. Gerade kleinere Firmen haben oft keinen eigenen IT-Leiter und nicht genügend Personal, um die vorgesehenen Pflichten zu erfüllen. Wegen des Fachkräftemangels ist es zudem schwierig, externe IT-Dienstleister zu verpflichten. Die Ausweitung des Anwendungsbereichs auf alle Maschinenbauer mit mehr als 50 Mitarbeitern ist damit für viele KMU ein echtes Problem.

Empfehlungen für betroffene Maschinen- und Anlagenbauer
Die bis dato veröffentlichten Entwürfe zur NIS2-Richtline sind noch nicht verbindlich und müssen erst final verabschiedet werden. Danach müssen die Mitgliedstaaten diese innerhalb der vorgeschriebenen Frist in nationales Recht umsetzen. Trotzdem sollten betroffene Maschinen- und Anlagenbauer sich bereits jetzt intensiv mit den auf sie zukommenden neuen Pflichten beschäftigen, empfiehlt Jürgen Seiring, Geschäftsführer der VSMA GmbH. Die Vorlaufzeit für die Umsetzung aller technischen und organisatorischen Maßnahmen kann sonst – insbesondere wegen des zunehmenden Fachkräftemangels im IT-Bereich – sehr schnell knapp werden.

Bildnachweis: Shutterstock 1798108852 • Gorodenkoff

Unsere Empfehlungen für Sie:

Kontakt

THOMAS VÖLKER

Spartenverantwortlicher Cyber Versicherung

VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1520
tvoelker@vsma.org

www.vsma.de    Impressum    Datenschutz