Mit der Umsetzung der EU-Richtlinie NIS2 (Network and Information Security) kommen auf den Maschinen- und Anlagenbau weitreichende neue Pflichten zu. Maschinenbauer mit 50 oder mehr Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro müssen mit Inkrafttreten des nationalen Gesetzes zahlreiche Cybersicherheitsmaßnahmen sowie Risikomanagementstrategien und Meldepflichten beachten. Verstöße gegen die Vorgaben können mit Bußgeldern von bis zu 7 Millionen Euro geahndet werden. Betroffene Unternehmen sollten daher umgehend aktiv werden.

Was ist NIS2 und wann wird die EU-Richtlinie in deutsches Recht umgesetzt?
Die NIS2-Richtlinie wurde am 27. Dezember 2022 in der EU verabschiedet und soll ein hohes, einheitliches Sicherheitsniveau für Netz- und Informationssysteme in der Europäischen Union sicherstellen. NIS2 erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie (NIS1) und führt strengere Sicherheitsanforderungen, Meldepflichten sowie Durchsetzungsmaßnahmen ein.

Die Bundesregierung hat am 24. Juli 2024 einen Regierungsentwurf zur Umsetzung der NIS2-Richtlinie (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG) verabschiedet. Da der Gesetzentwurf im parlamentarischen Verfahren nicht rechtzeitig beschlossen wurde, wird der Gesetzgebungsprozess nun erst durch den nächsten gewählten Bundestag weitergeführt. Größere Änderungen für den Maschinen- und Anlagenbau sind dabei nicht zu erwarten, denn die EU-Richtlinie muss eingehalten werden. Die NIS2-Vorgaben werden jedoch erst mit Inkrafttreten des NIS2UmsuCG rechtswirksam.

Welche Unternehmen des Maschinen- und Anlagenbaus sind betroffen?
Das NIS2UmsuCG richtet sich an Unternehmen mit Betriebsstätten in Deutschland sowie an Unternehmen, die Dienstleistungen in Deutschland erbringen. Betroffene Unternehmen werden als „besonders wichtige“ oder „wichtige“ Einrichtungen eingestuft (§ 28 NIS2UmsuCG in Verbindung mit Anlage 1 und 2). Der Maschinenbau wird in Anlage 2 ausdrücklich genannt (Nr. 5.4). Das bedeutet: Maschinenbau-Unternehmen mit 50 oder mehr Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro unterliegen dem NIS2UmsuCG. Wichtig: Bei Tochtergesellschaften muss eine Konzernbetrachtung vorgenommen werden, wodurch regelmäßig die Schwellenwerte überschritten werden.

Allein in Deutschland fallen damit mehr als 3.600 Maschinenbauer unter das Gesetz, was 58 Prozent der gesamten Branche entspricht. Von diesen Unternehmen beschäftigen 75 Prozent weniger als 250 Mitarbeitende und zählen somit zum Mittelstand. Der mittelständische Maschinenbau dürfte daher die am stärksten betroffene Branche sein.

Viele Maschinenbauer schätzen eigene Betroffenheit falsch ein
Laut einer Studie des VDMA e. V. aus April 2024 unterschätzen viele VDMA-Mitgliedsunternehmen ihre NIS2-Betroffenheit. 24 Prozent der Befragten gingen davon aus, nicht betroffen zu sein. Eine anschließende Überprüfung durch den VDMA ergab jedoch, dass sich ein Großteil dieser Unternehmen (71 Prozent) in ihrer Einschätzung geirrt hatte.
Mehr dazu können Sie hier lesen.

Pflichtenkatalog zur Cybersicherheit für „wichtige“ Einrichtungen
In Deutschland gelten Maschinenbau-Unternehmen mit der Haupttätigkeit Maschinenbau, die die relevanten Schwellenwerte erreichen, als „wichtige“ Einrichtungen im Sinne des NIS2UmsuCG. Daraus ergeben sich umfangreiche Cybersicherheitspflichten, die sich grob wie folgt zusammenfassen lassen:

  • Risikomanagement: Risikoanalyse- und Informationssicherheitskonzepte
  • Incident Management: Vorbeugung, Erkennung, Bewältigung von Cybervorfällen
  • Betriebskontinuitätsmanagement: Backups, Notfallpläne, Krisenmanagement
  • Lieferketten: Sicherheitsmanagement entlang der Lieferkette
  • Personal: Sicherheitsmanagement für das Personal (Richtlinien, Schulungen)
  • Zugang: Zugangskontrolle, Multi-Faktor-Authentifizierung, Asset Management
  • Cyberhygiene: Cyberhygiene (zum Beispiel Updates) und Schulungen
  • Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
  • Effektivität: Konzepte/Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
  • Kommunikation: Gesicherte Sprach-, Video- und Textkommunikation

Die vollständigen Anforderungen sind in § 30 des Entwurfs des NIS2UmsuCG aufgeführt.

Cyberschulungen mit dem VDMA Cyber Awareness Service
Eine der neuen Cybersicherheitspflichten sind Schulungen zur Sicherheit in der Informationstechnik. Umsetzen lässt sich dies zum Beispiel mit dem VDMA Cyber Awareness Service. Dieser bietet ressourcenschonende Cybertrainings für alle Mitarbeitenden. VDMA-Mitgliedsunternehmen können die Plattform zwei Wochen lang kostenlos testen.
Mehr erfahren Sie hier: https://vdma-cyber-awareness.de

Meldepflichten und Registrierung beim BSI
Neben den Cybersicherheitspflichten legt der Entwurf des NIS2UmsuCG in § 32 fest, dass erhebliche Sicherheitsvorfälle sowohl der nationalen Behörde als auch gegebenenfalls den betroffenen Dienstempfängern gemeldet werden müssen. Diese Meldepflichten sind an enge Fristen gebunden: Eine Frühwarnung muss innerhalb von 24 Stunden nach Bekanntwerden erfolgen, ein detaillierter Bericht innerhalb von drei Tagen und nach einem Monat muss ein Fortschritts- beziehungsweise Abschlussbericht eingereicht werden.

Zudem müssen sich alle Unternehmen, die unter das NIS2UmsuCG fallen, innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim BSI registrieren. Das BSI wird den betroffenen Unternehmen hierfür rechtzeitig vor Inkrafttreten des Gesetzes eine digitale Online-Portallösung zur Verfügung stellen.

Bußgelder
Bei Verstößen gegen die festgelegten Pflichten können empfindliche Bußgelder verhängt werden. Gegen Betreiber kritischer Anlagen oder wesentlicher/besonders wichtiger Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden. Für Betreiber wichtiger Einrichtungen, zu denen auch Maschinenbau-Unternehmen zählen, liegt die Obergrenze bei 7 Millionen Euro beziehungsweise 1,4 Prozent des Jahresumsatzes des Gesamtkonzerns.

Haftung der Geschäftsleitung
Neu eingeführt wurde zudem eine unmittelbare Haftung der Geschäftsleitung. Diese ist gemäß § 38 NIS2UmsuCG verpflichtet, die Cybersicherheitsmaßnahmen umzusetzen und deren Durchführung zu überwachen. Bei Verstößen haftet die Geschäftsleitung gemäß den Regelungen des jeweiligen Gesellschaftsrechts. Zudem sind Geschäftsleiter verpflichtet, regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Identifizierung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der IT-Sicherheit zu erlangen. Zudem sind Geschäftsleitungen verpflichtet, regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Identifizierung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der IT-Sicherheit zu erlangen. Konkrete Vorgaben zu Umfang und Inhalt dieser Schulungen gibt es derzeit noch nicht.

Empfehlungen für betroffene Maschinenbauer
Betroffene Unternehmen sollten sich umgehend mit ihren neuen NIS2-Pflichten beschäftigen und sicherstellen, dass die Anforderungen angemessen und wirksam erfüllt werden. Angesichts des umfangreichen Katalogs an Cybersicherheitsauflagen wird empfohlen, sich unverzüglich mit der Umsetzung zu befassen. Falls Sie sich erstmalig mit diesem Thema auseinandersetzen, raten wir Ihnen, professionelle Dienstleister hinzuzuziehen, um den Stand Ihrer Informationssicherheit prüfen zu lassen, notwendige Maßnahmen zur Erfüllung der Anforderungen aus dem NIS2UmsuCG zu identifizieren und geeignete Maßnahmen umzusetzen. Dies gilt auch, wenn Ihr Unternehmen in Sachen Cybersicherheit noch nicht optimal aufgestellt ist. Eine Übersicht, welche Schritte „wichtige“ und „besonders wichtige“ Einrichtungen zur Vorbereitung auf das NIS2UmsuCG einleiten sollten, bietet die Hilfeseite des BSI: NIS2: Was tun?

TIPP: Für Mitgliedsunternehmen bietet der VDMA umfassende Arbeitshilfen, individuelle und kostenfreie Beratung sowie regelmäßige Informationsveranstaltungen zum Thema an:  VDMA-Veranstaltungskalender

Bildnachweis: Shutterstock Generate / ID: 2467577981

Unsere Empfehlungen für Sie:

Kontakt

THOMAS VÖLKER

Spartenverantwortlicher Cyber Versicherung

VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1520
tvoelker@vsma.org

www.vsma.de    Impressum    Datenschutz