Die EU-Richtlinie NIS2 betrifft über 3.000 Maschinenbau-Unternehmen in Deutschland und mehr als 9.000 in der EU. Die Überführung in deutsches Recht muss bis Oktober 2024 erfolgen. Damit kommt ein umfangreicher Pflichtenkatalog auf die Unternehmen zu. Die Richtlinie sieht zudem eine Haftung der Leitungsorgane vor und verschärft die Sanktionen bei Verstößen. Wir haben die wichtigsten Cybersicherheitspflichten für Sie zusammengefasst.

Am 16. Januar 2023 ist die Neufassung der europäischen Richtlinie zur Netz- und Informationssicherheit, kurz NIS2, in Kraft getreten. Ziel der EU-Richtlinie ist es, die IT- und OT-Sicherheit kritischer und wichtiger Einrichtungen und Unternehmen in den EU-Mitgliedstaaten zu verbessern. Sie ersetzt die Richtlinie NIS1, die zu Umsetzungsproblemen geführt hatte (mehr dazu hier).

Umsetzung der NIS2-Richtlinie in Deutschland
Die neuen Verpflichtungen der NIS2-Richtlinie werden in Deutschland erst mit der Überführung in nationales Recht verbindlich. Ein Entwurf des „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ liegt bereits vor. Kernstück des Gesetzentwurfs ist eine Überarbeitung des BSI-Gesetzes, das künftig „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Betreibern und Einrichtungen“ (BSIG V.2) heißen wird. Die NIS2-Richtlinie sieht eine Umsetzungsfrist bis zum 17. Oktober 2024 vor.

Geltung der NIS2-Richtlinie für den Maschinenbau
Unternehmen des Maschinenbaus sind gemäß Artikel 2 in Verbindung mit Anhang II ab einer Unternehmensgröße von 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro von der NIS2 betroffen und dem Wirtschaftszweig Maschinenbau (C28) zuzuordnen. In Deutschland sind dies mehr als 3.000 Unternehmen, EU-weit mehr als 9.000 Unternehmen. Die NIS2 betrifft sowohl die IT-Sicherheit als auch die Sicherheit der eigenen Produktionsumgebung und der damit verbundenen Dienste wie Fernwartung und VPN.

Erweiterter Pflichtenkatalog zur Cybersicherheit
Die Anforderungen, die die NIS2-Richtlinie an Unternehmen stellt, sind weitreichend. Unter anderem kommen folgende Cybersicherheitspflichten auf die Unternehmen zu:

  • Risikomanagement: Risikoanalyse- und Informationssicherheitskonzepte
  • Incident Management: Vorbeugung, Erkennung, Bewältigung von Cybervorfällen
  • Betriebskontinuitätsmanagement: Backups, Notfallpläne, Krisenmanagement
  • Lieferketten: Sicherheitsmanagement in der Lieferkette
  • Personal: Sicherheitsmanagement für das Personal (Richtlinien, Trainings)
  • Zugang: Zugangskontrolle, Multi-Faktor-Authentifizierung, Asset Management
  • Cyberhygiene: Updates, Schulungen im Bereich Cybersicherheit
  • Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
  • Effektivität: Vorgaben zur Messung von Cyber- und Risikomaßnahmen
  • Kommunikation: Gesicherte Sprach-, Video- und Textkommunikation

Hinzu kommen Meldepflichten bei erheblichen Sicherheitsvorfällen, die an strenge Fristen gebunden sind. Innerhalb von 24 Stunden nach Bekanntwerden muss eine Frühwarnung an die Behörde erfolgen, innerhalb von drei Tagen ist ein detaillierter Bericht fällig und nach einem Monat muss ein Fortschritts-/Abschlussbericht vorgelegt werden.

Sanktionen und Bußgelder
Die NIS2-Richtlinie und das BSIG V.2 sehen bei Verstößen empfindliche Bußgelder vor. Gegen Betreiber kritischer Anlagen oder wesentlicher/besonders wichtiger Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes verhängt werden. Für Betreiber wichtiger Einrichtungen, zu denen auch Maschinenbau-Unternehmen zählen, liegt die Obergrenze bei 7 Millionen Euro beziehungsweise 1,4 Prozent des Umsatzes.

Haftung der Geschäftsleitung
Neu ist zudem eine in der NIS2-Richtlinie und im BSIG V.2 vorgesehene unmittelbare Haftung der Leitungsorgane. Danach hat die Geschäftsleitung die vom Unternehmen zu treffenden Cybersicherheitsmaßnahmen zu billigen und ihre Umsetzung zu überwachen (§ 38 Abs. 1 BSIG V.2). Bei Verletzung der entsprechenden Pflichten haftet die Geschäftsleitung gegenüber der Gesellschaft (§ 38 Abs. 2 BSIG V.2). Darüber hinaus sind Geschäftsleiter verpflichtet, an Schulungen teilzunehmen und solche allen Mitarbeitenden anzubieten. Damit wird Cybersicherheit nun per Gesetz zur „Chefsache“.

Empfehlungen für betroffene Maschinen- und Anlagenbauer
Unternehmen des Maschinen- und Anlagenbaus sollten sich schnellstmöglich mit der Umsetzung von NIS2 auseinandersetzen und sicherstellen, dass sie die Anforderungen erfüllen und ihre IT- und OT-Systeme vor Cyber-Angriffen schützen. Die Umsetzung der NIS2-Richtlinie in deutsches Recht muss bis Mitte Oktober 2024 erfolgen. Aufgrund des Umfangs der neuen Cybersicherheitspflichten ist die Zeit für die Umsetzung aller technischen und organisatorischen Maßnahmen bereits jetzt sehr knapp.

„Mit dem VDMA Cyber Awareness Service können wir VDMA-Mitglieder bei der Durchführung der notwendigen Cybersecurity-Schulungen unterstützen“, erklärt Jürgen Seiring, Geschäftsführer der VSMA GmbH. Der VDMA Cyber Awareness Service ist ein automatisierter Cybersecurity-Trainer, der das gesamte Team ressourcenschonend und effizient für aktuelle Angriffsszenarien sensibilisiert. Das Angebot steht exklusiv VDMA-Mitgliedern sowie Kunden und Kooperationspartnern des VSMA zur Verfügung.

Mehr zum VDMA Cyber Awareness Service erfahren Sie hier:

VDMA Cyber Awareness Service
Bildnachweis: ipopba / iStock
AnlagenbauBSI-GesetzesCyberrisikoCybersecurityCybersicherheitspflichtenCyberversicherungEU-Richtlinie NIS2NIS2-RichtlinieNIS2-Umsetzungs- und CybersicherheitsstärkungsgesetzesVDMA Cyber-PoliceVSMA GmbH

Unsere Empfehlungen für Sie:

VDMA Cyber Awareness

VCP Angebotstool

VSMA Cyber Tool-Sheet

MUSTER IT-NOTFALLPLAN

Kontakt

THOMAS VÖLKER

Spartenverantwortlicher Cyber Versicherung

VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1520
tvoelker@vsma.org

www.vsma.de    Impressum    Datenschutz