Produzierende Unternehmen sollten die Einführung klarer Mindeststandards für Cybersicherheit durch die verschärfte NIS-2-Richtlinie der EU als Chance sehen: Die Umsetzung der Vorgaben bietet eine ideale Gelegenheit zum Umdenken im Umgang mit Cyberrisiken.
Schutzmaßnahmen: Vor dem Hintergrund einer immer ernsteren Cyberbedrohungslage bei gleichzeitig zunehmender Digitalisierung ist ein Umdenken beim Thema "Cybersicherheit" auch in produzierenden Unternehmen dringend geboten.
[M] WrightStudio / Stock.adobe.com
Die erste Network-and-Information-Security-Richtline (NIS) trat bereits im Jahr 2016 als EU-weite Richtlinie zur Cybersicherheit in europäischen Unternehmen in Kraft. Seither sind die Gefahren für die Cyberinfrastruktur drastisch gestiegen – folgenschwere Angriffe auf Wirtschaft, Politik und Verwaltung sind heute an der Tagesordnung. Die EU hat daher die bestehenden Sicherheitsvorschriften durch die NIS-2-Richtlinie aktualisiert. Die Frist für die nationale Umsetzung war am 17. Oktober 2024.
Wie anspruchsvoll die praktische Umsetzung der Richtlinie ist, unterscheidet sich je nach Sektor: Unternehmen im Bereich "Energie und Elektrizität" beispielsweise fallen bereits unter NIS und kritische Infrastruktur (Kritis) – sie können auf bestehenden Prozessen aufbauen. Anders sieht es für das verarbeitende Gewerbe aus. Hier wurden häufig noch keine den offiziellen Vorgaben entsprechenden Sicherheitsmaßnahmen implementiert, da die Unternehmen nicht Kritis-relevant sind und auch die bisherige NIS-Richtlinie sie nicht betrifft. Die Anforderungen durch die verschärfte NIS-2-Richtlinie sind hier besonders groß. In dieser Situation kann die Verpflichtung zur Umsetzung der Vorgaben jedoch eine echte Chance sein. Denn im Rahmen des Prozesses müssen klare Mindeststandards für Cybersicherheit umgesetzt werden. Produzierende Unternehmen, die diese Schritte frühzeitig angehen, werden regulatorische Risiken reduzieren, widerstandsfähiger gegenüber Cyberbedrohungen werden und damit wettbewerbsfähiger sein.
Betroffenheitsanalyse liefert eine erste Einschätzung
Eine erste Antwort auf die Frage, ob ein Unternehmen überhaupt in den Anwendungsbereich von NIS 2 fällt, bietet die anonyme und kostenfreie Prüfung auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Betroffenheitsprüfung dient als automatische Orientierungshilfe auf der Grundlage von Eigenangaben. Das Ergebnis ist nicht rechtlich bindend. Zurzeit basieren die Abfragen auf der NIS-2-Richtlinie der EU. Die Ergebnisse sollten außerdem von der Rechtsabteilung sowie von internen oder externen Experten überprüft und bestätigt werden. Anschließend wird die Registrierung innerhalb der vorgegebenen Frist vorgenommen.
Die Gesetzgebung unterscheidet sich von Land zu Land
Unterschiedliche nationale NIS-2-Umsetzungen bedeuten für international tätige Unternehmen eine hohe Komplexität bei der Implementierung. Denn sie fallen potenziell in verschiedene nationale Vorgaben innerhalb der EU-Länder. Die aktuellen Gesetze und Entwürfe der jeweiligen Länder zeigen hier deutliche Abweichungen. Die Koordination und Nachverfolgung der Implementierung führt idealerweise von Anfang an die Muttergesellschaft in den einzelnen europäischen Gesellschaften durch. Die zentralen und dezentralen Verantwortlichkeiten werden hierbei fest definiert.
Nach diesen Vorbereitungen geht es darum, Compliance mit den inhaltlichen Anforderungen der Richtlinie herzustellen. Die Implementierung der Prozesse an sich und der grundsätzliche Umgang mit einer breiten Cyberregulatorik stellen für produzierende Unternehmen eine umfangreiche Aufgabe dar. Es empfiehlt sich daher ein mehrstufiges Vorgehen:
1. Verantwortung des Managements: Die Richtlinie betont die Verantwortung des Managements. Daher sollten produzierende Unternehmen zunächst die Verantwortlichkeiten innerhalb ihrer Organisation klar zuweisen. Das Top-Management muss involviert und über Risiken und Fortschritte informiert sein. Für Geschäftsleitungen besteht außerdem eine Schulungspflicht – begonnen wird idealerweise mit der Vorstandsebene. Darüber hinaus müssen Unternehmen sich darüber klar werden, wie sie mit der Verantwortung für organisationsweite Themen umgehen, etwa dem Management von Risiken Dritter. Eine zentrale Struktur ist hierbei hilfreich. Sie unterstützt die dezentralen Verantwortlichen, ohne deren Verantwortlichkeiten zu übernehmen.
2. Proportionalitätsprinzip beachten: Nur wenn sie die Auswirkungen von Sicherheitsmaßnahmen und Vorfällen auf die Organisation verstehen, können Verantwortliche Ressourcen gezielt einsetzen und angemessene Maßnahmen ergreifen. Hierbei gilt das Proportionalitätsprinzip: Maßnahmen sollten immer in einem angemessenen Verhältnis zu den Risiken stehen. Um potenzielle Bedrohungen und Schwachstellen zu erkennen, steht am Anfang die Risikoidentifikation. Die Risiken müssen im nächsten Schritt hinsichtlich ihrer Wahrscheinlichkeit und Auswirkungen bewertet werden. Um stets ein aktuelles Bild der Bedrohungslage zu haben, werden anschließend regelmäßige Risikoanalysen durchgeführt. Basierend auf der Risikobewertung legen die Unternehmen schließlich Maßnahmen zum Umgang mit den Risiken fest: Risikoakzeptanz, Transfer, Vermeidung oder Reduktion. Dabei können sie auf standardisierte Sicherheitsmaßnahmen zurückgreifen, die sich in ihrer Branche bewährt haben, und diese proportional zur Risikobewertung anpassen.
3. Vorhandene und etablierte Prozesse nutzen: Bei der Umsetzungsplanung kann – wo immer möglich – auf vorhandene und etablierte Prozesse zurückgegriffen werden, anstatt diese grundlegend neu zu definieren. Ein Beispiel ist die Meldepflicht: Produzierende Unternehmen haben die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umgesetzt. Dadurch verfügen sie in der Regel bereits über bewährte Prozesse für die Meldung von Datenschutzverletzungen. Für die Erfüllung der Meldepflicht im Rahmen der NIS-2-Richtlinie können diese bereits etablierten Strukturen und Vorgehensweisen eine solide Grundlage bilden.
4. Nachweisbarkeit by Design: Betroffene Unternehmen müssen die Umsetzung der Maßnahmen dokumentieren und nachweisen können. Für die Sorgfaltspflicht beginnt die Nachweisbarkeit gleichzeitig mit der Umsetzung der Maßnahmen. Sie sollte bereits während der Umsetzung integriert und standardisiert werden.
Für die meisten produzierenden Unternehmen in Deutschland sind die strengen Regulierungen der NIS-2-Richtlinie neu. Dennoch ist es wichtig, NIS 2 mit der notwendigen Sorgfalt und Ernsthaftigkeit zu behandeln. Entscheidend für den Erfolg ist es dabei, auf bestehenden Prozessen aufzubauen und die Nachweisbarkeit von Maßnahmen sicherzustellen.
