Die NIS-2-Richtlinie und wie der Maschinenbau davon betroffen ist

Die NIS-2-Richtlinie (EU) 2022/2555 ist bereits am 16.1.2023 in Kraft getreten und definiert Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – sie wird somit die 2016 in Kraft getretene NIS-Richtlinie inhaltlich ersetzen. Die Umsetzung der NIS-2-Richtlinie in ein nationales Gesetz muss durch die Mitgliedstaaten bis zum 17.10.2024 erfolgen. 

Der Fokus in der NIS-2-Richtlinie richtet sich dabei für betroffene Unternehmen auf die Implementierung von Risikomanagementmaßnahmen und die Meldepflichten für erkannte Sicherheitsvorfälle. Im Gegensatz zur NIS-Richtlinie wurden unter anderem die Sektoren der kritischen Einrichtungen erweitert und ein Hauptaugenmerk auf die Abhängigkeit von Partnerunternehmen (Lieferketten) gelegt. 
 

Wer ist betroffen?

Ob man von der NIS-2 Richtlinie betroffen ist, hängt sowohl von der Unternehmensgröße als auch von dem zugehörigen Sektor des Unternehmens ab. Die NIS-2-Richtlinie gilt für öffentliche und private Einrichtungen der in den Anhängen I (Sektoren mit hoher Kritikalität) und Anhängen II (Sonstige kritische Sektoren) gelisteten Art, die in Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG die genannten Obergrenzen für mittlere Unternehmen erreichen oder überschreiten und ihre Dienstleistungen in der Union erbringen oder ihre Tätigkeiten dort ausüben. 

* Informations- und Kommunikationstechnologie

Für Maschinenbauer sind speziell die unter dem Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ definierten Teilsektoren von Bedeutung:

1. Herstellung von Medizinprodukten und In-vitro-Diagnostika
2. Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen (beschrieben in Abteilung 26 NACE Rev. 2)
3. Herstellung von elektrischen Ausrüstungen (beschrieben in Abteilung 27 NACE Rev. 2)
4. Maschinenbau (beschrieben in Abteilung 28 NACE Rev. 2)
5. Herstellung von Kraftwagen und Kraftwagenteilen (beschrieben in Abteilung 29 NACE Rev. 2)
6. sonstiger Fahrzeugbau (beschrieben in Abteilung 30 NACE Rev. 2)

Wie bereits angemerkt muss das betroffene Unternehmen die Obergrenzen für mittlere Unternehmen erreichen oder diese überschreiten. Die jeweiligen Schwellwerte finden Sie hier:

Es besteht jedoch gemäß Art.2 und Art.3 der NIS-2-Richtlinie die Möglichkeit, dass Unternehmen unter bestimmten Voraussetzungen und unabhängig von deren Größenklassen ebenfalls unter den Anwendungsbereich der NIS-2-Richtlinie fallen – dies ist speziell im Falle von Abhängigkeiten durch Lieferketten denkbar.

Tipp: Link zur Selbsteinschätzung nach NIS-2 von der WKO: https://ratgeber.wko.at/nis2/
 

Wie wird kontrolliert / bestraft?

Anders als bei der NIS-Richtlinie muss nun mit der NIS-2-Richtlinie nicht jedes Unternehmen einem regelmäßigen Audit unterzogen werden. Bei wichtigen Einrichtungen wird nur bei einem begründeten Verdacht eine Kontrolle durchgeführt, zum Beispiel nach einem Sicherheitsvorfall. Bei wesentlichen Einrichtungen sind hingegen regelmäßige NIS-2-Audits von externen Stellen vorgesehen. Darüber hinaus sind jederzeit On-Site / Off-Site Kontrollen oder Sicherheits-Scans denkbar. Die Sanktionen im Falle einer Nichteinhaltung variieren ebenfalls, siehe folgende Tabelle: 

Was gilt es umzusetzen?

Die Risikomanagementmaßnahmen (Art. 21 Abs. 2) müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Systeme vor Sicherheitsvorfällen zu schützen und zumindest die nachfolgenden Themen umfassen. Die Unterpunkte dienen dabei als Beispiele:

a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;

• Risikobasierter Ansatz – siehe z.B. auch ISO 270001 und IEC 62443
   

b) Bewältigung von Sicherheitsvorfällen;

• Incident Response Plan
   

c) Aufrechterhaltung des Betriebs & Krisenmanagement;

• BCM – Business Continuity Management
• Backup & Recovery
   

d) Lieferkettensicherheit;

• Schnittstellen zu Zulieferer, Dienstleister und Partnerunternehmen
• Verfügbarkeit der Lieferkette beachten
• State-of-the-Art Sicherheitsstandards
   

e) Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT;

• Zertifizierung von Komponenten und Herstellern
• Schwachstellen- und Patchmanagement
• Security by Design
• Security by Default
   

f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen;

• Information Security Management System (ISMS – siehe ISO 27001)
   

g) Cyberhygiene und Schulungen zur Cybersicherheit;

• Wiederkehrende Schulungen und Workshops
• Bewusstseinsbildung der MitarbeiterInnen für Cybersicherheit (z.B. Phishing)
• Prozesse und Richtlinien definieren (z.B. Passwörter, Berechtigungen etc.)
   

h) Kryptografie und gegebenenfalls Verschlüsselung;

• Integrität der Daten gewähren, sowohl in rest (bei der Speicherung) als auch in transit (bei der Übertragung)
   

i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle;

• Physische Sicherheit
• Defense-in-Depth Ansatz (siehe IEC 62443)
   

j) Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung.

• Zusätzlicher Faktor zum Passwort (Dongle, Biometrie, App-Lösungen etc.)
• Gesicherte Sprach-, Video- und Textkommunikation
• Notfallkommunikation beachten

Die Maßnahmen müssen unter dem Stand der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Faktoren für die Verhältnismäßigkeit der Maßnahmen sind: Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen. 

Darüber hinaus gibt es zu berücksichtigende Meldepflichten bei erheblichen Sicherheitsvorfällen. Die Fristen dafür sind wie folgt:

• Innerhalb 24 Stunden: Frühwarnung an die Behörde.
• Innerhalb von 72 Stunden: detaillierte Meldung/Einschätzung.
• Innerhalb eines Monats: detaillierter Fortschritts-/Abschlussbericht.
   

Fazit

Sofern noch nicht geschehen, sollten sich Unternehmen mit der NIS-2-Richtlinie befassen und schnellstmöglich Zuständigkeiten (je Abteilung) definieren – auch ohne aktuelle Verordnung! Mithilfe von initialen Workshops und Befragungen, welche die Mitwirkung von Wissensträgern im Unternehmen voraussetzt, können schnell kritische Dienste und die dafür notwendigen Assets ausfindig gemacht werden. Es ist jedoch zu beachten, dass alle Dienste innerhalb eines Unternehmens einer Risikoanalyse unterzogen werden müssen – die Abhilfemaßnahmen und die Zeitpunkte der Umsetzungen werden anschließend anhand des risikobasierten Ansatzes definiert. Bei Schwierigkeiten der Zielerreichung (Roadmap) wird empfohlen, Hilfe in Form von externen Consultingunternehmen in Anspruch zu nehmen – die konkrete Umsetzung sollte auf jeden Fall durch interne Ressourcen erfolgen, da somit das Know-how im Unternehmen bleibt.  

Es ist wichtig anzumerken, dass für die Umsetzung der Risikomanagementmaßnahmen das Rad keinesfalls neu erfunden werden muss. Dazu gibt es bereits bestehende Frameworks und anerkannte Normen, wie z.B. die ISO 27001 (Informationssicherheitsmanagement) und die IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme). Die Anforderungen aus der NIS-2-Richtlinie decken sich in vielen Bereichen mit den Komponenten der beiden Normen.

Für Unternehmen, z.B. Maschinenbauer, die nicht von NIS-2 betroffen sind, bedeutet dies allerdings nicht, dass Sie hinsichtlich Cyber-Security keine Pflichten haben. Sowohl die neue Maschinenverordnung als auch der in Kürze erscheinende Cyber Resiliance Act definieren Anforderungen an Hersteller. Nicht zuletzt werden auch Betreiber, die von NIS-2 erfasst sind, Anforderungen an ihre Zulieferer stellen, um ihren NIS-2-Pflichten bzgl. Lieferkettensicherheit gerecht zu werden. Speziell für Hersteller bietet IBF das Seminar Security by Design - Cyber-Security Anforderungen an Maschinen und Anlagen.