Cyberregulierung in Europa

ein Leitfaden für Industrieunternehmen

Cyberregulierung in Europa
– ein Leitfaden für Industrieunternehmen

 Der Digitalisierungsgrad in der Industrie wächst. Neben zahlreichen Chancen können durch die Digitalisierung auch erhebliche Cybergefahren entstehen. Industrieunternehmen sind oft unzureichend geschützt und damit potenziell angreifbar und verwundbar. Cyberangriffe auf Unternehmen der Kritischen Infrastruktur können sogar das Allgemeinwohl in Gefahr bringen, wenn systemrelevante Versorgungsdienstleistungen zum Ausfall gebracht werden. Die Zahl der Cyberangriffe nimmt zu. Laut IDC Studie „Cybersecurity in DACH 2022“ waren 72 % der Unternehmen in der DACH-Region von Ransomware betroffen. Mit Blick auf die Zukunft geht die Hälfte der Befragten (50 %) davon aus, dass die Zahl der Angriffe noch weiter steigen wird.

Auf europäischer Ebene werden dazu seit vielen Jahren Strategien umgesetzt, welche häufig durch Gesetze abgebildet werden. Damit werden Unternehmen verpflichtet, ihre eigenen Sicherheitsstrategien anzupassen und Maßnahmen zur Risikominimierung zu ergreifen.

Doch welche Unternehmen sind betroffen? Welche Pflichten entstehen daraus? Und welche Fristen müssen beachtet werden?

Wir fassen die wichtigsten Regelwerke im Bereich der Cybersecurity in der Europäischen Union (EU) zusammen und erklären, was diese für Industrieunternehmen bedeuten.

 

 

 

Die NIS-2 Richtlinie ist ein wichtiger Teil der EU-Digitalstrategie „Gestaltung der digitalen Zukunft Europas“. Das Ziel ist, ein hohes Cybersicherheitsniveau auf europäischer Ebene sicherzustellen und damit den Binnenmarkt zu stärken. Die Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben Zeit bis zum 17. Oktober 2024, um die Bestimmungen in nationale Gesetzgebung zu überführen.

Die NIS-2 Richtlinie ist eine Weiterentwicklung der bereits in 2016 erlassenen NIS Richtlinie, mit der EU-Vorschriften zur Cybersicherheit von KRITIS-Unternehmen erstmalig eingeführt wurden. In Deutschland wurden diese mit dem IT-Sicherheitsgesetz rechtskräftig umgesetzt.

Die Aktualisierung des Regelwerks durch NIS-2 kommt als Antwort auf die steigende Bedrohungslage im Cyberraum und die Notwendigkeit einer konsolidierten Handlungsfähigkeit auf EU-Ebene. Die EU verfolgt damit wichtige strategische Ziele wie die Verabschiedung nationaler Cybersicherheitsstrategien, Förderung der Zusammenarbeit der EU-Länder, Entstehung zuständiger Behörden für Cyberkrisenmanagement sowie die Benennung und Einrichtung von Anlaufstellen für Cybersicherheit und Computer-Notfallteams (Computer Security Incident Response Team, kurz CSIRT). CSIRT Teams in den einzelnen Ländern sollen zudem vernetzt agieren, um Cyberangriffe mit flächendeckenden Folgen schlagkräftig zu entschärfen.

Der Anwendungsbereich der NIS Vorschriften wurde mit NIS-2 auf weitere Sektoren und Einrichtungen ausgeweitet. Im Vergleich zu den initialen NIS-Vorgaben, wird für Deutschland unter NIS-2 mit einer Verzehnfachung an betroffenen Unternehmen und Organisationen gerechnet (ca. 17.000 statt bislang ca. 1.700).

Betroffene Wirtschaftszweige sind gemäß NIS-2 in die folgenden zwei Kategorien unterteilt:

essential (sectors with high criticality) / wesentlich (Sektoren mit hoher Kritikalität)

  • Energie
  • Transport und Verkehr
  • Finanzmärkte
  • Bankwesen
  • Gesundheitssektor
  • Trinkwasser
  • Abwasser
  • Digitale Infrastrukturen
  • ICT Service Management
  • Öffentliche Verwaltung
  • Raumfahrt

important (other critical sectors) / wichtig (weitere kritische Sektoren)

  • Post- und Kurierdienstleistungen
  • Abfallmanagement
  • produzierendes Gewerbe
  • Chemie
  • Lebensmittel
  • Fertigung von Medizingeräten, elektronischen Geräten, Maschinen und Transportmitteln
  • Forschung
  • Anbieter digitaler Dienstleistungen (Suchmaschinen, soziale Netzwerke, Marktplätze)

Die genaue Spezifikation der betroffenen Unternehmen innerhalb der definierten Sektoren wird durch die nationale Gesetzgebung definiert.

Für Industrieunternehmen bringt NIS-2 neue Spielregeln und damit neue Aufgaben. So müssen sich Firmen registrieren und Cybersicherheitsvorfälle nach fest definierten Vorgaben an die zuständigen Behörden melden:  

  • Frühwarnung – Meldung innerhalb von 24 Stunden nach einem Vorfall
  • Vorfallbenachrichtigung / Incident notification – Meldung innerhalb von 72 Stunden nach einem Vorfall
  • Zwischenbericht / Intermediate Report (auf Anfrage von CSIRT oder der zuständigen Aufsichtsbehörde)
  • Bericht über den Fortschritt der Vorfallbehandlung / Progress Report – im Falle von nicht gelösten Vorfällen nach einem Monat nach Vorfallbenachrichtigung
  • Finaler Bericht / Final Report – innerhalb von einem Monat nach Vorfallbenachrichtigung oder einem Monat nach abgeschlossener Vorfallbehandlung
  • Freiwillige Berichterstattung möglich

Zu den Pflichten gehören auch die Einführung eines aktiven Risikomanagements und die Einhaltung von Standards (wie zum Beispiel zur Netzwerk-/Systemsicherheit, Vorfallbehandlung, zum Krisenmanagement, zu Business Continuity Management, Identitätsmanagement, sicheren Lieferketten und dem Asset Management). Schutzmechanismen und eingesetzte Technologien müssen dem Stand der Technik entsprechen. Eine Zertifizierungspflicht zur Darstellung der Compliance kann durch die Nationalstaaten gefordert und eingeführt werden.

Die neuen Vorschriften nehmen die Unternehmensführung stärker in die Pflicht, die für die Umsetzung der Policies und Regelwerke auf Unternehmensebene zuständig ist.

Weichen Betroffene von den Pflichten ab, drohen hohe Bußgelder: für wesentliche Einrichtungen bis zu 10 Millionen Euro bzw. 2 Prozent des Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro bzw. 1,4 Prozent des Jahresumsatzes.

Für den deutschen Markt bedeutet NIS-2, dass es eine Anpassung des bisher bestehenden IT-Sicherheitsgesetzes 2.0 bzw. ein neues Gesetz als Nachfolger zum derzeitigen IT-Sicherheitsgesetzes 2.0 geben wird.

Viele Unternehmen, aber auch der Staat müssen zeitnah mit den Vorbereitungen starten, um nicht bei der Umsetzung zeitlich überfordert zu werden. Die KRITIS-Betreiber hierzulande haben durch das IT-Sicherheitsgesetz bereits ein solides Fundament aufgebaut. So sind zum Beispiel Unternehmen, die ein Information Security Management System (ISMS) implementiert haben und den Stand der Technik hinsichtlich Cybersicherheit umgesetzt haben, gut aufgestellt und müssen nur mit geringen Anpassungen rechnen.

 

Beim Cyber Resilience Act (CRA) der EU handelt es sich um einen Gesetzentwurf mit dem Ziel, Endverbraucher und Unternehmen vor Produkten mit unzureichenden IT-Sicherheitsfunktionen zu schützen. Dazu soll das Gesetz Anforderungen an Produkte mit digitalen Elementen hinsichtlich Entwicklung, Ausgestaltung und Produktion definieren und damit Cybersicherheit im gesamten Lebenszyklus sichern – u.a. auch Verfügbarkeit von Softwareupdates. Das Sicherheitsniveau von vernetzten Endprodukten soll dadurch sichergestellt bzw. verbessert werden, um Cyberkriminalität vorzubeugen.

Das Gesetz wird voraussichtlich in 2023 in Kraft treten.Danach haben die Betroffenen 12 bis 24 Monate Zeit für die Umsetzung der neuen Anforderungen. Halten sich Betroffene nicht an die Vorschriften, drohen hohe Bußgelder in Höhe von bis zu 15 Millionen Euro bzw. 2,5 Prozent des Jahresumsatzes.

Von den Vorschriften betroffen sind Hersteller von Hardware oder Software sowie von Produkten, die solche Komponenten enthalten und in der EU vertrieben werden. Die Anforderungen werden nach Kriterien hinsichtlich der Relevanz der Auswirkungen unterschieden. Für Produkte, die größere wirtschaftliche Bereiche betreffen, wie zum Beispiel IoT-, Mobilfunkgeräte oder Betriebssysteme werden strengere Vorschriften erwartet. Solche Produkte sollen die Cybersicherheit bereits im Produktionsprozess bzw. bei der Konfiguration berücksichtigen („Secure by Design and Default“). Zusätzlich werden Hersteller verpflichtet, ausführliche Dokumentation zu führen.

Die Folgen für Unternehmen sind weitreichend, denn diese betreffen den gesamten Produktlebenszyklus. Cybersicherheit ist somit in allen Phasen zu beachten und zu gewährleisten, beginnend mit der Planung eines Produktes bis in die Betriebsphase bzw. für einige Jahre nach dem Produktverkauf (bis zu fünf Jahre). Das Bereitstellen von Softwarepatches und die aktive Kommunikation zu Sicherheitslücken und deren Fehlerbehebung ist ein weiterer wesentlicher Baustein der Regulierung. Zu betroffenen Produkten müssen klare und verständliche Bedienungs- bzw. Betriebsanleitungen zur Verfügung gestellt werden.

Aus diesem Grund sollten Hersteller so bald wie möglich entsprechende Cybersicherheitsstrategien entwickeln, ein Risikomanagementsystem aufbauen und mit der Umstellung ihrer Produktentwicklung beginnen, um rechtzeitig die kommenden Anforderungen erfüllen zu können.

 

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) hat das Ziel, die physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken. Die CER-Richtlinie ersetzt die alte Richtlinie 2008/114/EC und weitet den Anwendungsbereich aus. Durch diese neuen Vorschriften werden die Mitgliedstaaten zur Identifikation von kritischen Einrichtungen und Stärkung derer Widerstandsfähigkeit verpflichtet.

Die CER-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben Zeit bis zum 17. Oktober 2024, um die Bestimmungen in nationale Gesetzgebung zu überführen.

Betroffene Wirtschaftszweige sind gemäß der Richtlinie in die Kategorien wesentlich und wichtig unterteilt. Insgesamt elf Sektoren gehören zum Geltungsbereich: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Öffentliche Verwaltung, Weltraum, sowie die Produktion, Verarbeitung und Vertrieb von Lebensmitteln.

(Somit gibt es eine große thematische Überschneidung mit der Definition der wesentlichen bzw. wichtigen Sektoren aus der NIS-2 Richtlinie.)

Die Pflichten für Unternehmen betreffen sowohl organisatorische als auch technische Sicherheitsmaßnahmen. So muss ein funktionsfähiges Risikomanagement aufgebaut werden, um Betriebsunterbrechungen der wesentlichen Dienstleistungen zu verhindern. Ein Business Continuity Management System (BCMS) kann hier eine geeignete Maßnahme darstellen. Zudem sollen Unternehmen in der Lage sein, adäquat auf Cybersicherheitsvorfälle zu reagieren und dementsprechend einen Plan zur Vorfallbehandlung einrichten (Incident Management). Cybervorfälle sollen an die zuständigen Aufsichtsbehörden gemeldet werden. Aufsichtsbehörden können Beaufsichtigung durchführen (eigene Inspektionen und Audits) und die Implementierung von angemessenen Maßnahmen durchsetzen.

Halten sich Betroffene nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen, die wirksam, verhältnismäßig und abschreckend sein sollen.

Ausblick – das können Unternehmen jetzt tun

Die Kombination aus wachsender Cyberbedrohung und einer Vielzahl von neuen gesetzlichen Anforderungen stellt für Unternehmen in der EU eine große Herausforderung dar. Wichtig dabei ist, den Überblick zu behalten und das Thema Cybersecurity strukturiert anzugehen.

Ein allgemeines Vorgehen als Leitfaden für Industrie-Unternehmen wäre:

  1. Prüfung der Betroffenheit (Produkthersteller, Betreiber, Integratoren)
  2. Prüfung der Anforderungen, die umzusetzen sind
  3. Meldeprozesse vorbereiten bzw. vorhandene Umsetzungen hierzu anpassen
  4. Sicherheitskonzepte, Informationssicherheitsmanagement (z.B. auf Basis ISO/IEC 27001 bzw. IEC 62443) inkl. Business Continuity Management etablieren
  5. Risikomanagement im definierten Geltungsbereich umsetzen

Eine Cybersicherheitsstrategie muss dabei langfristig und auch ganzheitlich gedacht werden. Neben den technischen Maßnahmen, wie zum Beispiel die Absicherung der Netzwerke und Geräte, müssen auch die Unternehmensprozesse betrachtet werden. Wer darf auf welche Daten zugreifen? Und schließlich müssen alle Personen im Unternehmen für das Thema sensibilisiert werden.

 

Kontaktanfrage
Sie haben Fragen oder benötigen Beratung?
Sie haben Fragen oder benötigen Beratung?

Schreiben Sie uns und wir melden uns schnellstmöglich bei Ihnen!

Seite 1
Zurück zum Anfang
Logo
Kontakt

secunet Security Networks AG
Kurfürstenstraße 58
45138 Essen

Phone: +49 (0) 201 5454-0
E-Mail: info(at)secunet.com

Twitter | LinkedIn | Xing

AGB Datenschutz Impressum
© 2023 secunet Security Networks AG