Industrie
Richtlinien & Standards
Cybersecurity-Gesetze für Industrieunternehmen
Der Weg aus dem Dschungel der EU-Cyberregulierung

Cyber Resilience Act, NIS-2 und die CER-Richtlinie: Die Cybersecurity-Gesetzeslage für Industrieunternehmen in Europa ist vielfältig und unübersichtlich. Doch die Umsetzung der unterschiedlichen regulatorischen Anforderungen kann dabei helfen, Cyberangriffe erfolgreich abzuwehren. Und das ist auch dringend notwendig, denn die Zahl der Cyberangriffe nimmt zu. Laut der techconsult-Studie „Angriffserkennung in Unternehmen Kritischer Infrastrukturen“ von Anfang 2023 schätzen 79 Prozent der Unternehmen die aktuelle Bedrohungslage als wachsend bis stark wachsend ein. Doch wen betreffen die Regulierungen? Welche Pflichten entstehen daraus? Und welche Fristen müssen Industrieunternehmen beachten? Hier ein Überblick der wichtigsten Cybersecurity-Gesetze in Europa.

1. Directive on Security of Network and Information Systems (NIS-2 Richtlinie)

Die NIS-2 Richtlinie ist ein wichtiger Teil der EU-Digitalstrategie „Gestaltung der digitalen Zukunft Europas“ und die Weiterentwicklung der bereits 2016 erlassenen NIS Richtlinie. Ziel ist es, ein hohes Cybersicherheitsniveau auf europäischer Ebene sicherzustellen und damit den Binnenmarkt zu stärken. Die Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen.

Betroffene Wirtschaftszweige sind in zwei Kategorien unterteilt: essential/wesentlich - also Sektoren mit hoher Kritikalität - und important/wichtig - weitere kritische Sektoren. Unter erstere fallen beispielsweise Energie, Transport und Verkehr, Finanzmärkte, der Gesundheitssektor, digitale Infrastrukturen sowie die öffentliche Verwaltung. Weitere kritische Sektoren sind unter anderem Post- und Kurierdienstleistungen, produzierendes Gewerbe, Chemie sowie die Fertigung von Medizingeräten, elektronischen Geräten, Maschinen und Transportmitteln. Welche Unternehmen innerhalb der definierten Sektoren genau betroffen sind, wird durch die jeweilige nationale Gesetzgebung definiert.

Für Industrieunternehmen bringt NIS-2 neue Spielregeln und damit neue Aufgaben. So müssen sich Firmen registrieren und Cybersicherheitsvorfälle nach fest definierten Vorgaben in einem mehrstufigen Prozess an die zuständigen Behörden melden.  

Unternehmen müssen zudem ein aktives Risikomanagement einführen und sich an Standards beispielsweise für Netzwerk- und Systemsicherheit, Vorfallbehandlung, Krisenmanagement sowie zu sicheren Lieferketten und dem Asset Management halten. Schutzmechanismen und eingesetzte Technologien müssen dem Stand der Technik entsprechen. Eine Zertifizierungspflicht zur Darstellung der Compliance kann durch die Nationalstaaten zusätzlich gefordert und eingeführt werden.

National ist geplant, NIS-2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht zu überführen. Es handelt sich erneut um ein Artikelgesetz, welches viele bestehende Gesetze gemäß der Richtlinie anpasst. KRITIS-Betreiber in Deutschland haben in Folge des IT-Sicherheitsgesetzes bereits ein solides Fundament aufgebaut. So sind zum Beispiel Unternehmen, die ein Information Security Management System (ISMS) und die nötige vertrauenswürdige Cybersicherheitstechnologie implementiert haben, gut aufgestellt und müssen mit nur geringen Anpassungen rechnen.

Die Cybersecurity-Gesetzeslage für Industrieunternehmen in Europa ist vielfältig und unübersichtlich. (c) Getty Images
2. EU Cyber Resilience Act – Cybersicherheit für vernetzte Produkte

Der Cyber Resilience Act (CRA) der EU ist ein Gesetzentwurf mit dem Ziel, Endverbraucher und Unternehmen vor Produkten zu schützen, welche Cybersicherheit nur unzureichend berücksichtigen. Zu diesem Zweck soll das Gesetz Anforderungen an Produkte mit digitalen Elementen hinsichtlich Entwicklung, Ausgestaltung und Produktion definieren und damit Cybersicherheit im gesamten Lebenszyklus sichern – so z. B. auch die Bereitstellung von Softwareupdates. Das Sicherheitsniveau von vernetzten Endprodukten soll erhöht werden, um Cyberkriminalität vorzubeugen. Das Gesetz wird voraussichtlich 2023 in Kraft treten. Danach haben die Betroffenen zwölf bis 24 Monate Zeit für die Umsetzung der neuen Anforderungen.

Von den Vorschriften betroffen sind viele Hersteller von Hard- und Softwareprodukten. Die Anforderungen werden je nach möglicher Auswirkung unterschieden. Für Produkte, die größere wirtschaftliche Bereiche betreffen, wie IoT- und Mobilfunkgeräte oder Betriebssysteme, werden strengere Vorschriften erwartet. So soll die Cybersicherheit bereits im Produktionsprozess bzw. bei der Konfiguration berücksichtigt werden („Security by Design and Default“) – beginnend mit der Planung eines Produktes bis in die Betriebsphase und einige Jahre nach dem Produktverkauf (bis zu fünf Jahre). Zusätzlich müssen Hersteller ausführliche Dokumentation führen. Das Bereitstellen von Softwareupdates bzw. -patches und die aktive Kommunikation zu Sicherheitslücken und deren Fehlerbehebung ist ein weiterer wesentlicher Baustein der Regulierung. Des Weiteren müssen für betroffene Produkte klare und verständliche Bedienungs- bzw. Betriebsanleitungen zur Verfügung gestellt werden.

3. Directive on the Resilience of Critical Entities (CER-Richtlinie)

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen hat das Ziel, die physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken und soll somit insbesondere hybriden Bedrohungen entgegenwirken. Die CER-Richtlinie ersetzt die alte Richtlinie 2008/114/EC und weitet den Anwendungsbereich aus. Durch diese neuen Vorschriften werden die EU-Mitgliedstaaten zur Identifikation von kritischen Einrichtungen und Stärkung von deren Widerstandsfähigkeit verpflichtet. Die CER-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen in nationale Gesetzgebung zu überführen.

Betroffene Wirtschaftszweige sind gemäß der Richtlinie in die Kategorien wesentlich und wichtig unterteilt. Insgesamt elf Sektoren gehören zum Geltungsbereich, der sich teilweise mit der NIS-2 Richtlinie überschneidet: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln.

Unternehmen müssen sowohl organisatorische als auch technische Sicherheitsmaßnahmen umsetzen. Dazu zählt ein funktionsfähiges Risikomanagement, um Betriebsunterbrechungen zu verhindern. Ein Business Continuity Management System (BCMS) kann hier eine geeignete Maßnahme darstellen. Zudem sollen Unternehmen in der Lage sein, adäquat auf Sicherheitsvorfälle zu reagieren und dementsprechend einen Plan zur Vorfallbehandlung (Incident Management) zu definieren. Sicherheitsvorfälle sollen an die zuständigen Aufsichtsbehörden gemeldet werden. Diese können eigene Inspektionen und Audits durchführen und die Implementierung von angemessenen Maßnahmen einfordern.

 

Step by step zu mehr Sicherheit – das können Unternehmen jetzt tun

In fünf Schritten können Industrieunternehmen sich auf die Regulierungen vorbereiten:

  1. Betroffenheit prüfen (Produkthersteller, Betreiber, Integratoren)
  2. Anforderungen prüfen
  3. Meldeprozesse vorbereiten bzw. vorhandene Umsetzungen hierzu anpassen
  4. Sicherheitskonzepte, Informationssicherheitsmanagement (z. B. auf Basis ISO/IEC 27001 bzw. IEC 62443) inkl. Business Continuity Management etablieren
  5. Risikomanagement im definierten Geltungsbereich umsetzen

Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Diese betragen zum Beispiel beim CRA bis zu 15 Mio. Euro bzw. 2,5 Prozent des Jahresumsatzes. Umso wichtiger ist eine strukturierte und ganzheitliche (Cyber-) Security-Strategie. Neben technischen Maßnahmen wie der Absicherung der Netzwerke und Geräte zählt dazu auch ein Blick auf die Absicherung der Unternehmensprozesse und die Sensibilisierung für das Thema bei den Mitarbeitenden. 

Kontaktanfrage

Kontakt:

Alexander Schlensog

Steffen Heyde

Haben Sie Fragen oder Anmerkungen zu diesem Artikel? Dann kontaktieren Sie uns über das nebenstehende Kontaktformular!

Seite 1
Submit
* Pflichtfelder
Logo

secuview ist das Online-Magazin von secunet, Deutschlands führendem Cybersecurity-Unternehmen. Hier finden Sie Neuigkeiten, Trends, Standpunkte und Hintergrundinformationen aus der Welt der Cybersicherheit für Behörden und Unternehmen. Ob Cloud, IIoT, Home Office, eGovernment oder autonomes Fahren – ohne Sicherheit kann es keine Digitalisierung geben.

 

Zusätzlich zum Online-Magazin erscheint secuview zweimal jährlich als Zeitschrift, die Sie in gedruckter Form kostenfrei abonnieren oder als PDF herunterladen können.

secuview ist das Online-Magazin von secunet, Deutschlands führendem Cybersecurity-Unternehmen. Ob Cloud, IIoT, Home Office, eGovernment oder autonomes Fahren – ohne Sicherheit kann es keine Digitalisierung geben.

© 2024 secunet Security Networks AG