Home » Fachbeiträge » Security Management » Neue Pflichten, neue Möglichkeiten

NIS-2 als Chance für produzierende Unternehmen: Neue Pflichten, neue Möglichkeiten

Die EU hat 2023 mit der NIS-2-Richtlinie einen neuen Maßstab für Cybersicherheit gesetzt – und die Folgen sind weitreichend. Mit dem Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2-UmsuCG), das wahrscheinlich ab Herbst 2025 in Deutschland gilt, stehen produzierende Unternehmen vor einer doppelten Herausforderung: strenge Auflagen einhalten und gleichzeitig ihre digitale Resilienz ausbauen. Doch wo neue Anforderungen entstehen, eröffnen sich auch Chancen.

·

Redaktion IT-SICHERHEIT (cs)

4 Min. Lesezeit
Cybersecurity und Schutz von privaten Infnormationen
Foto: ©AdobeStock/Michael Traitov

Hinweis: Dieser Artikel stammt aus der Ausgabe 1/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Die Sicherheit der Cyber-Infrastruktur zu gewährleisten, stellt produzierende Unternehmen aktuell vor nie dagewesene Herausforderungen. Die derzeitige Cyber-Kriegsführung in Kombination mit der zunehmenden Digitalisierung und Vernetzung in der Produktion hat eine ernst zu nehmende Bedrohungslage geschaffen. Die EU hat 2023 die seit 2016 bestehenden Sicherheitsvorschriften der „Network and Information Security“-Richtlinie, kurz NIS, durch die NIS-2-Richtlinie erweitert. In Deutschland gibt es dazu einen Gesetzesentwurf, der voraussichtlich im Herbst 2025 in Kraft treten wird: das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS-2-UmsuCG.

Die Herausforderungen, die mit der Umsetzung einhergehen, unterscheiden sich je nach Sektor: Im Bereich Energie und Elektrizität etwa fallen Unternehmen bereits unter NIS sowie KRITIS. Sie können auf bestehenden Prozessen aufbauen. Ganz anders ist die Situation für das verarbeitende Gewerbe. Diese Unternehmen sind größtenteils weder KRITIS-relevant noch fallen sie bisher unter die NIS-Richtlinie. Und so wurden hier bislang oft keine den offiziellen Vorgaben entsprechenden Sicherheitsmaßnahmen implementiert. Die Anforderungen durch die verschärfte NIS-2-Richtlinie sind für die produzierende Branche somit besonders groß.

Die Verpflichtung zur Umsetzung der Vorgaben kann jedoch eine echte Chance sein, denn im Rahmen des Prozesses müssen klare Mindeststandards für Cybersicherheit in den Unternehmen eingeführt werden. Produzierende Unternehmen, die diese Schritte proaktiv verfolgen, werden nicht nur regulatorische Risiken reduzieren. Sie werden auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen und damit ihre Wettbewerbsfähigkeit erheblich stärken.

Abbildung 1: Unternehmen, die diese Schritte umsetzen, reduzieren regulatorische Risiken und stärken ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen und damit ihre Wettbewerbsfähigkeit.

Abbildung 1: Unternehmen, die diese Schritte umsetzen, reduzieren regulatorische Risiken und stärken ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen und damit ihre Wettbewerbsfähigkeit.
Bild: Eraneos Germany

Vorbereitende Schritte

Am Anfang steht eine Betroffenheitsanalyse, die zeigt, ob das eigene Unternehmen in den Anwendungsbereich von NIS-2 fällt. Eine erste Orientierung bietet die anonyme und kostenfreie Prüfung auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI): https://betroffenheitspruefung-nis-2.bsi.de/.

Die NIS-2-Betroffenheitsprüfung dient als automatische Orientierungshilfe auf Grundlage von Eigenangaben, deren Ergebnis nicht rechtlich bindend ist. Zurzeit basieren die Abfragen auf der NIS-2-Richtlinie der EU. Bestätigen die Rechtsabteilung des eigenen Unternehmens, interne oder externe Experten das Ergebnis, ergibt sich dann die potenzielle Pflicht zur Registrierung.

Die unterschiedlichen nationalen NIS-2-Umsetzungen bedeuten für international tätige Unternehmen eine hohe Komplexität bei der Implementierung, denn für sie gelten potenziell verschiedene nationale Vorgaben innerhalb der EU-Länder. Die aktuellen Gesetze und Entwürfe der jeweiligen Länder zeigen hier deutliche Abweichungen voneinander. Idealerweise werden die Koordination und die Nachverfolgung der Implementierung in den einzelnen europäischen Gesellschaften von Anfang an durch die Muttergesellschaft durchgeführt und die zentralen und dezentralen Verantwortlichkeiten hierbei fest definiert.

Abbildung 2: NIS-2 bringt strenge Informations- und Meldepflichten, die deutlich über die bisherigen Meldepflichten hinausgehen. (Bild: Eraneos Germany)
Bild: Eraneos Germany

Abbildung 2: NIS-2 bringt strenge Informations- und Meldepflichten, die deutlich über die bisherigen Meldepflichten hinausgehen. (Bild: Eraneos Germany)

NIS-2-Vorgaben praktisch umsetzen

Sobald diese Fragen geklärt sind, kann mit den Vorbereitungen zur Erfüllung der inhaltlichen Anforderungen der Richtlinie begonnen werden. Für das produzierende Gewerbe wird die Umsetzung der Prozesse selbst und der grundsätzliche Umgang mit einer umfassenden Cyber-Regulierung eine umfangreiche Aufgabe darstellen. Daher empfiehlt sich ein mehrstufiges Vorgehen. NIS-2 betont die Verantwortung des Managements.

Innerhalb der produzierende Unternehmen sollten zunächst die Verantwortlichkeiten klar zugewiesen werden. Das Top-Management muss involviert und über Risiken und Fortschritte informiert sein. Zudem besteht durch NIS-2 eine Schulungspflicht für Geschäftsleitungen, wobei idealerweise mit der Vorstandsebene begonnen wird. Ferner muss geklärt werden, wie Unternehmen mit der Verantwortung für organisationsweite Themen umgehen. Hilfreich ist eine zentrale Struktur, die die dezentralen Verantwortlichen unterstützt, ohne deren Verantwortung zu übernehmen.

Um Ressourcen gezielt einsetzen und geeignete Maßnahmen ergreifen zu können, müssen die Verantwortlichen die Auswirkungen von Sicherheitsmaßnahmen und Vorfällen verstehen. Dabei gilt das Proportionalitätsprinzip, also die Verhältnismäßigkeit zwischen Maßnahmen und Risiken.

Am Anfang steht die Risikoidentifikation, um mögliche Bedrohungen und Schwachstellen zu erkennen. Anschließend müssen die Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen bewertet werden. Regelmäßige Risikoanalysen liefern dann ein stets aktuelles Bild der Bedrohungslage. Auf Basis der Risikobewertung werden schließlich Maßnahmen zur Risikominderung festgelegt. Unternehmen können auf standardisierte Sicherheitsmaßnahmen zurückgreifen, die sich in ihrer Branche bewährt haben, und diese entsprechend der Risikobewertung anpassen.

Bei der Umsetzungsplanung kann auf etablierte Prozesse aufgebaut werden, anstatt diese grundlegend neu zu definieren. Ein Beispiel ist die Meldepflicht: In produzierenden Unternehmen wurden die Anforderungen der Datenschutzgrundverordnung (DSGVO) umgesetzt.

Daher verfügen sie in der Regel bereits über bewährte Prozesse für die Meldung von Datenschutzverletzungen. Diese vorhandenen Strukturen und Vorgehensweisen können als solide Grundlage für die Erfüllung der Meldepflicht im Rahmen der NIS-2 Richtlinie dienen. Betroffene Unternehmen müssen die Umsetzung der Maßnahmen dokumentieren und nachweisen können. Für die Sorgfaltspflicht beginnt die Nachweisbarkeit gleichzeitig mit der Einführung der Maßnahmen. Sie sollte bereits während der Umsetzung integriert und standardisiert werden.

Fazit

Die Regulierungen der NIS-2-Richtlinie sind für viele produzierende Unternehmen in Deutschland neu, und viele Anforderungen werden möglicherweise bislang nicht vollständig erfüllt. Dennoch ist es wichtig, NIS-2 mit der notwendigen Sorgfalt und Ernsthaftigkeit zu behandeln. Dabei sind der Aufbau auf bestehenden Prozessen sowie die Sicherstellung der Nachweisbarkeit von Maßnahmen zentrale Erfolgsfaktoren.

Ein Mann mit kurzen dunklen Haaren und hellen Augen, der ein blaues Hemd mit Kragen und einen dunklen Blazer trägt, posiert vor einem beigen Hintergrund und verkörpert die professionelle Einstellung, die NIS-2 als Chance für produzierende Unternehmen bieten könnte.

Nils Kohrt ist Cybersecurity-Berater bei Eraneos
mit Schwerpunkt auf IT-Regulatorik und Compliance.

Vor einem grünen Hintergrund lächelt eine Person mit langen, dunklen Haaren und Brille subtil. Ihr schwarzes Oberteil mit weißem Kragen ergänzt die Szene, ähnlich wie NIS-2 als Chance für produzierende Unternehmen die Harmonie zwischen Sicherheitsvorschriften und Industrie herstellt.

June Snyder-Kamen ist Cybersecurity-Beraterin bei
Eraneos mit Schwerpunkt auf IT-Regulatorik und Compliance.

Andere interessante Fachbeiträge

Ein Roboter mit blau-weißem Äußeren und Headset sitzt mit Laptop an einem Schreibtisch. Im unscharfen Bürohintergrund geben große Fenster den Blick auf eine Stadtlandschaft frei. Es scheint, als würde dieser Roboterassistent die Leistungsfähigkeit von KI-Chatbots für mehr Security-Awareness nutzen, um die Sicherheit am Arbeitsplatz zu erhöhen.

KI-Chatbots für mehr Security-Awareness

Künstliche Intelligenz (KI) hält Einzug in die Cybersicherheitsausbildung. Forscher der Hochschule Darmstadt entwickeln im Rahmen eines von Distr@l geförderten Forschungsprojekts ...

Security Management
Mann und Frau im Gespräch im Rechenzentrum - schwarz/weiß

Managed Detection and Response für OT-Systeme

Es geht nicht nur um die IT: OT-Systeme sind heute attraktive Ziele für Angreifer. Vor allem mit der zunehmenden Integration von physischen Systemen wie Produktion und Monitoring i...

Security Management
AI-Konzept mit Gesetzeswaage

Aktueller Stand zur KI-Regulierung

Der Einsatz künstlicher Intelligenz (KI) erreicht ein branchenübergreifendes, produktives Plateau. Die rasante technische Durchsetzung bringt jedoch auch erhebliche rechtliche, eth...

Security Management