Fachbeitrag

Die NIS-2-Richtlinie und wie der Maschinenbau davon betroffen ist

NIS – Network and Information Security Directive | Sicherheit von Netz- und Informationssystemen


Fachbeitrag teilen
Share Button Linkedin Share Button Xing Share Button X Share Button E-Mail

Die NIS-2-Richtlinie (EU) 2022/2555 ist am 16.1.2023 in Kraft getreten und definiert Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – sie wird somit die 2016 in Kraft getretene NIS-Richtlinie inhaltlich ersetzen. Die Umsetzung der NIS-2-Richtlinie in ein nationales Gesetz muss durch die Mitgliedstaaten bis zum 17.10.2024 erfolgen. 

Der Fokus in der NIS-2-Richtlinie richtet sich dabei für betroffene Unternehmen auf die Implementierung von Risikomanagementmaßnahmen und die Meldepflichten für erkannte Sicherheitsvorfälle. Im Gegensatz zur NIS-Richtlinie wurden unter anderem die Sektoren der kritischen Einrichtungen erweitert und ein Hauptaugenmerk auf die Abhängigkeit von Partnerunternehmen (Lieferketten) gelegt. 

Seminarhinweis

Security by Design - Cyber-Security Anforderungen an Maschinen und Anlagen


Im 2-tägigen Praxisseminar erfahren Sie, welche Aspekte der IT-Security bei der Konzeption und Planung von Maschinen und Anlagen besonders beachtet werden sollten, um den gesetzlich geforderten "Stand der Technik" auch im Bereich der Security von Maschinen und Anlagen gewährleisten zu können.  

Wer ist betroffen?

Ob man von der NIS-2 Richtlinie betroffen ist, hängt sowohl von der Unternehmensgröße als auch von dem zugehörigen Sektor des Unternehmens ab. Die NIS-2-Richtlinie gilt für öffentliche und private Einrichtungen der in Anhang I (Sektoren mit hoher Kritikalität) und in Anhang II (Sonstige kritische Sektoren) gelisteten Art, die in Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG die genannten Obergrenzen für mittlere Unternehmen erreichen oder überschreiten und ihre Dienstleistungen in der Union erbringen oder ihre Tätigkeiten dort ausüben. 

Anhang I (Sektoren mit hoher Kritikalität)
⇒ wesentliche Einrichtungen

Anhang II (Sonstige kritische Sektoren)
⇒ wichtige Einrichtungen
EnergiePost- und Kurierdienst (neu in NIS-2)
VerkehrAbfallbewirtschaftung (neu in NIS-2)
BankwesenChemie (Produktion, Herstellung und Handel) (neu in NIS-2)
FinanzmarktinfrastrukturenLebensmittel (Produktion, Verarbeitung und Vertrieb) (neu in NIS-2)
GesundheitswesenVerarbeitendes Gewerbe/Herstellung von Waren (neu in NIS-2)
TrinkwasserAnbieter digitaler Dienst
Abwasser (neu in NIS-2)Forschung (neu in NIS-2)
Digitale Infrastruktur 
Verwaltung von IKT*-Diensten (Business-to-Business) (neu in NIS-2) 
Öffentliche Verwaltung (neu in NIS-2) 
Weltraum (neu in NIS-2) 

Informations- und Kommunikationstechnologie

Für Maschinenbauer sind speziell die unter dem Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ definierten Teilsektoren von Bedeutung:

  1. Herstellung von Medizinprodukten und In-vitro-Diagnostika
  2. Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen (beschrieben in Abteilung 26 NACE Rev. 2)
  3. Herstellung von elektrischen Ausrüstungen (beschrieben in Abteilung 27 NACE Rev. 2)
  4. Maschinenbau (beschrieben in Abteilung 28 NACE Rev. 2)
  5. Herstellung von Kraftwagen und Kraftwagenteilen (beschrieben in Abteilung 29 NACE Rev. 2)
  6. sonstiger Fahrzeugbau (beschrieben in Abteilung 30 NACE Rev. 2)

Wie bereits angemerkt muss das betroffene Unternehmen die Obergrenzen für mittlere Unternehmen erreichen oder diese überschreiten. Die jeweiligen Schwellwerte finden Sie hier:

GrößenklasseBeschäftigteJahresumsatzJahresbilanzsumme
Kleines Unternehmen (KU)< 50 UND≤ 10 Mio. Euro ODER≤ 10 Mio. Euro
Mittleres Unternehmen (MU)< 250 UND≤ 50 Mio. Euro ODER≤ 43 Mio. Euro
Großes Unternehmen (GU)≥ 250 ODER> 50 Mio. Euro UND> 43 Mio. Euro

Es besteht jedoch gemäß Art.2 und Art.3 der NIS-2-Richtlinie die Möglichkeit, dass Unternehmen unter bestimmten Voraussetzungen und unabhängig von deren Größenklassen ebenfalls unter den Anwendungsbereich der NIS-2-Richtlinie fallen – dies ist speziell im Falle von Abhängigkeiten durch Lieferketten denkbar.

Tipp: Link zur Selbsteinschätzung nach NIS-2 von der WKO: https://ratgeber.wko.at/nis2/
 

Wie wird kontrolliert / bestraft?

Anders als bei der NIS-Richtlinie muss nun mit der NIS-2-Richtlinie nicht jedes Unternehmen einem regelmäßigen Audit unterzogen werden. Bei wichtigen Einrichtungen wird nur bei einem begründeten Verdacht eine Kontrolle durchgeführt, zum Beispiel nach einem Sicherheitsvorfall. Bei wesentlichen Einrichtungen sind hingegen regelmäßige NIS-2-Audits von externen Stellen vorgesehen. Darüber hinaus sind jederzeit On-Site / Off-Site Kontrollen oder Sicherheits-Scans denkbar. Die Sanktionen im Falle einer Nichteinhaltung variieren ebenfalls, siehe folgende Tabelle: 

 Wesentliche EinrichtungWichtige Einrichtung
AufsichtEx-ante (im Voraus) und
ex-post (im Nachhinein)
Ex-post
 Regelmäßige SicherheitsprüfungenNur bei begründetem Verdacht
 Stichprobenkontrollen 
SanktionenBis zu 10 Mio. Euro oder 2 % des weltweiten UmsatzesBis zu 7 Mio. Euro oder 1,4 % des weltweiten Umsatzes


Was gilt es umzusetzen?

Die Risikomanagementmaßnahmen (Art. 21 Abs. 2) müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Systeme vor Sicherheitsvorfällen zu schützen und zumindest die nachfolgenden Themen umfassen. Die Unterpunkte dienen dabei als Beispiele:

a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;

  • Risikobasierter Ansatz – siehe z.B. auch ISO 270001 und IEC 62443
     

b) Bewältigung von Sicherheitsvorfällen;

  • Incident Response Plan
     

c) Aufrechterhaltung des Betriebs & Krisenmanagement;

  • BCM – Business Continuity Management
  • Backup & Recovery
     

d) Lieferkettensicherheit;

  • Schnittstellen zu Zulieferer, Dienstleister und Partnerunternehmen
  • Verfügbarkeit der Lieferkette beachten
  • State-of-the-Art Sicherheitsstandards
     

e) Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT;

  • Zertifizierung von Komponenten und Herstellern
  • Schwachstellen- und Patchmanagement
  • Security by Design
  • Security by Default
     

f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen;

  • Information Security Management System (ISMS – siehe ISO 27001)
     

g) Cyberhygiene und Schulungen zur Cybersicherheit;

  • Wiederkehrende Schulungen und Workshops
  • Bewusstseinsbildung der MitarbeiterInnen für Cybersicherheit (z.B. Phishing)
  • Prozesse und Richtlinien definieren (z.B. Passwörter, Berechtigungen etc.)
     

h) Kryptografie und gegebenenfalls Verschlüsselung;

  • Integrität der Daten gewähren, sowohl in rest (bei der Speicherung) als auch in transit (bei der Übertragung)
     

i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle;

  • Physische Sicherheit
  • Defense-in-Depth Ansatz (siehe IEC 62443)
     

j) Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung.

  • Zusätzlicher Faktor zum Passwort (Dongle, Biometrie, App-Lösungen etc.)
  • Gesicherte Sprach-, Video- und Textkommunikation
  • Notfallkommunikation beachten

Die Maßnahmen müssen unter dem Stand der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Faktoren für die Verhältnismäßigkeit der Maßnahmen sind: Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen. 

Darüber hinaus gibt es zu berücksichtigende Meldepflichten bei erheblichen Sicherheitsvorfällen. Die Fristen dafür sind wie folgt:

  • Innerhalb 24 Stunden: Frühwarnung an die Behörde.
  • Innerhalb von 72 Stunden: detaillierte Meldung/Einschätzung.
  • Innerhalb eines Monats: detaillierter Fortschritts-/Abschlussbericht.
     

Fazit

Sofern noch nicht geschehen, sollten sich Unternehmen mit der NIS-2-Richtlinie befassen und schnellstmöglich Zuständigkeiten (je Abteilung) definieren – auch ohne aktuelle Verordnung! Mithilfe von initialen Workshops und Befragungen, welche die Mitwirkung von Wissensträgern im Unternehmen voraussetzt, können schnell kritische Dienste und die dafür notwendigen Assets ausfindig gemacht werden. Es ist jedoch zu beachten, dass alle Dienste innerhalb eines Unternehmens einer Risikoanalyse unterzogen werden müssen – die Abhilfemaßnahmen und die Zeitpunkte der Umsetzungen werden anschließend anhand des risikobasierten Ansatzes definiert. Bei Schwierigkeiten der Zielerreichung (Roadmap) wird empfohlen, Hilfe in Form von externen Consultingunternehmen in Anspruch zu nehmen – die konkrete Umsetzung sollte auf jeden Fall durch interne Ressourcen erfolgen, da somit das Know-how im Unternehmen bleibt.  

Es ist wichtig anzumerken, dass für die Umsetzung der Risikomanagementmaßnahmen das Rad keinesfalls neu erfunden werden muss. Dazu gibt es bereits bestehende Frameworks und anerkannte Normen, wie z.B. die ISO 27001 (Informationssicherheitsmanagement) und die IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme). Die Anforderungen aus der NIS-2-Richtlinie decken sich in vielen Bereichen mit den Komponenten der beiden Normen.

Für Unternehmen, z.B. Maschinenbauer, die nicht von NIS-2 betroffen sind, bedeutet dies allerdings nicht, dass Sie hinsichtlich Cyber-Security keine Pflichten haben. Sowohl die neue Maschinenverordnung als auch der neue Cyber Resiliance Act definieren Anforderungen an Hersteller. Nicht zuletzt werden auch Betreiber, die von NIS-2 erfasst sind, Anforderungen an ihre Zulieferer stellen, um ihren NIS-2-Pflichten bzgl. Lieferkettensicherheit gerecht zu werden. Speziell für Hersteller bietet IBF das Seminar Security by Design - Cyber-Security Anforderungen an Maschinen und Anlagen.
 

Durchführungsbestimmungen zu NIS-2

  • Die Durchführungsverordnung (EU) 2024/2690 legt technische und methodische Anforderungen für Risikomanagementmaßnahmen im Bereich Cybersicherheit fest. Zudem präzisiert sie, wann ein Sicherheitsvorfall für verschiedene Anbieter (DNS, Cloud, Online-Plattformen, etc.) als erheblich gilt und gemeldet werden muss.


Verfasst am: 02.04.2024

Autor

Martin Strommer
Dipl.-Ing. „Information Security“ und Bachelor „Software Design“. OT Security Engineer in den Bereichen kritische Infrastrukturen und produzierende Unternehmen. Unterstützt Kunden bei der Implementierung von Intrusion Detection Systemen (IDS), im Handling von Security Alerts und in der Umsetzung von Security Advisories. Zuvor 7 Jahre im Bereich Maschinensicherheit insbesondere in den Bereichen Safety/Security Risk Assessments und Programmierung von speicherprogrammierbaren Steuerungen tätig. Ausbildung zum international zertifizierten Maschinensicherheitsexperten (CMSE® - TÜV Nord). Lektor im Bachelorstudiengang „Smart Engineering“ an der FH St. Pölten..

E-Mail: martin.strommer@gmx.at


Fachbeitrag teilen
Share Button Linkedin Share Button Xing Share Button X Share Button E-Mail

CE-InfoService


Neuigkeiten und Änderungen zu CE nicht mehr verpassen!

Sie sind noch nicht zum kostenlosen CE-InfoService registriert? Melden Sie sich jetzt an und erhalten Sie die Info per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.

Hinweisbild Anzeige Security by Design Cyber Security Anforderungen an Maschinen und Anlagen

Unterstützung durch IBF

CE-Software Safexpert

CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering

Praxis-Seminare

Praxisgerechte Seminare rund um das Thema Produktsicherheit

Bleiben Sie Up-to-Date!

Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit