Fachbeitrag teilen
Die NIS-2-Richtlinie (EU) 2022/2555 ist am 16.1.2023 in Kraft getreten und definiert Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – sie wird somit die 2016 in Kraft getretene NIS-Richtlinie inhaltlich ersetzen. Die Umsetzung der NIS-2-Richtlinie in ein nationales Gesetz muss durch die Mitgliedstaaten bis zum 17.10.2024 erfolgen.
Der Fokus in der NIS-2-Richtlinie richtet sich dabei für betroffene Unternehmen auf die Implementierung von Risikomanagementmaßnahmen und die Meldepflichten für erkannte Sicherheitsvorfälle. Im Gegensatz zur NIS-Richtlinie wurden unter anderem die Sektoren der kritischen Einrichtungen erweitert und ein Hauptaugenmerk auf die Abhängigkeit von Partnerunternehmen (Lieferketten) gelegt.
Seminarhinweis
Security by Design - Cyber-Security Anforderungen an Maschinen und Anlagen
Im 2-tägigen Praxisseminar erfahren Sie, welche Aspekte der IT-Security bei der Konzeption und Planung von Maschinen und Anlagen besonders beachtet werden sollten, um den gesetzlich geforderten "Stand der Technik" auch im Bereich der Security von Maschinen und Anlagen gewährleisten zu können.
zum Seminar
Wer ist betroffen?
Ob man von der NIS-2 Richtlinie betroffen ist, hängt sowohl von der Unternehmensgröße als auch von dem zugehörigen Sektor des Unternehmens ab. Die NIS-2-Richtlinie gilt für öffentliche und private Einrichtungen der in Anhang I (Sektoren mit hoher Kritikalität) und in Anhang II (Sonstige kritische Sektoren) gelisteten Art, die in Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG die genannten Obergrenzen für mittlere Unternehmen erreichen oder überschreiten und ihre Dienstleistungen in der Union erbringen oder ihre Tätigkeiten dort ausüben.
Anhang I (Sektoren mit hoher Kritikalität) ⇒ wesentliche Einrichtungen
* Informations- und Kommunikationstechnologie
Für Maschinenbauer sind speziell die unter dem Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ definierten Teilsektoren von Bedeutung:
Wie bereits angemerkt muss das betroffene Unternehmen die Obergrenzen für mittlere Unternehmen erreichen oder diese überschreiten. Die jeweiligen Schwellwerte finden Sie hier:
Es besteht jedoch gemäß Art.2 und Art.3 der NIS-2-Richtlinie die Möglichkeit, dass Unternehmen unter bestimmten Voraussetzungen und unabhängig von deren Größenklassen ebenfalls unter den Anwendungsbereich der NIS-2-Richtlinie fallen – dies ist speziell im Falle von Abhängigkeiten durch Lieferketten denkbar.
Tipp: Link zur Selbsteinschätzung nach NIS-2 von der WKO: https://ratgeber.wko.at/nis2/
Anders als bei der NIS-Richtlinie muss nun mit der NIS-2-Richtlinie nicht jedes Unternehmen einem regelmäßigen Audit unterzogen werden. Bei wichtigen Einrichtungen wird nur bei einem begründeten Verdacht eine Kontrolle durchgeführt, zum Beispiel nach einem Sicherheitsvorfall. Bei wesentlichen Einrichtungen sind hingegen regelmäßige NIS-2-Audits von externen Stellen vorgesehen. Darüber hinaus sind jederzeit On-Site / Off-Site Kontrollen oder Sicherheits-Scans denkbar. Die Sanktionen im Falle einer Nichteinhaltung variieren ebenfalls, siehe folgende Tabelle:
Die Risikomanagementmaßnahmen (Art. 21 Abs. 2) müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Systeme vor Sicherheitsvorfällen zu schützen und zumindest die nachfolgenden Themen umfassen. Die Unterpunkte dienen dabei als Beispiele:
a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
b) Bewältigung von Sicherheitsvorfällen;
c) Aufrechterhaltung des Betriebs & Krisenmanagement;
d) Lieferkettensicherheit;
e) Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT;
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen;
g) Cyberhygiene und Schulungen zur Cybersicherheit;
h) Kryptografie und gegebenenfalls Verschlüsselung;
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle;
j) Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung.
Die Maßnahmen müssen unter dem Stand der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Faktoren für die Verhältnismäßigkeit der Maßnahmen sind: Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen.
Darüber hinaus gibt es zu berücksichtigende Meldepflichten bei erheblichen Sicherheitsvorfällen. Die Fristen dafür sind wie folgt:
Sofern noch nicht geschehen, sollten sich Unternehmen mit der NIS-2-Richtlinie befassen und schnellstmöglich Zuständigkeiten (je Abteilung) definieren – auch ohne aktuelle Verordnung! Mithilfe von initialen Workshops und Befragungen, welche die Mitwirkung von Wissensträgern im Unternehmen voraussetzt, können schnell kritische Dienste und die dafür notwendigen Assets ausfindig gemacht werden. Es ist jedoch zu beachten, dass alle Dienste innerhalb eines Unternehmens einer Risikoanalyse unterzogen werden müssen – die Abhilfemaßnahmen und die Zeitpunkte der Umsetzungen werden anschließend anhand des risikobasierten Ansatzes definiert. Bei Schwierigkeiten der Zielerreichung (Roadmap) wird empfohlen, Hilfe in Form von externen Consultingunternehmen in Anspruch zu nehmen – die konkrete Umsetzung sollte auf jeden Fall durch interne Ressourcen erfolgen, da somit das Know-how im Unternehmen bleibt.
Es ist wichtig anzumerken, dass für die Umsetzung der Risikomanagementmaßnahmen das Rad keinesfalls neu erfunden werden muss. Dazu gibt es bereits bestehende Frameworks und anerkannte Normen, wie z.B. die ISO 27001 (Informationssicherheitsmanagement) und die IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme). Die Anforderungen aus der NIS-2-Richtlinie decken sich in vielen Bereichen mit den Komponenten der beiden Normen.
Für Unternehmen, z.B. Maschinenbauer, die nicht von NIS-2 betroffen sind, bedeutet dies allerdings nicht, dass Sie hinsichtlich Cyber-Security keine Pflichten haben. Sowohl die neue Maschinenverordnung als auch der neue Cyber Resiliance Act definieren Anforderungen an Hersteller. Nicht zuletzt werden auch Betreiber, die von NIS-2 erfasst sind, Anforderungen an ihre Zulieferer stellen, um ihren NIS-2-Pflichten bzgl. Lieferkettensicherheit gerecht zu werden. Speziell für Hersteller bietet IBF das Seminar Security by Design - Cyber-Security Anforderungen an Maschinen und Anlagen.
Die Durchführungsverordnung (EU) 2024/2690 legt technische und methodische Anforderungen für Risikomanagementmaßnahmen im Bereich Cybersicherheit fest. Zudem präzisiert sie, wann ein Sicherheitsvorfall für verschiedene Anbieter (DNS, Cloud, Online-Plattformen, etc.) als erheblich gilt und gemeldet werden muss.
Verfasst am: 02.04.2024
Martin Strommer Dipl.-Ing. „Information Security“ und Bachelor „Software Design“. OT Security Engineer in den Bereichen kritische Infrastrukturen und produzierende Unternehmen. Unterstützt Kunden bei der Implementierung von Intrusion Detection Systemen (IDS), im Handling von Security Alerts und in der Umsetzung von Security Advisories. Zuvor 7 Jahre im Bereich Maschinensicherheit insbesondere in den Bereichen Safety/Security Risk Assessments und Programmierung von speicherprogrammierbaren Steuerungen tätig. Ausbildung zum international zertifizierten Maschinensicherheitsexperten (CMSE® - TÜV Nord). Lektor im Bachelorstudiengang „Smart Engineering“ an der FH St. Pölten..
E-Mail: martin.strommer@gmx.at
Sie sind noch nicht zum kostenlosen CE-InfoService registriert? Melden Sie sich jetzt an und erhalten Sie die Info per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.
Registrieren
CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering
Praxisgerechte Seminare rund um das Thema Produktsicherheit
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit