NIS2-Richtlinie für den Maschinenbau auf einen Blick - Tipps zur Umsetzung

Die  neue NIS2-Richtlinie  NIS2  zielt  darauf  ab,  ein  hohes  gemeinsames  Cybersicherheitsniveau  in  der  EU  zu  gewährleisten. Sie ersetzt die NIS Directive von 2016, indem sie strengere Sicherheitsstandards und Meldepflichten einführt. Ab Oktober 2024 gelten für Unternehmen in 18 kritischen Sektoren verpflichtende  Sicherheitsmaßnahmen und Meldepflichten – darunter sind viele Unternehmen, die bisher nicht betroffen waren.

Erfahren Sie, warum Experten empfehlen, frühzeitig externe Unterstützung in Anspruch zu nehmen und sich so einen Vorsprung in der digitalen Sicherheitslandschaft des Maschinenbaus zu sichern. Starten Sie jetzt in eine zukunftssichere Cybersicherheit – wir begleiten Sie auf dem Weg!

Was bedeutet NIS2 für den Maschinenbau?

Richtlinie zur Netz- und Informationssicherheit

Die Verhandlungen auf europäischer Ebene über die NIS2-Richtlinie sind bereits abgeschlossen. Kann die neue Richtlinie den Mittelstand tatsächlich besser vor Cyberkriminalität schützen, oder bringt sie nur noch mehr Bürokratie?

In den vergangenen Jahren ist das Ausmaß der Schäden durch Cyberattacken in der deutschen Industrie sichtbar gestiegen. Teilweise standen Produktionsanlagen 4 bis 8 Wochen still, Unternehmen beklagten Verluste in Höhe von 1 Mio. Euro pro Tag.

Angesichts zunehmender Hackerangriffe auf die deutsche Wirtschaft sind die Cyberversicherer 2021 erstmals in die Verlustzone gerutscht. „Unter dem Strich betrug die Schaden-Kostenquote fast 124 Prozent nach 65 Prozent ein Jahr zuvor“, sagte Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV).

Die Bedrohung für den industriellen Mittelstand ist also real.

NIS2 auf deutlich mehr Branchen ausgeweitet

Angesichts des zunehmenden Risikos hat die Europäische Kommission die NIS-Richtlinie von 2016 überarbeitet, um IT-Sicherheitslücken zu schließen und die Cybersicherheit in Unternehmen zu erhöhen.

Für den Mittelstand relevant ist, dass die Richtlinie auf Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresnettoumsatz von mehr als 10 Mio. € ausgeweitet wird, wenn sie einem kritischen oder wichtigen Sektor angehören. Zu den wichtigen Sektoren gehören die meisten Industriezweige und der Maschinenbau.

„Das sind allein im Maschinenbau mehr als 3.000 Hersteller, die jetzt betroffen sind“, sagt Steffen Zimmermann vom VDMA. Auf Twitter äußert er sein Unverständnis über die Kriterien, die bei der Ausarbeitung der Richtlinie angelegt wurden: „Das Gesetz unterscheidet nicht zwischen Atomtechnologieproduzenten und Backmaschinenherstellern.“

Damit bringt er zum Ausdruck, welche Vorbehalte in den Unternehmensführungen gegenüber der neuen Richtlinie bestehen. Denn die Richtlinie bedeutet einen gehörigen Mehraufwand, sollen die bürokratischen und informationstechnischen Anforderungen korrekt umgesetzt werden.

Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) soll für 18 Wirtschaftssektoren ein hohes gemeinsames Niveau der Cyber-Sicherheit in der EU gewährleisten.

Der Maschinen und Anlagenbau wurde als wichtiger Wirtschaftssektor identifiziert.
Wichtige Einrichtungen sind Unternehmen mit

Wichtige Sektoren gemäß NIS2-Richtlinie

• Verarbeitendes Gewerbe
(NACE-Codes 26 bis 30, Herstellung von Datenverarbeitungs-geräten, elektronischen und optischen Erzeugnissen bis zum    Maschinenbau)

• Chemikalienindustrie
• Lebensmittelindustrie
• Digitale Dienste
• Medizinproduktehersteller
• Forschungseinrichtungen

Anwendungsbereich der NIS2-Richtlinie

Die NIS-2-Richtlinie betrifft sog. “wesentliche” und “wichtige” Einrichtungen.

Wichtige Einrichtungen sind Unternehmen
• mit mehr als 50 Mitarbeitern oder
Jahresumsatz von mehr als 10 Mio. € oder
• einer Jahresbilanzsumme von mehr als 10 Mio. €

IT-Sicherheitsgesetz 3.0 und Frist zur Umsetzung

Am 18. Oktober 2024 tritt das IT-Sicherheitsgesetz 3.0 in Kraft. Alle betroffenen Anlagen- und Maschinenbauunternehmen müssen bis zu diesem Datum die NIS2-Richtlinie umgesetzt haben. Die Strafen für Nichteinhaltung wurden im Vergleich zur NIS Directive von 2016 drastisch verschärft. Der Gesetzgeber droht bei Nichtbeachtung der Richtlinie mit Bußgeldern bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes des Unternehmens.

Ihr Weg zu Umsetzung der NIS2-Richtlinie

Die NIS2-Richtlinie setzt voraus, dass alle betroffenen Unternehmen eine umfassende Cyber-Sicherheitsstrategie implementieren. Dies umfasst die Entwicklung und Einführung von Maßnahmen in verschiedenen Bereichen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden.

Nach einem Reifegradmodell lässt sich das NIS2 IT-Sicherheitsniveau ermitteln. Daraus lassen sich ableiten welche IT-Security-Maßnahmen umgesetzt werden müssen.

Erforderliche Maßnahmen nach NIS-2

Eine solide Cyber-Sicherheitsstrategie stärkt nicht nur die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen und minimiert Risiken, sondern erhöht auch das Vertrauen von Kunden und Partnern. Auch die Mitarbeiterinnen und Mitarbeiter können sich voll und ganz auf ihr Kerngeschäft konzentrieren und müssen weniger Angst vor Fehlverhalten haben.

Dies führt zu einer verbesserten Marktposition und Wettbewerbsfähigkeit. Darüber hinaus fördert die Umsetzung dieser Maßnahmen die Sensibilisierung und das Bewusstsein für IT-Sicherheit im gesamten Unternehmen, was letztlich zu einem sichereren und effizienteren Arbeitsumfeld führt.

Zu diesen Maßnahmen zählen:
  • Cyber-Sicherheitsstrategie (IT-Sicherheitskonzept) implementieren
  • Cybersecurity-Risikomanagement aufbauen
  • IT-Sicherheitsrisiken bewerten (Cyber Security Risk Assessment)
  • IT-Sicherheitsbeauftragten ernennen
  • Berichtspflichten erfüllen
  • Aufrechterhaltung des Betriebs sichern durch
    • Backup-Management (inkl. Wiederherstellung)
    • Notfall- und Krisenmanagement
  • Sicherheitsmaßnahmen bei Beschaffung, Entwicklung und
    IT-Systemen festlegen (inkl. Schwachstellen-Management)
  • Risikomanagementmaßnahmen für Cyber-Sicherheit evaluieren
  • Konzepte für Kryptografie und Verschlüsselung entwickeln
  • Konzepte zur Zugriffskontrolle entwickeln
  • Multi-Faktor-Authentifizierung anwenden
  • Sicherheit der Lieferkette gewährleisten
    (Überwachung kritischer Geschäftspartner durch Audits)
  • Professionellen Umgang mit IT-Sicherheitsvorfällen gewährleisten
  • Meldepflichten nachkommen

Die kontinuierliche Evaluierung und Anpassung der Cyber-Sicherheitsmaßnahmen stellt sicher, dass Ihr Unternehmen auf dem neuesten Stand der Technik bleibt und effektiv auf sich verändernde Sicherheitslandschaften reagieren kann. Kurz gesagt, die Erfüllung der NIS2-Anforderungen ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein entscheidender Schritt, um die langfristige Sicherheit und den Erfolg Ihres Unternehmens zu gewährleisten.

Störungsmeldung im Maschinenbau
nach der NIS2-Richtlinie

Die NIS2-Richtlinie stellt spezifische Anforderungen an das Vorfallmanagement, also die Meldung von Sicherheitsvorfällen. Unternehmen unterliegen folgenden Meldepflichten:

  • 24-Stunden-Frühwarnung:
    Bei Verdacht auf einen IT-Sicherheitsvorfall muss innerhalb von 24 Stunden eine erste Meldung erfolgen.
    Diese Frühwarnung soll eine schnelle Reaktion ermöglichen.
  • 72-Stunden-Evaluierung:
    Innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalls muss eine detaillierte
    Evaluierung der Schwere des Ereignisses und seiner möglichen Auswirkungen erfolgen.
  • Zwischenbericht: Auf Anfrage der zuständigen nationalen Behörden muss ein Zwischenbericht ggf. mit zusätzlichen Informationen über das Ereignis oder die bisherigen Untersuchungsergebnisse vorgelegt werden.
  • Abschlussbericht nach einem Monat: Ein detaillierter Abschlussbericht ist einen Monat nach dem Vorfall fällig. Dieser sollte eine umfassende Beschreibung der Bedrohung, der Ursachen und der ergriffenen Gegenmaßnahmen enthalten.

Diese Berichtspflichten sind entscheidend, um eine schnelle und effektive Reaktion auf Sicherheitsvorfälle zu gewährleisten und die allgemeine Widerstandsfähigkeit im Bereich der Cybersicherheit im Maschinenbau zu stärken.

Auswirkungen der NIS2-Richtlinie den
Anlagen- und Maschinenbau

Die NIS2-Richtlinie stellt eine signifikante Entwicklung in der Cybersicherheitslandschaft dar, die direkte Auswirkungen auf den Maschinenbau hat. Sie fordert von den Unternehmen, die Erfüllung umfassende Sicherheitsanforderungen. Dazu gehören die Entwicklung und Implementierung von Risikomanagement- strategien und Sicherheitsrichtlinien, um IT-Sicherheitsvorfälle zu minimieren und Cyber-Angriffen vorzubeugen.

Bis zum 17. Oktober 2024 müssen alle betroffenen Unternehmen einen IT-Sicherheitsbeauftragten benennen und alle notwendigen Maßnahmen zur Umsetzung der NIS2-Richtlinie ergreifen. Dazu gehören die Einführung von technischer und organisatorischer Maßnahmen sowie die Überwachung und Einhaltung der Cyber-Sicherheit durch ein effektives Risikomanagement.

Neben einem strukturierten Risikomanagement ist die Durchführung von Audits zur Gewährleistung der IT- Sicherheit in der gesamten Lieferkette erforderlich. Diese Audits sind bei wichtigen Geschäftspartnern durchzuführen, die für einen reibungslosen Geschäftsablauf unerlässlich sind. Mit den Audits soll sichergestellt werden, dass keine Schwachstellen in deren IT-Sicherheit bestehen.

Dazu gehören ein strukturiertes Risikomanagement und die Durchführung von Audits zur Gewährleistung der IT-Sicherheit in der gesamten Lieferkette.

Mit NIS2 verschärfen sich im Vergleich zur Vorgängerrichtlinie die Meldepflichten und Sicherheitsanforderungen.

Konkret sind die betroffenen Unternehmen nun verpflichtet, Verfahren für die Verbesserung der Cybersicherheit anzuwenden. Die Unternehmen werden daher auch ausreichende Risikomanagementkenntnisse in der Geschäftsführung nachweisen müssen.

Zudem soll ein EU-weites zweistufiges Meldewesen implementiert werden. Unternehmen müssen Angriffe also nicht nur beheben, sondern auch innerhalb von 24 Stunden an die zuständige Behörde melden. Spätestens einen Monat danach muss dem ein ausführlicher Abschlussbericht folgen. Ferner können die Behörden regelmäßige Prüfungen vornehmen, auch vor Ort.

Bei Nichteinhaltung der Empfehlungen zum Risikomanagement drohen erhebliche Geldstrafen. Um der Richtlinie zur zügigen Umsetzung zu verhelfen, können Geldbußen bis zu 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes der Unternehmen verhängt werden.

Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung, äußerte sich zur europäischen Cyberrichtlinie: “Die Politik darf Unternehmen nicht unter einen Generalverdacht stellen. Bußgelder sollten auf Cyberkriminelle abzielen und nicht primär auf Unternehmen, die vermeintlich unvollständig die geforderten Cybersicherheitsmaßnahmen umgesetzt haben.”

Mittelständler ignorieren Sicherheitswarnungen

Der Handlungsbedarf für die Erhöhung der Cybersicherheit scheint jedoch groß.

Nachdem im Dezember 2021 die log4j-Sicherheitslücke entdeckt worden war, rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Alarmstufe aus. Eine im Nachhinein durchgeführte Umfrage vom Gesamtverband der Versicherer (GDV) ergab allerdings, dass die Mehrheit der deutschen Mittelständler die Sicherheitswarnung ignoriert hatte.

Nur 40 Prozent der mittelständischen Unternehmen ließen ihre Software auf die log4j-Schwachstelle überprüften – und davon wiederum nur zwei Drittel ihre System zusätzlich auf bereits eingedrungene Schadsoftware.

Den Verantwortlichen scheint es egal zu sein, ob sensible bzw. wertvolle Firmendaten oder Kundendaten von Cyberkriminellen gestohlen werden. Oder ist es der gefährliche Irrglaube, man sei zu klein, um ein lohnendes Angriffsziel zu bieten?

“Wer darauf nicht reagiert, ist beim Thema IT-Sicherheit zu sorglos – oder hat zu wenig Know-how.” kommentiert GDV-Hauptgeschäftsführer Jörg Asmussen die Ergebnisse der Umfrage. Und er warnt, dass Unternehmen im Zweifel auch ihren Cyber-Versicherungsschutz verlieren können, wenn Hacker über eine lange bekannte, aber dennoch nicht geschlossene IT-Sicherheitslücke angreifen.

Die WiWo kommentiert:
“Dass die Realität längst anders aussieht; dass sich die Schäden durch Erpressungssoftware bei deutschen Unternehmen nach Erhebungen des IT-Branchenverbandes Bitkom zwischen 2019 und 2012 auf 24,3 Milliarden Euro fast verfünffacht haben; dass dabei überproportional häufig Mittelständler betroffen waren – all das scheint der größte Teil des deutschen Mittelstandes offenbar wirklich am eigenen Leibe erleben zu müssen, bevor die Verantwortlichen dort das Thema angemessen ernst nehmen.”

Anforderungen für KMU kaum umsetzbar


Ob sich die Resilienz der Unternehmen durch die neue Richtline tatsächlich erhöht, wird sich zeigen müssen.

Die NIS2-Richtlinie ist 01/2023 in Kraft getreten. Deutschland muss die NIS-Richtlinie bis zum 17.10.2024 in nationales Recht umsetzen.

Probleme hinsichtlich der Umsetzung der neuen Anforderungen sind allerdings zu erwarten. Vor allem kleinere Unternehmen, die nicht über die nötigen Qualifikationen verfügen und häufig nicht einmal einen IT-Leiter haben, werden auf externe Hilfe angewiesen sein – und zwar sowohl im IT-Bereich als auch in der Notfallkommunikation.

So warnt Iris Plöger, BDI, dass die geplanten Berichts- und Meldepflichten der NIS2 die Wirtschaft vor einen immensen Bürokratieaufwand stellen: „Kommt es zu einem Cyberangriff, müssen sich Unternehmen auf die Behebung konzentrieren und schnellstmöglich wieder zur Produktion zurückkehren können.“ Der massive IT-Fachkräftemangel in Deutschland und Europa erschwere die Umsetzung zusätzlich.

IT-Experten empfehlen den Unternehmen daher, sich frühzeitig um externe Unterstützung zu bemühen. Mit einem nach BSI-Richtlinien aufgesetzten Informationssicherheitsmanagementsystem (ISMS) können sich Unternehmen zielgerichtet gegen Angriffe oder Fehler schützen. Zudem sorgt es dafür, die technischen und organisatorischen IT-Sicherheitsmaßnahmen im Unternehmen zu steuern und zu überwachen. Diese Systeme können in einem Audit zertifiziert werden und dienen dann als rechtsicherer Nachweis gegenüber Versicherern und Behörden.

Quellen:
https://www.wiwo.de/unternehmen/mittelstand/vorgaben-bei-cyberattacken-mittelstaendler-fuerchten-naechste-buerokratie-eskalation/28571780.html
https://www.wiwo.de/technologie/digitale-welt/cybersecurity-die-gefaehrliche-ignoranz-des-deutschen-mittelstands/28576100.html
https://bdi.eu/artikel/news/eu-sollte-ganzheitlichen-und-risikobasierten-cybersicherheitsansatz-verfolgen/
https://bdi.eu/themenfelder/digitalisierung/cybersicherheit-und-wirtschaftsschutz/#/artikel/news/geplante-berichts-und-meldepflichten-stellen-wirtschaft-vor-immensen-buerokratieaufwand/
https://www.gdv.de/gdv/sicherheitsluecke-log4j-koennte-noch-zum-problem-werden–84950
https://twitter.com/VDMAonline/status/1567513365248974850/photo/1

Mit NIS2 verschärfen sich im Vergleich zur Vorgängerrichtlinie die Meldepflichten und Sicherheitsanforderungen.

Konkret sind die betroffenen Unternehmen nun verpflichtet, Verfahren für die Verbesserung der Cybersicherheit anzuwenden. Die Unternehmen werden daher auch ausreichende Risikomanagementkenntnisse in der Geschäftsführung nachweisen müssen.

Zudem soll ein EU-weites zweistufiges Meldewesen implementiert werden. Unternehmen müssen Angriffe also nicht nur beheben, sondern auch innerhalb von 24 Stunden an die zuständige Behörde melden. Spätestens einen Monat danach muss dem ein ausführlicher Abschlussbericht folgen. Ferner können die Behörden regelmäßige Prüfungen vornehmen, auch vor Ort.

Bei Nichteinhaltung der Empfehlungen zum Risikomanagement drohen erhebliche Geldstrafen. Um der Richtlinie zur zügigen Umsetzung zu verhelfen, können Geldbußen bis zu 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes der Unternehmen verhängt werden.

Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung, äußerte sich zur europäischen Cyberrichtlinie: “Die Politik darf Unternehmen nicht unter einen Generalverdacht stellen. Bußgelder sollten auf Cyberkriminelle abzielen und nicht primär auf Unternehmen, die vermeintlich unvollständig die geforderten Cybersicherheitsmaßnahmen umgesetzt haben.”

Mittelständler ignorieren Sicherheitswarnungen

Der Handlungsbedarf für die Erhöhung der Cybersicherheit scheint jedoch groß.

Nachdem im Dezember 2021 die log4j-Sicherheitslücke entdeckt worden war, rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Alarmstufe aus. Eine im Nachhinein durchgeführte Umfrage vom Gesamtverband der Versicherer (GDV) ergab allerdings, dass die Mehrheit der deutschen Mittelständler die Sicherheitswarnung ignoriert hatte.

Nur 40 Prozent der mittelständischen Unternehmen ließen ihre Software auf die log4j-Schwachstelle überprüften – und davon wiederum nur zwei Drittel ihre System zusätzlich auf bereits eingedrungene Schadsoftware.

Den Verantwortlichen scheint es egal zu sein, ob sensible bzw. wertvolle Firmendaten oder Kundendaten von Cyberkriminellen gestohlen werden. Oder ist es der gefährliche Irrglaube, man sei zu klein, um ein lohnendes Angriffsziel zu bieten?

“Wer darauf nicht reagiert, ist beim Thema IT-Sicherheit zu sorglos – oder hat zu wenig Know-how.” kommentiert GDV-Hauptgeschäftsführer Jörg Asmussen die Ergebnisse der Umfrage. Und er warnt, dass Unternehmen im Zweifel auch ihren Cyber-Versicherungsschutz verlieren können, wenn Hacker über eine lange bekannte, aber dennoch nicht geschlossene IT-Sicherheitslücke angreifen.

Die WiWo kommentiert:
“Dass die Realität längst anders aussieht; dass sich die Schäden durch Erpressungssoftware bei deutschen Unternehmen nach Erhebungen des IT-Branchenverbandes Bitkom zwischen 2019 und 2012 auf 24,3 Milliarden Euro fast verfünffacht haben; dass dabei überproportional häufig Mittelständler betroffen waren – all das scheint der größte Teil des deutschen Mittelstandes offenbar wirklich am eigenen Leibe erleben zu müssen, bevor die Verantwortlichen dort das Thema angemessen ernst nehmen.”

Anforderungen für KMU kaum umsetzbar


Ob sich die Resilienz der Unternehmen durch die neue Richtline tatsächlich erhöht, wird sich zeigen müssen.

Die NIS2-Richtlinie ist 01/2023 in Kraft getreten. Deutschland muss die NIS-Richtlinie bis zum 17.10.2024 in nationales Recht umsetzen.

Probleme hinsichtlich der Umsetzung der neuen Anforderungen sind allerdings zu erwarten. Vor allem kleinere Unternehmen, die nicht über die nötigen Qualifikationen verfügen und häufig nicht einmal einen IT-Leiter haben, werden auf externe Hilfe angewiesen sein – und zwar sowohl im IT-Bereich als auch in der Notfallkommunikation.

So warnt Iris Plöger, BDI, dass die geplanten Berichts- und Meldepflichten der NIS2 die Wirtschaft vor einen immensen Bürokratieaufwand stellen: „Kommt es zu einem Cyberangriff, müssen sich Unternehmen auf die Behebung konzentrieren und schnellstmöglich wieder zur Produktion zurückkehren können.“ Der massive IT-Fachkräftemangel in Deutschland und Europa erschwere die Umsetzung zusätzlich.

IT-Experten empfehlen den Unternehmen daher, sich frühzeitig um externe Unterstützung zu bemühen. Mit einem nach BSI-Richtlinien aufgesetzten Informationssicherheitsmanagementsystem (ISMS) können sich Unternehmen zielgerichtet gegen Angriffe oder Fehler schützen. Zudem sorgt es dafür, die technischen und organisatorischen IT-Sicherheitsmaßnahmen im Unternehmen zu steuern und zu überwachen. Diese Systeme können in einem Audit zertifiziert werden und dienen dann als rechtsicherer Nachweis gegenüber Versicherern und Behörden.

Quellen:
https://www.wiwo.de/unternehmen/mittelstand/vorgaben-bei-cyberattacken-mittelstaendler-fuerchten-naechste-buerokratie-eskalation/28571780.html
https://www.wiwo.de/technologie/digitale-welt/cybersecurity-die-gefaehrliche-ignoranz-des-deutschen-mittelstands/28576100.html
https://bdi.eu/artikel/news/eu-sollte-ganzheitlichen-und-risikobasierten-cybersicherheitsansatz-verfolgen/
https://bdi.eu/themenfelder/digitalisierung/cybersicherheit-und-wirtschaftsschutz/#/artikel/news/geplante-berichts-und-meldepflichten-stellen-wirtschaft-vor-immensen-buerokratieaufwand/
https://www.gdv.de/gdv/sicherheitsluecke-log4j-koennte-noch-zum-problem-werden–84950
https://twitter.com/VDMAonline/status/1567513365248974850/photo/1

Was bedeutet NIS2 für den Maschinenbau?

Richtlinie zur Netz- und Informationssicherheit

Die Verhandlungen auf europäischer Ebene über die NIS2-Richtlinie sind bereits abgeschlossen. Kann die neue Richtlinie den Mittelstand tatsächlich besser vor Cyberkriminalität schützen, oder bringt sie nur noch mehr Bürokratie?

In den vergangenen Jahren ist das Ausmaß der Schäden durch Cyberattacken in der deutschen Industrie sichtbar gestiegen. Teilweise standen Produktionsanlagen 4 bis 8 Wochen still, Unternehmen beklagten Verluste in Höhe von 1 Mio. Euro pro Tag.

Angesichts zunehmender Hackerangriffe auf die deutsche Wirtschaft sind die Cyberversicherer 2021 erstmals in die Verlustzone gerutscht. „Unter dem Strich betrug die Schaden-Kostenquote fast 124 Prozent nach 65 Prozent ein Jahr zuvor“, sagte Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV).

Die Bedrohung für den industriellen Mittelstand ist also real.

NIS2 auf deutlich mehr Branchen ausgeweitet

Angesichts des zunehmenden Risikos hat die Europäische Kommission die NIS-Richtlinie von 2016 überarbeitet, um IT-Sicherheitslücken zu schließen und die Cybersicherheit in Unternehmen zu erhöhen.

Für den Mittelstand relevant ist, dass die Richtlinie auf Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresnettoumsatz von mehr als 10 Mio. € ausgeweitet wird, wenn sie einem kritischen oder wichtigen Sektor angehören. Zu den wichtigen Sektoren gehören die meisten Industriezweige und der Maschinenbau.

„Das sind allein im Maschinenbau mehr als 3.000 Hersteller, die jetzt betroffen sind“, sagt Steffen Zimmermann vom VDMA. Auf Twitter äußert er sein Unverständnis über die Kriterien, die bei der Ausarbeitung der Richtlinie angelegt wurden: „Das Gesetz unterscheidet nicht zwischen Atomtechnologieproduzenten und Backmaschinenherstellern.“

Damit bringt er zum Ausdruck, welche Vorbehalte in den Unternehmensführungen gegenüber der neuen Richtlinie bestehen. Denn die Richtlinie bedeutet einen gehörigen Mehraufwand, sollen die bürokratischen und informationstechnischen Anforderungen korrekt umgesetzt werden.

Aktuelle Beiträge zur Datensicherheit