Startseite » Pharma » Recht (Pharma) »

Warum NIS2 eine Chance für die Pharma- und Chemiebranche ist

Digitale Systeme vor Bedrohungen zu schützen
Warum NIS2 eine Chance für die Pharma- und Chemiebranche ist

Mit der NIS2-Richtlinie soll ein hohes Cybersicherheitsniveau auf EU-Ebene geschaffen werden. Sie erweitert den Kreis der Unternehmen, die Sicherheitsvorgaben einhalten müssen. NIS2 betrifft vor allem kritische Infrastrukturen, darunter auch Pharma- und Chemieunternehmen. Nach der Umsetzung der Richtlinie in nationales Recht sind diese verpflichtet, angemessene IT-Sicherheitsmaßnahmen einzurichten.

Geleakte Kundendaten, Ransomware-Angriffe auf Chemie-Unternehmen oder komplette Systemausfälle in der Medikamentenproduktion: Solche Vorfälle sind nicht nur kostspielig und schädlich für den Ruf, sondern haben auch direkte Auswirkungen auf das gesellschaftliche Leben. Um Europa physisch und im Cyberraum zu schützen, wurden daher zahlreiche Gesetzesvorhaben auf den Weg gebracht und zu Teilen auch schon in Kraft gesetzt. Mit darunter die europäische NIS2-Richtlinie, von der auch Pharma- und Chemieunternehmen betroffen sind. Aber was genau steckt hinter dieser Richtlinie? Und warum sollten Unternehmen bereits jetzt aktiv werden?

Werkzeug gegen Cyberbedrohungen

Mit der NIS2-Richtlinie soll ein hohes Cybersicherheitsniveau auf EU-Ebene geschaffen sowie der Binnenmarkt gestärkt werden. Die EU Directive on Security of Network and Information Systems versteht sich als eine Weiterentwicklung der EU-NIS-Richtlinie. Dabei geht es nicht nur darum, volkswirtschaftlich bedeutsame Unternehmen und kritische Einrichtungen vor Cyberangriffen zu schützen, ihnen sollen auch Leitlinien an die Hand gegeben werden, wie sie auf Angriffe reagieren können.

Die Botschaft der EU ist klar: alle EU-Mitgliedsstaaten sollen sich an dieselben Sicherheitsstandards halten, ein gemeinsames hohes Sicherheitsniveau aufrechterhalten und bei den Unternehmen sowie Anlagen-Betreibern einfordern. Im Vergleich zur vorhergehenden EU-NIS-Richtlinie schließt NIS2 dabei deutlich mehr Unternehmen mit ein. Zudem werden Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit erweiterten Befugnissen ausgestattet, um sicherzustellen, dass die IT- und OT-Sicherheit nicht nur auf dem Papier existiert.

Nach der Veröffentlichung der NIS2-Richtlinie am 27. Dezember 2022 folgte das Inkrafttreten am 16. Januar 2023 – seitdem läuft die Uhr für alle EU-Mitgliedsstaaten. Bis Oktober 2024 haben sie Zeit, die Richtlinie in nationales Recht umzusetzen. Deutschland erarbeitet aktuell das Umsetzungsgesetz.

Von NIS2 betroffene Unternehmen

Betroffene Wirtschaftszweige sind im bisherigen Referentenentwurf des Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz oder NIS2UmsuCG) in drei Kategorien unterteilt: kritische Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen.

Unter „kritische Anlagen“ fallen beispielsweise Betreiber kritischer Infrastrukturen, unter anderem im Gesundheitswesen. Das schließt die Unternehmen, die pharmazeutische Erzeugnisse oder Medizinprodukte herstellen, mit ein. Aber auch die Produktion, Herstellung und der Handel mit chemischen Stoffen werden im Diskussionspapier zum neuen Gesetz adressiert. Unter die betroffenen Unternehmen fallen im derzeitigen Diskussionspapier:

  • mittlere Unternehmen, also solche, die mindestens 50 und höchstens 249 Mitarbeiter beschäftigen und einen Jahresumsatz von höchsten 50 Millionen Euro oder eine Jahresbilanzsumme von höchstens 43 Millionen Euro aufweisen
  • große Unternehmen, also solche, die die Definition der mittleren Unternehmen überschreiten

Im Gesundheitswesen sind das zudem konkret:

  • EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates
  • Unternehmen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des § 2 AMG ausüben
  • Unternehmen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen
  • Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden

All diese Unternehmen müssen sich im Bereich IT-Sicherheit entsprechend den Anforderungen des Gesetzes aufstellen.

Wie bereiten sich Unternehmen vor?

Die Umsetzung ist als Marathon, nicht als Sprint zu sehen. Unternehmen sollten zunächst prüfen, ob und wie sie von dem neuen Gesetz betroffen sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zum Erreichen eines angemessenen Risiko- und IT-Sicherheitsniveaus sind unerlässlich. Dazu gehören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, die dem aktuellen Stand der Technik entsprechen müssen.

Die gute Nachricht für Betreiber kritischer Infrastrukturen in Deutschland: Diese haben in Folge des IT-Sicherheitsgesetzes bereits ein solides Fundament aufgebaut. Und wer bereits ein ISMS und die nötige vertrauenswürdige IT- und OT-Sicherheitstechnologie implementiert hat, ist gut aufgestellt und muss nur mit geringen Anpassungen rechnen.

Für alle anderen Unternehmen bringt NIS2 neue Spielregeln und damit neue Aufgaben mit sich. Darunter die Umsetzung von Risikoanalysen und Ableitung von notwendigen Maßnahmen nach dem Stand der Technik. Zudem sind die neuen Meldeprozesse zu beachten. Berater und Beraterinnen können dabei unterstützen und maßgeschneiderte Konzepte für die angemessene Umsetzung bieten. Die Entscheidung und Umsetzung obliegt den Unternehmen selbst, die dafür – falls noch nicht passiert – neue Organisationen im Unternehmen etablieren müssen.

Jetzt reagieren, sicher in die Zukunft

Die NIS2-Richtlinie ist mehr als nur ein Regelwerk – sie ist ein Handlungsaufruf, IT- und OT-Sicherheit zu etablieren und eine widerstandsfähige Organisation und Infrastruktur zu schaffen und aufrechtzuerhalten. Neben möglichen Bußgeldern wird die Unternehmensleitung von Großunternehmen deutlich stärker in Haftung genommen. Die Aufsichtsbehörde kann den Betrieb besonders wichtiger Einrichtungen vorübergehend aussetzen oder der Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen.

Eine Umsetzung der Anforderungen kann nicht von heute auf morgen erfolgen, sondern nimmt einige Zeit in Anspruch. So sollten betroffene Unternehmen frühzeitig planen und mit den ersten Vorbereitungsschritten (z. B. Gap-Analysen) beginnen.

Secunet Security Networks AG, Essen


Autor: Steffen Heyde

Leiter Marktsegmente, Division Industry,

Secunet Security Networks

Unsere Whitepaper-Empfehlung
Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de