Geleakte Kundendaten, Ransomware-Angriffe auf Chemie-Unternehmen oder komplette Systemausfälle in der Medikamentenproduktion: Solche Vorfälle sind nicht nur kostspielig und schädlich für den Ruf, sondern haben auch direkte Auswirkungen auf das gesellschaftliche Leben. Um Europa physisch und im Cyberraum zu schützen, wurden daher zahlreiche Gesetzesvorhaben auf den Weg gebracht und zu Teilen auch schon in Kraft gesetzt. Mit darunter die europäische NIS2-Richtlinie, von der auch Pharma- und Chemieunternehmen betroffen sind. Aber was genau steckt hinter dieser Richtlinie? Und warum sollten Unternehmen bereits jetzt aktiv werden?
Werkzeug gegen Cyberbedrohungen
Mit der NIS2-Richtlinie soll ein hohes Cybersicherheitsniveau auf EU-Ebene geschaffen sowie der Binnenmarkt gestärkt werden. Die EU Directive on Security of Network and Information Systems versteht sich als eine Weiterentwicklung der EU-NIS-Richtlinie. Dabei geht es nicht nur darum, volkswirtschaftlich bedeutsame Unternehmen und kritische Einrichtungen vor Cyberangriffen zu schützen, ihnen sollen auch Leitlinien an die Hand gegeben werden, wie sie auf Angriffe reagieren können.
Die Botschaft der EU ist klar: alle EU-Mitgliedsstaaten sollen sich an dieselben Sicherheitsstandards halten, ein gemeinsames hohes Sicherheitsniveau aufrechterhalten und bei den Unternehmen sowie Anlagen-Betreibern einfordern. Im Vergleich zur vorhergehenden EU-NIS-Richtlinie schließt NIS2 dabei deutlich mehr Unternehmen mit ein. Zudem werden Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit erweiterten Befugnissen ausgestattet, um sicherzustellen, dass die IT- und OT-Sicherheit nicht nur auf dem Papier existiert.
Nach der Veröffentlichung der NIS2-Richtlinie am 27. Dezember 2022 folgte das Inkrafttreten am 16. Januar 2023 – seitdem läuft die Uhr für alle EU-Mitgliedsstaaten. Bis Oktober 2024 haben sie Zeit, die Richtlinie in nationales Recht umzusetzen. Deutschland erarbeitet aktuell das Umsetzungsgesetz.
Von NIS2 betroffene Unternehmen
Betroffene Wirtschaftszweige sind im bisherigen Referentenentwurf des Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz oder NIS2UmsuCG) in drei Kategorien unterteilt: kritische Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen.
Unter „kritische Anlagen“ fallen beispielsweise Betreiber kritischer Infrastrukturen, unter anderem im Gesundheitswesen. Das schließt die Unternehmen, die pharmazeutische Erzeugnisse oder Medizinprodukte herstellen, mit ein. Aber auch die Produktion, Herstellung und der Handel mit chemischen Stoffen werden im Diskussionspapier zum neuen Gesetz adressiert. Unter die betroffenen Unternehmen fallen im derzeitigen Diskussionspapier:
- mittlere Unternehmen, also solche, die mindestens 50 und höchstens 249 Mitarbeiter beschäftigen und einen Jahresumsatz von höchsten 50 Millionen Euro oder eine Jahresbilanzsumme von höchstens 43 Millionen Euro aufweisen
- große Unternehmen, also solche, die die Definition der mittleren Unternehmen überschreiten
Im Gesundheitswesen sind das zudem konkret:
- EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates
- Unternehmen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des § 2 AMG ausüben
- Unternehmen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen
- Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden
All diese Unternehmen müssen sich im Bereich IT-Sicherheit entsprechend den Anforderungen des Gesetzes aufstellen.
Wie bereiten sich Unternehmen vor?
Die Umsetzung ist als Marathon, nicht als Sprint zu sehen. Unternehmen sollten zunächst prüfen, ob und wie sie von dem neuen Gesetz betroffen sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zum Erreichen eines angemessenen Risiko- und IT-Sicherheitsniveaus sind unerlässlich. Dazu gehören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, die dem aktuellen Stand der Technik entsprechen müssen.
Die gute Nachricht für Betreiber kritischer Infrastrukturen in Deutschland: Diese haben in Folge des IT-Sicherheitsgesetzes bereits ein solides Fundament aufgebaut. Und wer bereits ein ISMS und die nötige vertrauenswürdige IT- und OT-Sicherheitstechnologie implementiert hat, ist gut aufgestellt und muss nur mit geringen Anpassungen rechnen.
Für alle anderen Unternehmen bringt NIS2 neue Spielregeln und damit neue Aufgaben mit sich. Darunter die Umsetzung von Risikoanalysen und Ableitung von notwendigen Maßnahmen nach dem Stand der Technik. Zudem sind die neuen Meldeprozesse zu beachten. Berater und Beraterinnen können dabei unterstützen und maßgeschneiderte Konzepte für die angemessene Umsetzung bieten. Die Entscheidung und Umsetzung obliegt den Unternehmen selbst, die dafür – falls noch nicht passiert – neue Organisationen im Unternehmen etablieren müssen.
Jetzt reagieren, sicher in die Zukunft
Die NIS2-Richtlinie ist mehr als nur ein Regelwerk – sie ist ein Handlungsaufruf, IT- und OT-Sicherheit zu etablieren und eine widerstandsfähige Organisation und Infrastruktur zu schaffen und aufrechtzuerhalten. Neben möglichen Bußgeldern wird die Unternehmensleitung von Großunternehmen deutlich stärker in Haftung genommen. Die Aufsichtsbehörde kann den Betrieb besonders wichtiger Einrichtungen vorübergehend aussetzen oder der Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen.
Eine Umsetzung der Anforderungen kann nicht von heute auf morgen erfolgen, sondern nimmt einige Zeit in Anspruch. So sollten betroffene Unternehmen frühzeitig planen und mit den ersten Vorbereitungsschritten (z. B. Gap-Analysen) beginnen.
Secunet Security Networks AG, Essen
Autor: Steffen Heyde
Leiter Marktsegmente, Division Industry,
Secunet Security Networks
