Cybersecurity für produzierende Unternehmen: Countdown für die Umsetzung der EU-Richtline NIS2 läuft

Mit dem Grad der Digitalisierung steigt die Gefahr von Cyberangriffen. Denn die Anzahl an Einfallstoren wächst und Hacker wissen, wie man sie nutzt: Phishing-Mails werden professioneller und Ransomware-Angriffe häufen sich. Das entsprechende Problembewusstsein ist in vielen Unternehmen vorhanden – trotzdem hat die Vorbereitung auf IT-Angriffe oft nicht die notwendige Priorität. Das belegt auch der aktuelle Cisco Cybersecurity Readiness Index 2023. In fast allen Ländern Europas gelten weniger als 10 % der Unternehmen als reif genug, um die heutigen Probleme der Cybersicherheit zu bewältigen. Die besten Werte verzeichnete UK mit einem Readiness Index von 11 % und Deutschland von 17 %.[1] Im Klartext heißt das: Etwa 90 % der europäischen Organisationen sind nicht ausreichend gegen Angriffe gewappnet.

Die Europäische Kommission hat bereits 2016 auf die Bedrohungslage reagiert und die NIS1-Richtlinie (Network and Information Security) erlassen, die fortschrittliche Sicherheitsmaßnahmen gegen Cyberattacken verlangte. Diese betraf kritische Infrastrukturen wie Energie, Wasser, Finanzen und Gesundheit sowie digitale Dienstleister in der EU. Nun sollen neue Regularien die Resilienz von Organisationen gegen Cyberangriffe weiter stärken. Dabei sind auch produzierende Unternehmen im Fokus. So finden sich in der neuen EU-Maschinenverordnung (EU) Nr. 2023/1230 erstmalig Vorgaben zur Cybersicherheit. Die Verordnung hat in allen EU-Ländern Gültigkeit und ist ab 20. Januar 2027 anzuwenden.

Neue NIS2-Richtlinie betrifft auch produzierende Unternehmen

Besonders hohe Relevanz für zahlreiche produzierende Unternehmen hat die neue NIS2-Richtlinie. Sie trat Anfang 2023 in Kraft und ist bis Oktober 2024 in nationales Recht umzusetzen. NIS2 betrifft deutlich mehr Sektoren als NIS1, sodass mehr Unternehmen in den Anwendungsbereich fallen. Die Verordnung richtet sich an alle Branchen, in denen ein Ausfall ein Risiko für die öffentliche Sicherheit oder Gesundheit darstellt oder systematische Risiken birgt. Neben „wesentlichen Entitäten“ wie Organisationen der Wasserversorgung oder des Gesundheitswesens zählen hierzu nun auch „wichtige Entitäten“ wie Hersteller aus den Bereichen Chemie, Lebensmittel, Medizinprodukte, Maschinenbau, Computer, Elektronik und Kraftfahrzeuge. Sie alle werden verpflichtet, angemessene Sicherheitsmaßnahmen einzuführen und Sicherheitszwischenfälle zu melden. Unternehmen, bei denen NIS2 in Zukunft greift, müssen unter anderem folgende Aspekte im Blick haben:

Strenge Meldepflichten: Um die Reaktionszeit gegenüber Cyberangriffen zu senken, sind diese binnen 24 Stunden nach Kenntnisnahme bei der zuständigen nationalen Behörde anzuzeigen. Spätestens einen Monat später muss die betroffene Einrichtung einen Abschlussbericht vorlegen.

Cybersecurity wird Führungsthema: Bei schwerwiegenden Verstößen oder Zuwiderhandlungen gegen NIS2 drohen empfindliche Sanktionen: Die Mitgliedstaaten können Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen. Darüber hinaus können Leitungsorgane wie Führungsteams persönlich für Verstöße haftbar gemacht werden.

Verstärktes Risikomanagement: NIS2 verschärft die Anforderungen an Cybersicherheit und Risikomanagement. Gemäß Artikel 21 müssen wesentliche und wichtige Entitäten solide Systeme, Strategien und bewährte Verfahren implementieren, die ein breites Spektrum an Cybersicherheitsmaßnahmen und -disziplinen abdecken. Art. 21 Abs. 2 enthält einen Katalog an Maßnahmen, die umzusetzen sind. Hierzu zählen unter anderem:

• Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
• Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
• grundlegende Verfahren im Bereich der Cyberhygiene, z. B. Zero-Trust-Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement
• Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung

Fortschrittliche Authentifizierungslösungen für die Umsetzung von NIS2 von ELATEC

Lösungen für die Authentifizierung und Zugriffskontrolle spielen bei der Umsetzung von NIS2 gemäß dem Maßnahmenkatalog in Artikel 21, eine entscheidende Rolle. Die Implementierung einer Lösung, die Authentifizierung, Zugriff und Zutritt entsprechend der neuen Richtlinie regelt, erfordert eine hohe Expertise. Als Spezialist für Authentifizierungslösungen auf der Basis von Radio-Frequency Identification (RFID), Bluetooth® Low Energy (BLE) und Near-Field Communication (NFC) Technologien, bietet ELATEC Organisationen die Möglichkeit, sie in allen Umsetzungsphasen zu begleiten.

So unterstützt ELATEC bei der Umsetzung:

Sicherheit: ELATEC-Lesegeräte unterstützen eine fortschrittliche Verschlüsselung, die den Anforderungen NIS2-pflichtiger Unternehmen gerecht wird und können im Rahmen eines Multi-Faktor-Sicherheitskonzept eingesetzt werden. Gemeinsam mit unseren Partnern erarbeiten wir das gesamte Sicherheitskonzept, einschließlich Verschlüsselungsmethoden und einer Installationen der Lesegeräte selbst, die diese vor physischer Manipulationen schützt. Die Möglichkeit, regelmäßig Remote-Updates und -Upgrades durchzuführen, sorgt dafür, dass die Lösung immer auf dem aktuellen technischen Stand ist. Zudem sorgt unser Software-Development-Kit, mit denen sich die Leser individuell anpassen lassen, für höchste Sicherheitsstandards: Es bietet die Möglichkeit, unsere TWN4-Lesegeräte mit einem fortschrittlichen Kryptographieverfahren (ECC Elliptic-curve cryptography) zu nutzen.

Kompatibilität: Die Kompatibilität mit einer Vielzahl von Ausweisformaten gewährleistet eine nahtlose Integration in bestehende Systeme.

Skalierbarkeit und Anpassbarkeit: Ändern sich Anforderungen oder Vorgaben, lassen sich die Lösungen problemlos erweitern oder adaptieren.

Bis Oktober 2024 haben die Mitgliedsstaaten Zeit, die Vorgaben in nationales Recht zu überführen. NIS2-pflichtige Unternehmen sind daher gut beraten, rechtzeitig mit der Umsetzung der erforderlichen Maßnahmen zu beginnen.