mittelständischen Betrieben. Mit der Verwendung von Hardware und Software zur Überwachung und Steuerung von physischen Produktionsprozessen, Geräten und Infrastrukturen geraten die eingesetzten Assets mehr und mehr ins Visier von Hackern. Experten schätzen die Bedrohungslage für den europäischen Produktionssektor bereits jetzt als akut ein und fordern umfassende Sicherheitskonzepte für den Bereich der operativen Technologie (OT), die den besonderen Belangen der industriellen Fertigung Rechnung tragen und komplexe Industrieanlagen vor unbefugten Zugriffen und drohenden Produktionsausfällen durch Cyberattacken schützen.
Da das verarbeitende Gewerbe ein entscheidender Teil der europäischen Wirtschaft ist, widmet sich auch die Europäischen Union dem Thema. Zunächst hatte die EU im Jahr 2016 eine erste europaweite Rechtsvorschrift erlassen, die darauf abzielte, die Sicherheit von innereuropäischen Netz- und Informationssystemen zu verbessern: die „Richtlinie für Netz- und Informationssysteme“, kurz NIS. Die NIS konkretisiert kritische Infrastruktur und verpflichtet die derart eingeschätzten Organisationen, geeignete Maßnahmen zur Sicherung ihrer Netzwerk- und Informationssysteme zu ergreifen und alle Vorfälle zu melden, die erhebliche Auswirkungen auf die Aufrechterhaltung der betroffenen Prozesse haben.
Nun hat die EU die Richtlinie novelliert und vergrößert mit NIS2 den Anwendungsbereich und die Anzahl der betroffenen Sektoren. NIS2 definiert elf Sektoren als „essentiell“ (Energie, Transport, Bankwesen, Finanzmärkte, Gesundheitswesen, Trinkwasserbereitstellung, Abwasserentsorgung, Weltraumforschung, öffentliche Verwaltung, digitale Infrastruktur und Informations- und Kommunikationstechnik im B2B) sowie weitere sieben Sektoren als „wichtig“ (Lebensmittelproduktion, Post- und Kurierwesen, Chemikalienproduktion, Abfallentsorgung, Industrieproduktion, allgemeine wissenschaftliche Forschung sowie digitale Dienste). Zum ersten Mal überhaupt beschäftigt sich eine EU-Verordnung nun auch mit der Absicherung der Lieferketten von IKT-Diensten.
Wenn Unternehmen die Anforderungen der NIS2 nicht erfüllen – in Kraft getreten ist die EU-Richtlinie bereits am 16. Januar 2023, Mitgliedsstaaten haben allerdings noch bis zum 17. Oktober 2024 Zeit für die nationale Umsetzung –, können verschiedene Maßnahmen greifen: eine verbindliche Anordnung zur Implementierung von Cyber-Sicherheitsmaßnahmen, die Durchführung eines Sicherheitsaudits und bei attestierter mangelhafter Cyber-Sicherheit Strafen in Höhe von bis zu 10 Millionen Euro oder zwei Prozent des gesamten, weltweit erzielten Umsatzes im vorangegangenen Geschäftsjahr.
Die große Relevanz, die Fragen zur Umsetzung der NIS2 für Industrieunternehmen haben, wird auch in der aktuellen öffentlichen Debatte zu Cyber-Sicherheitsanforderungen deutlich. So berichtet etwa der Tagesspiegel über ein aktuelles Positionspapier des Bundesverband der Deutschen Industrie (BDI), in dem der Verband unter anderem großzügigere Umsetzungsfristen und eine EU-weite Gleichbehandlung bei den Ansprüchen zur Umsetzung fordert. Nicht zuletzt fallen in der NIS2 unter die kritischen Bereiche erstmals viele Unternehmen (ab 50 Mitarbeitern), die von den neuen Anforderungen offensichtlich überrascht worden sind. Nach Schätzungen eines IT-Informationsportals betrifft die Ausweitung in der gesamten EU rund 160.000 vorher nicht erfasste Unternehmen und öffentliche Einrichtungen, davon rund 20.000 in Deutschland.
Eines der Ziele der NIS2 ist die Reduktion der EU-weiten Milliardenverluste durch Cyber-Kriminalität. Branchenkenner schätzen, dass Organisationen, die zuvor schon von EU-Richtlinien zur Cyber-
Sicherheit betroffen waren, ihr Budget für Cyber-Sicherheit noch einmal um 12 Prozent erhöhen müssen. Organisationen, die sich aufgrund der NIS2 das erste Mal mit höheren Cyber-Sicherheitsanforderungen konfrontiert sehen, werden ihre Sicherheitsausgaben wohl um ein Viertel hochfahren müssen. Die Auswirkungen treffen dabei auch alle Hersteller von Internet-of-Things-Geräten, einschließlich derjenigen, die medizinische Geräte (IoMT) und vernetzte Betriebstechnologie (OT) anbieten. Gemäß der NIS2-Richtlinie müssen wesentliche und wichtige Einrichtungen bestimmte zertifizierte IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse verwenden oder sich um ein Zertifikat im Rahmen eines europäischen Zertifizierungssystems für Cyber-Sicherheit bemühen.
Aktuell scheinen viele Unternehmen noch immer nicht gut für kommende Cyber-Angriffe gerüstet zu sein. Laut eine aktuellen, unter deutschen IT-Fachleuten durchgeführten Befragung des im Bereich Sicherheit für IoT, IoMT, OT und ICS etablierten Anbieters Armis geben weniger als ein Drittel der IT-Fachleute in Deutschland an, ihr Unternehmen könne die neuen EU-Vorschriften vollständig einhalten, und nur rund die Hälfte der Befragten schätzt, dass ihr Unternehmen zusätzliche Maßnahmen ergreifen werde, um proaktiv die Cyber-Sicherheitsstandards zu erhöhen.
Dabei stellt die Cyber-Sicherheit eine große Herausforderung für Unternehmen dar, insbesondere da Bestands-IoT-Produkte besonders anfällig für Cyberangriffe sind, wenn sie noch mit unzureichenden Sicherheitskontrollen wie fest kodierten Passwörtern, fehlender Verschlüsselung der übertragenen Daten oder schwer zu behebenden Software-/Firmware-Schwachstellen gebaut wurden. Die kontinuierliche Überwachung von Assets wird so zum entscheidenden Faktor, wenn es um die Konformität mit den NIS2-Richtlinien geht. „Durch den Einsatz von intelligentem Asset Management“, rät André Heller, Director Sales Engineering für Nord- und Mitteleuropa beim Cyber-Sicherheitsanbieter Armis, „erhalten Unternehmen einen vollständigen Überblick über die neuesten Schwachstellen und Kompromittierungen. Dadurch sind sie in der Lage, eine proaktive Rolle bei der Stärkung ihrer Cybersicherheit zu übernehmen und den Bedrohungsakteuren immer einen Schritt voraus zu sein.“
