Was der Industrielle Mittelstand jetzt wissen muss

NIS2-Richtlinie und Cyber Resilience Act

19.11.2024 - Christoph Haß

Die zunehmende Digitalisierung bringt für den industriellen Mittelstand neue Herausforderungen, insbesondere im Bereich der Cybersicherheit. Neben der direkten Bedrohung durch Cyberangriffe müssen Unternehmen auch ständig neue gesetzliche Vorgaben einhalten, die die Sicherheit ihrer digitalen Systeme betreffen.

Zwei bedeutende EU-Regelungen, die NIS2-Richtlinie und der Cyber Resilience Act (CRA), zielen darauf ab, die Cybersicherheit europaweit zu stärken und haben weitreichende Auswirkungen auf Unternehmen, die digitale Technologien nutzen oder herstellen. Die NIS2-Richtlinie wird voraussichtlich ab März 2025 in deutsches Recht umgesetzt, ab dann sind rund 30.000 Unternehmen in Deutschland – eingeteilt in "sehr wichtige" und "wichtige" Kategorien – verpflichtet, die Anforderungen der Verordnung unmittelbar zu erfüllen.

Eine besonders einschneidende Neuerung ist die erweiterte persönliche Haftung von Geschäftsführung und Vorstand, die sicherstellen soll, dass Sicherheitsanforderungen umfassend und konsequent umgesetzt werden.

Für mittelständische Unternehmen im industriellen Umfeld ist es daher entscheidend, die Anforderungen der NIS2-Richtlinie rechtzeitig zu verstehen und umzusetzen, um mögliche Sanktionen und Cyberangriffe abzuwenden. Possehl Digital und Possehl Secure bieten hierfür gezielte, praxisorientierte Sicherheitslösungen an, die Unternehmen bei der Erfüllung der neuen Standards unterstützen.

Worum geht es bei NIS2 und dem Cyber Resilience Act?

Die EU verfolgt mit der NIS2-Richtlinie und dem Cyber Resilience Act das Ziel, die Cybersicherheit in Europa zu stärken und Unternehmen jeder Größe widerstandsfähiger gegen Cyberbedrohungen zu machen.

Diese neuen Vorschriften richten sich nicht mehr nur an Großunternehmen, sondern betreffen auch den Mittelstand. Besonders für kritische Sektoren und Unternehmen, die Produkte mit digitalen Elementen herstellen, gibt es neue, umfangreiche Sicherheitsauflagen.

  • NIS2-Richtlinie: Die NIS2-Richtlinie legt den Fokus auf die Sicherheit von Unternehmen in kritischen Branchen wie Energie, Gesundheit und Industrie sowie auf deren Zulieferer. Sie verpflichtet zu einem umfassenden Risikomanagement und stärkt die Meldepflicht für Sicherheitsvorfälle. Neben den technischen und organisatorischen Anforderungen kommt nun auch eine stärkere persönliche Verantwortung für die Cybersicherheit hinzu, die auf Geschäftsführungen und Vorstände abgezielt ist.
  • Cyber Resilience Act: Diese Verordnung zielt auf die Sicherheit von digitalen Produkten ab. Hersteller und Importeure in der EU sind verpflichtet, sicherzustellen, dass ihre Produkte von Anfang an sicher sind und über ihren gesamten Lebenszyklus hinweg regelmäßig Sicherheitsupdates erhalten. Das betrifft nicht nur klassische Softwareprodukte, sondern auch Maschinen und Geräte, sobald diese digitale Elemente beinhalten oder durch solche erweitert werden – beispielsweise durch integrierte Software, IoT-Funktionalitäten oder vernetzte Steuerungskomponenten. Diese Erweiterung des Anwendungsbereichs stellt sicher, dass auch Produkte, die traditionell nicht als „digital“ angesehen wurden, unter die Regelungen des CRA fallen und von Anfang an unter dem Aspekt der Cybersicherheit entwickelt und betreut werden müssen.

Wen betreffen die neuen Regelungen genau?

Die NIS2-Richtlinie und der Cyber Resilience Act haben weitreichende Konsequenzen für den Mittelstand:

  • Kritische Sektoren: Unternehmen, die als kritische Infrastruktur gelten oder deren Ausfall gravierende Folgen für die Gesellschaft hätte, müssen die NIS2-Richtlinie befolgen. Darunter fallen beispielsweise Unternehmen aus dem Gesundheits-, Transport- und Energiesektor.
  • Hersteller digitaler Produkte: Der Cyber Resilience Act betrifft Unternehmen, die Produkte mit digitalen Elementen herstellen, importieren oder verkaufen. Dazu gehören u.a. industrielle Steuerungssysteme, IoT-Geräte und Software.

Zusätzlich sind in Deutschland etwa 30.000 Unternehmen von der NIS2-Richtlinie betroffen, die als "sehr wichtige" oder "wichtige" Unternehmen klassifiziert werden.

Nico Giersbach, Manager of Possehl Group Information Security Services:

„Die Anforderungen der NIS2-Richtlinie stellen besonders für mittelständische Unternehmen eine große Herausforderung dar. Die Zusammenarbeit mit einem erfahrenen Partner auf Augenhöhe wie z.B. Possehl Digital und deren Beteiligung Possehl Secure kann den Unterschied ausmachen, um die Vorgaben nicht nur einzuhalten, sondern die Cybersicherheit nachhaltig zu stärken.“

Welche Anforderungen stellt die NIS2-Richtlinie?

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen diverse technische und organisatorische Maßnahmen ergreifen, um ihre Cybersicherheit zu gewährleisten. Dazu zählen:

  • Risikomanagement: Eine umfassende Risikoanalyse, die Schwachstellen identifiziert und gezielte Maßnahmen zur Risikominimierung umfasst.
  • Technische Maßnahmen: Zugriffskontrollen, Verschlüsselung von Daten, Schwachstellenscans und Sicherheitsüberwachung.
  • Vorfallmanagement: Ein effektiver Incident-Response-Plan muss implementiert werden, um auf Cybervorfälle schnell und effektiv reagieren zu können.
  • Meldepflicht: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, um eine rasche Reaktion auf mögliche Gefahren zu ermöglichen.

Was erfordert der Cyber Resilience Act?

Der CRA verlangt von Unternehmen, dass sie bereits bei der Produktentwicklung Cybersicherheit als integralen Bestandteil einbeziehen:

  • Sicherheits-by-Design: Produkte müssen von Anfang an mit einem hohen Sicherheitsstandard entwickelt werden.
  • Regelmäßige Updates: Sicherheitsaktualisierungen und Patches müssen bereitgestellt werden, um Schwachstellen zeitnah zu beheben.
  • Dokumentation und Konformität: Produkte müssen einer Konformitätsbewertung unterzogen werden, bevor sie in den Markt eingeführt werden.

Konkrete Schritte zur Umsetzung der Anforderungen

Um die NIS2- und CRA-Anforderungen zu erfüllen, sollten Unternehmen zügig konkrete Maßnahmen umsetzen:

  • IST-Analyse und GAP-Analyse: Identifikation des aktuellen Sicherheitsstatus und der Lücken gegenüber den neuen Vorschriften.
  • Planung und Ressourcen: Festlegung der Verantwortlichkeiten und Ressourcen für IT-Sicherheitsmaßnahmen.
  • Aufbau eines Informationssicherheitsmanagementsystems (ISMS): Sicherstellung eines robusten Risikomanagements und Vorfallreaktionssystems.
  • Registrierung bei den zuständigen Behörden: Sobald verfügbar, müssen Unternehmen ihre Meldesysteme und Ansprechpartner bei den zuständigen Behörden registrieren.

So unterstützt Possehl Secure den Mittelstand

Die Umsetzung der NIS2-Richtlinie und des Cyber Resilience Act stellt den industriellen Mittelstand vor komplexe Aufgaben. Hier greift Possehl Secure ein, das umfassende Lösungen zur Cybersicherheit bietet, um die neuen Anforderungen effizient und effektiv umzusetzen:

  • Risikobewertung und Schwachstellenanalyse: Possehl Secure unterstützt, Schwachstellen in Ihrer IT- und OT-Infrastruktur zu identifizieren und priorisierte Maßnahmen zur Risikominderung zu entwickeln.
  • Technische Sicherheitslösungen: Von Zugangsmanagement bis zur Einführung von Verschlüsselungstechniken und Intrusion Detection Systemen bietet Possehl Secure maßgeschneiderte Lösungen.
  • Vorfallmanagement und Compliance: Aufbau und Optimierung von Incident-Response-Programmen, die sicherstellen, dass Meldepflichten und andere Anforderungen der NIS2 eingehalten werden.
  • Produkt-Sicherheitsberatung: Speziell für Unternehmen, die digitale Produkte herstellen, unterstützt Possehl Secure bei der Umsetzung der CRA-Anforderungen – von der Sicherheitsentwicklung bis zur regelmäßigen Aktualisierung und Konformitätsbewertung.

Fazit: Handeln Sie jetzt mit erfahrenden Partnern wie z.B. Possehl Secure

NIS2 und der Cyber Resilience Act markieren einen entscheidenden Schritt für die Cybersicherheit in Europa. Der industrielle Mittelstand hat hier nicht nur Verpflichtungen, sondern auch Chancen: Die Umsetzung der neuen Vorschriften stärkt das Vertrauen der Kunden und Partner und verbessert die Marktstellung.

Possehl Secure steht Ihnen als verlässlicher Partner zur Seite, damit Sie nicht nur die Vorschriften erfüllen, sondern auch langfristig Ihre Cybersicherheitsstrategien optimieren und somit zukunftssicher aufgestellt sind.