Cyberresilienz – vom Faktor Mensch bis zu Audits
Die europäische Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS 2) dient der Angleichung des IT-Sicherheitsniveaus in allen EU-Staaten.
Autor: Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO) & CEO Business Unit Cybersecurity Services, TÜV Süd, München
Gegenüber NIS 1 sieht sie u. a. einen erweiterten Geltungsbereich, höhere Strafen und schnellere Meldepflichten vor.
Hacker verschaffen sich Zugang zu sensiblen Daten, stören Betriebsabläufe und erpressen Unternehmen. So auch jüngst wieder in der Chemiebranche: Im Januar 2025 landeten Covestro-Daten im Darknet. Die Hacker nutzten dafür offensichtlich eine Sicherheitslücke in einer Software. Solch ein Hackerangriff kann eine Gefahr für das eigene Geschäft und – im extremen Fall – für Bevölkerung und Umwelt bedeuten. Um diesen Auswirkungen vorzubeugen, hat die Europäische Union ihre Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS) nachgeschärft. Ziel: eine grundlegende Resilienz der kritischen Infrastrukturen, indem Cybersicherheitsstandards harmonisiert und in allen Mitgliedstaaten durchgesetzt werden.
Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste müssen sich an NIS 2 halten, um Cybersicherheitsrisiken zu identifizieren und zu minimieren, Betriebsunterbrechungen zu reduzieren und hohe Geldstrafen oder Reputationsschäden zu vermeiden. Am 17. Oktober 2024 endete die Umsetzungsfrist. Viele Länder haben diese nicht eingehalten und riskieren aktuell Bußgelder der EU.
Was bedeutet NIS 2 für die Chemiebranche? Auch wenn sich in vielen Mitgliedstaaten die Umsetzung verzögert – können schon jetzt Maßnahmen ergriffen werden, um die Cyberresilienz zu verbessern und die kommenden gesetzlichen Vorgaben zu erfüllen?
Frage aller Fragen: Ist mein Unternehmen betroffen?
Da sich das geplante NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) auch in Deutschland verzögert, kann die Frage, wer konkret betroffen ist, derzeit nur mit Blick auf die endgültige Fassung der NIS-2-Richtlinie beantwortet werden. Sie gibt zwar den einzelnen EU-Mitgliedsstaaten den Rahmen vor, aber es zeigt sich, dass die einzelnen Länder bei der Umsetzung Details der Richtlinie unterschiedlich interpretieren. Wie dies letztlich in Deutschland aussehen wird, ist derzeit nicht absehbar.
Dennoch zeigt ein Blick in die Anhänge 1 und 2 der Richtlinie, dass sich Unternehmen der chemischen Industrie mit NIS 2 beschäftigen müssen. Anhang 1 der Richtlinie definiert Sektoren mit hoher Kritikalität. Dort heißt es u. a.:
- Einrichtungen, die Forschung und Entwicklung im Zusammenhang mit Arzneimitteln betreiben [...],
- Einrichtungen, die pharmazeutische Produkte herstellen [...],
- Einrichtungen, die Medizinprodukte herstellen, die [...] als kritisch [...] eingestuft werden.
Unternehmen werden als „wesentliche“ Einrichtungen bezeichnet, sobald sie mindestens 250 Beschäftigte oder einen Jahresumsatz von mehr als 50 Mio. EUR sowie eine Jahresbilanzsumme von mehr als 43 Mio. EUR haben. NIS 2 verlangt von ihnen, dass sie sich bei den lokalen Cybersicherheitsbehörden registrieren lassen, ein umfassendes Risikomanagement einführen, auf Vorfälle effektiv reagieren und ihre Lieferketten sichern. Auch OT-Systeme, die z.B. für die Steuerung von Kompressoren oder die Bekämpfung von Feuer und Gasaustritten von zentraler Bedeutung sind, müssen durch spezielle Maßnahmen geschützt werden. Kritische Einrichtungen müssen zudem über Back-up-Systeme und redundante Infrastrukturen verfügen.
Darüber hinaus werden in Anhang 2 weitere kritische Sektoren als sog. „kritische Einrichtungen“ aufgeführt. Dazu gehören „Betriebe [...], die Stoffe herstellen und mit Stoffen oder Gemischen handeln, sowie Betriebe, die Erzeugnisse [...] aus Stoffen oder Gemischen herstellen“. Fallen Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils mindestens 10 Mio. EUR in diese Kategorie, müssen auch sie eine Registrierung bei den lokalen Cybersicherheitsbehörden vornehmen.
„Regelmäßige interne Audits und Penetrationstests verbessern die Reaktionsfähigkeit bei Zwischenfällen.“
Weiterlesen mit kostenfreier Registrierung
Registrieren Sie sich jetzt kostenfrei und Sie erhalten vollen Zugriff auf alle exklusiven Beiträge. Mit unserem Newsletter senden wir Ihnen Top-Meldungen aus der Chemie-, Pharmaindustrie. Außerdem erhalten Sie regelmässig Zugriff auf die aktuellen E-Paper und PDFs von CHEManager.
