NIS2 ist eine EU-Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“, von der ab Oktober auch die Chemieindustrie betroffen sein wird. Vermutlich haben Sie bereits gehört, dass  – abgesehen von Geldstrafen in Millionenhöhe – die EU ihre Mitgliedsstaaten auffordert, sich per nationalem Gesetz die Möglichkeit zu schaffen, bei Fehlverhalten Betriebe stillzulegen und – man höre und staune – Vorstand oder Geschäftsführern die Leitung zu untersagen. Auch natürliche Personen in verantwortlicher Position (Vorstand, Geschäftsführer) oder mit Kontrollbefugnis (Aufsichtsrat) sollen künftig persönlich haftbar sein.

Und jetzt fragen Sie sich, wie ich in diesem Zusammenhang auf die Überschrift „Hoffnung“ gekommen bin?

Cyberrisiken an der Spitze

Nun: Nach Einschätzung von Versicherungsunternehmen, haben sich Cyberrisiken in den letzten Jahren an die Spitze der Geschäftsrisiken vorgearbeitet. Das mag nicht für jedes Chemieunternehmen auch exakt so gelten; in der Tendenz aber schon. Darauf haben sich die Unternehmen auch bereits eingestellt und das nicht nur im Bereich der traditionellen IT. Auch in der Prozessleittechnik und – allgemeiner gesagt – der OT (Operational Technology), dem Kerngebiet der NAMUR. Dort steht nicht nur die Verfügbarkeit der Anlagen, sondern auch Produktqualität und insbesondere die Sicherheit für Gesundheit und Umwelt im Fokus.

Störfallverordnung, Betriebssicherheitsverordnung, Maschinenverordnung und Chemikalienverordnung begleiten uns seit Jahren und Jahrzehnten. Planungs-, Genehmigungs- und Prüfprozesse haben sich sowohl auf Betreiber- als auch auf Behördenseite etabliert. Die Vermeidung von unerwünschten Vorfällen und im Falle eines „Dennoch-Falles“ der professionelle Umgang damit, ist unsere DNA.

Worin besteht nun Hoffnung?

Industrie empfindet selten „Hoffnung“ im Zusammenhang mit neuen Regularien. Jedoch sind durch „Cyber“ eben neue Gefährdungen aufgetaucht. Cyberkriminelle arbeiten arbeitsteilig und global vernetzt. Im Vergleich zu den konventionellen Gefährdungen ist der Charakter der Cybergefährdungen internationaler und dynamischer. Deren Beherrschung erfordert entsprechend dynamische und länderübergreifende Maßnahmen. Und da kommt NIS2 zwei ins Spiel. NIS2 ist ein „Europaprojekt“ und damit per se länderübergreifend. NIS2 verpflichtet alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden sowie zuständige nationale Behörden, Behörden für das Cyberkrisenmanagement, zentrale Anlaufstellen für Cybersicherheit und Computer-Notfallteams (Computer Security Incident Response Team, CSIRT) einzurichten. Der weitaus größere Teil des Gesetzes bezieht sich auf das Ziel dieser länderübergreifenden Zusammenarbeit. Es besteht – und nun bin ich am Punkt – die Hoffnung, dass Cybervorfälle zukünftig mit Hilfe von wertvollen Informationen von Behörden professioneller gehandhabt werden könnten.

Industrie und Behörden

Allerdings kommt jetzt noch ein „Aber“: Bei der Umsetzung dieser Maßnahmen darf das Ziel nicht aus den Augen verloren werden! Durch die Berichtspflichten für die Industrie werden Informationen bei den Behörden auflaufen. Diese Informationen müssen dafür genutzt werden, die Industrie wiederum mit qualitativ hochwertiger Information zu versorgen. Das Ziel ist also nicht erreicht, wenn eine Meldung bei der Behörde eingetroffen ist, sondern erst dann, wenn die Behörde diese Meldung verarbeitet, mit Erkenntnissen anderer Behörden verknüpft und letztendlich wieder der Industrie zur Verfügung gestellt hat. Zeitnah. Erst dann werden wir einen Zustand erreichen, bei dem sich ein Unternehmen in Deutschland noch vor einer Angriffswelle schützen könnte, die bspw. in Dänemark zuerst erkannt und für deren Abwehr in Frankreich eine Lösung entwickelt wurde.

Liebe Gewerbeaufsichts-, Arbeits-, Umwelts- und Informationssicherheits-Behörden! NIS2 fordert Meldungen von uns an Sie. Wir erwarten, dass Sie aus unseren Vorfallsmeldungen Informationen erzeugen, die uns helfen, unsere Betriebe zu schützen. Denn: Es wird passieren. Wieder!

Autor: Erwin Kruschitz, CEO Anapur und Leiter des NAMUR AK 4.18 Automation Security