NIS2-Konformität für Hersteller und verarbeitendes Gewerbe

Unter die NIS2-Richtlinie fallen im Gegensatz zur vorausgehenden NIS1 nun auch Hersteller und Produzenten. Betroffene Unternehmen stehen vor der Herausforderung, die Anforderungen der NIS2 zur Frist umzusetzen, die noch nicht verbindlich feststeht. BREKOM ist auf die IT-Sicherheitsbedürfnisse mittelständischer Produktionsunternehmen spezialisiert und begleitet Sie durch den Compliance-Prozess.

Warum ist NIS2 für das produzierende Gewerbe so relevant?

NIS2 erweitert die Anforderung auf das produzierende Gewerbe. Die Verordnung betrifft sämtliche Branchen, deren Ausfall ein Risiko für die öffentliche Sicherheit oder Gesundheit darstellt oder systematische Risiken mit sich bringen würde. Neben den sogenannten „wesentlichen Sektoren“, zu denen unter anderem Organisationen der Wasserversorgung oder des Gesundheitswesens zählen, umfasst die Verordnung nun auch „wichtige Sektoren“. Und genau dazu zählen Hersteller aus den Bereichen Chemie, Lebensmittel, Medizinprodukte, Maschinenbau, Computer, Elektronik und Kraftfahrzeuge. Diese Unternehmen sind nun dazu verpflichtet, angemessene Sicherheitsmaßnahmen umzusetzen und Sicherheitsvorfälle zeitnah zu melden.

Ein Beispiel:

Es wird ein Cyberangriff auf einen Hersteller von Herzschrittmachern festgestellt. Dieser setzt die Produktion der wichtigen Medizingeräte aus, sodass die Krankenhäuser nicht mehr mit diesen medizinischen Geräten versorgt werden können. Kranke Patienten müssen länger auf eine lebenswichtige Operation warten.

Das ist nur ein Beispiel dafür, warum NIS2 die Sektoren erweitert hat, die nicht auf den ersten Blick zur kritischen Infrastruktur gehören. Damit wird auch der zunehmenden Vernetzung der Unternehmen untereinander und damit auch der oft vorhandenen gegenseitigen Abhängigkeit Rechnung getragen. Ein Ausfall bei einem Lieferanten eines Bauteils für den Hersteller hat am Ende Auswirkungen auf die gesamte Produktionskette. Aus diesem Grund müssen nun auch Hersteller Lieferkettensicherheit gewährleisten.

Welche Hersteller sind von NIS2 betroffen?

Die neuen Cybersecurity-Pflichten betreffen zahlreiche Unternehmen der Industrie, die in irgendeiner Weise an der Herstellung von Waren und Produkten beteiligt sind. Die Festlegung der betroffenen Sektoren basiert auf der NACE-Liste, die der systematischen Einteilung und Beschreibung der verschiedenen wirtschaftlichen Tätigkeiten dient. Verpflichtend ist die EU-Richtlinie für Betriebe mit über 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro.

Unter anderem müssen folgende Unternehmen NIS2-Konformität herstellen:

  • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
    Dazu gehören elektronische Bauelemente, Datenverarbeitungsgeräte, Telefone, Kommunikation, Antennentechnik oder Funkgeräte.
  • Herstellung von elektrischen Ausrüstungen
    Dazu zählen Elektromotoren, Generatoren, Kabel, Lampen und Leuchten, Haushaltsgeräte oder sonstige elektrische Ausrüstung und Geräte.
  • Maschinenbau
    Dies schließt die Herstellung von landwirtschaftlichen Maschinen, Werkzeugmaschinen und Maschinen für diverse andere Wirtschaftsbereiche.
  • Herstellung von Kraftwagen und Kraftwagenteilen
    Dazu zählen Kraftwagen und Kraftwagenmotoren, Karosserien, Anhänger oder Teile und Zubehör für Kfz.
  • Sonstiger Fahrzeugbau
    Das schließt unter anderem den Schiffs- und Bootsbau und auch den Luft- und Raumfahrzeugbau mit ein.

Unternehmen im produzierenden Gewerbe sollten in der NIS2-Verordnung genau nachsehen, ob sie zu den gelisteten Firmen gehören. BREKOM unterstützt Sie gerne dabei, die Frage der Betroffenheit zu klären.

Das bedeutet NIS2 für Hersteller in der Praxis

Viele Hersteller haben bislang auf Inselzertifizierungen gesetzt und ihre Systeme einzeln und separat voneinander abgesichert. Mit NIS2 wird jetzt ein ganzheitlicher Blick auf das Thema Cybersicherheit gefordert. Dabei können bereits bestehende Maßnahmen und Zertifizierungen sinnvoll in eine neue Cybersicherheitsstrategie eingebunden werden. Hersteller und das produzierende Gewerbe fallen nicht unter die KRITIS-Regelungen. Deswegen sind für sie die NIS2-Anforderungen etwas reduziert.

Diese NIS2-Anforderungen gelten für die betroffenen Unternehmen

Die NIS2-Richtlinie verlangt von Unternehmen die Einrichtung eines Risikomanagements und eines Business Continuity Managements. Dabei braucht es abteilungsübergreifende Richtlinien die auf Unternehmensebene, beispielsweise im Bereich der Betriebstechnik (OT), angepasst und erweitert werden. Die Konzepte sollen durch geeignete Maßnahmen Angriffe verhindern und im Ernstfall dafür sorgen, dass Angriffe schnell erkannt und gestoppt und so die Auswirkungen auf ein Minimum reduziert werden.

NIS2 schreibt für Hersteller auch eine Berichtspflicht vor. Im Falle eines Angriffs sind Unternehmen dazu verpflichtet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) durch Berichtserstattungen zu informieren. Um diesen Anforderungen gerecht zu werden, muss die Unternehmensführung den Aufbau dieser Maßnahmen unterstützen und sich der persönlichen Haftung bei Nichterfüllung bewusst sein.

NIS2 als Chance für das produzierende Gewerbe

Für die Hersteller ist die Umsetzung von NIS2 nicht nur mit Kosten und einem zeitlichen Aufwand verbunden, sondern auch mit entsprechenden Chancen. Ein wesentlicher Vorteil der Umsetzung der NIS2-Richtlinie für Hersteller und das produzierende Gewerbe liegt im verbesserten Schutz vor Produktionsausfällen. Die Cyber-Sicherheitsmaßnahmen sichern die Unternehmen und ihre Systeme gegen Cyber-Angriffe und technische Störungen ab. Dadurch wird das Risiko von Betriebsunterbrechungen durch Malware, Ransomware oder andere Cyber-Bedrohungen signifikant reduziert.

Hersteller sind auf einen fortlaufenden und sicheren Produktionsprozess angewiesen, um die Lieferfristen und Qualitätsstandards einzuhalten. Das schützt sie vor Ausfallzeiten, finanziellen Verlusten und dadurch auch Image- und Reputationsschäden.

Wie können sich Hersteller am beste auf NIS2 vorbereiten?

In den meisten Unternehmen fehlt es intern an Ressourcen und auch an Kompetenzen, alle Anforderungen der NIS2-Verordnung umzusetzen. Umso wichtiger ist es, einen erfahrenen Partner an der Seite zu haben, der sich mit den Abläufen bei Herstellern auskennt und die Richtlinie in bestehende Prozesse integrieren kann.

BREKOM begleitet Sie bereits ab der Betroffenheitsanalyse und stellt die NIS2-Compliance über den gesamten Herstellungsprozess her. Was uns auszeichnet, ist unsere Spezialisierung auf den Mittelstand. Wir finden Lösungen, die Ihnen Zeit für Ihre Kernarbeit lassen und budgetschonend umgesetzt werden können.

Cybersecurity

Beitrag teilen:

Das könnte Sie auch interessieren:

Cybersecurity

NIS2 – Checkliste

NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich

Weiterlesen >

Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.


Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.

Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.