Schon am 24. Oktober 2024 greift die NIS-2-Richtlinie für die Cybersicherheit von Maschinen sowie deren Betreiber. Damit ihnen keine Strafen drohen, müssen die Maschinenbauer schleunigst reagieren.

Der Nachweis eines Risikomanagements und kostenfreie Sicherheits-Updates über den Lebenszyklus von vernetzbaren Geräten: Mit NIS-2 und dem Cyber Resilience Act kommen auf den Maschinenbau sowie produzierende Unternehmen umfangreiche EU-Regelungen zu. (Bild: Patrick Helmholz - stock.adobe.com)

Im Dezember 2023 meldete Porsche, den Verkauf des Erfolgsmodells Macan mit Benzinmotor in Europa im Frühjahr 2024 einzustellen, weil er die ab dem 1. Juli 2024 geltenden europäischen Vorschriften für Cybersicherheit nicht erfüllt. Zum Entwicklungszeitpunkt hatte es diese Vorschriften noch gar nicht gegeben. Ist das ein Vorgeschmack auf das, was vor allem mit den neuen EU-Richtlinien NIS-2 und dem Cyber Resilience Act (CRA) auf den Maschinenbau zukommt?

Am 24. Oktober 2024 tritt die Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union, kurz NIS-2-Richtlinie, in allen EU-Staaten in Kraft. Die Richtlinie adressiert ein dringendes Problem. „Im vergangenen Jahr sind der deutschen Wirtschaft 206 Milliarden Euro Schaden durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage entstanden“, alarmiert Ralf Wintergerst, Präsident des Digitalverbands Bitkom.

Dr. Ralf Wintergerst, Präsident des Digitalverbands Bitkom
Zitat

Im vergangenen Jahr sind der deutschen Wirtschaft 206 Milliarden Euro Schaden durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage entstanden.

Dr. Ralf Wintergerst, Präsident des Digitalverbands Bitkom
(Bild: Digitalverband Bitkom)

80 Prozent der Unternehmen kennen NIS-Richtlinie nicht

„Die NIS-2 Richtlinie wird in Deutschland für rund 30.000 bis 40.000 Unternehmen gelten“, beschreibt Maximilian Ortmann, Research Associate am Fraunhofer-Institut für Produktionstechnologie IPT in Aachen, die Dimension. Umfrageergebnisse zeigen, dass bislang 80 Prozent davon noch gar nichts wissen. Mehr noch, die Unternehmen müssen selbst einschätzen, ob sie unter die NIS-2 Richtlinie fallen und entsprechende Maßnahmen einleiten. Dazu gehört eine Registrierungspflicht bei einer Meldestelle – die noch vom Bundesamt für Sicherheit in der Informationstechnik eingerichtet wird. Auch sicherheitsrelevante Vorfälle müssen dort innerhalb von 24 Stunden gemeldet werden.

Darüber hinaus muss ein Risikomanagement für Cybersicherheit aufgebaut werden: Angefangen vom Nachweis einer Risikoanalyse über Sicherheit der Lieferkette bis hin zu sicherer Notfallkommunikation.

NIS-2 und Cyber Resilience Act im Maschinenbau

Im Prinzip soll NIS-2 die Unternehmen befähigen, Angriffe zu erkennen, abzuwehren und den Betrieb aufrechtzuerhalten. Es geht um konkrete Schutzmaßnahmen. Hier kommt die Wissenschaft ins Spiel. Das Fraunhofer IPT baut ab April ein Prüflabor für Prozesse und Produkte rund um den Schutz vor Cyberangriffen auf. „Wir bilden auf dem 5G-Industry Campus Europe realitätsnah alle Prozesse von Industrieunternehmen ab, von der Cloud bis zur Feldebene“, kündigt Ortmann an.

Das Prüflabor soll speziell KMU helfen, NIS-2 und CRA umzusetzen. „Bei der digitalen Transformation hin zu einer vernetzten adaptiven Fertigung muss IT-Sicherheit immer mitgedacht werden“, bekräftigt der Research Associate. Dabei fallen Stichworte wie Segmentierung der Netzwerke und Zero Trust, ein Ansatz, der den Angreifer bereits im Netzwerk vermutet.

Maximilian Ortmann, Research Associate am Fraunhofer-Institut für Produktionstechnologie IPT in Aachen
Zitat

Die NIS-2 Richtlinie wird in Deutschland für rund 30.000 bis 40.000 Unternehmen gelten.

Maximilian Ortmann, Fraunhofer IPT Aachen
(Bild: Fraunhofer IPT Aachen)

Persönliche Haftung bis zwei Prozent des globalen Umsatzes

Noch ist die Umsetzung in deutsches Recht nicht abgeschlossen. Ein für Manager wichtiger Punkt: In den Referentenentwürfen des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung von NIS-2 mit ihrem Privatvermögen in Haftung genommen. Die vorgeschlagene Obergrenze für diese Haftung entspricht bis zu zwei Prozent des globalen Jahresumsatzes des Unternehmens.

Cyber Resilience Act gilt für alle vernetzbaren Geräte

In Ergänzung zu NIS-2 gibt der Cyber Resilience Act (CRA) die Anforderungen an die IT-Sicherheit aller Produkte mit digitalen Komponenten. Die Richtlinie steht unmittelbar vor der endgültigen Verabschiedung durch das Europaparlament. Sie regelt die Cybersicherheit vernetzbarer Geräte für Konsumenten ebenso wie für den industriellen Einsatz.

„Der ZVEI begrüßt grundsätzlich die Einführung einer europaweit einheitlichen Regelung, denn Cybersicherheit spielt auch für die Industrie mittlerweile eine existenzielle Rolle“, betont Jan-Hendrik Kuntze, beim ZVEI Manager Political Affairs, Digitalisierung in der Abteilung Digital- und Innovationspolitik. Der ZVEI bündelt die Interessen seiner Mitglieder und bringt die Positionen der Branche in solche Gesetzesvorhaben ein. Aber der Verband sieht auch bislang ungelöste Herausforderungen, vor allem bei der konkreten Umsetzung.

Aktuelle Meldungen aus der Industrie

Energiekrise, Lieferengpässe, Fachkräftemangel: Die Industrie steht vor vielen Herausforderungen. Alle Meldungen aus Maschinenbau und Co finden Sie in unserem News-Blog. Hier klicken!

Kostenfreie Updates über den Produktlebenszyklus

Der CRA sieht vor, dass für alle vernetzbaren Produkten in den Phasen Entwicklung und Produktion sowie Einführung und Nutzung angemessene Cyber-Security-Maßnahmen umgesetzt und nachgewiesen werden müssen – 'Secure by Design'. Dazu nimmt die EU die Hersteller, Importeure und Distributoren in die Pflicht. Erkannte Sicherheitslücken müssen über den typischen Produktlebenszyklus mit kostenfreien Updates geschlossen werden. An dieser Stelle gab es viele Diskussionen, denn ursprünglich sollte die Update-Pflicht auf maximal fünf Jahre begrenzt sein. „Produktionsmaschinen werden typischerweise wesentlich länger genutzt, daran muss sich Update-Pflicht orientieren“, so der ZVEI-Manager.

Jan-Hendrik Kuntze, Digital- und Innovationspolitik im ZVEI
Zitat

Der ZVEI begrüßt grundsätzlich die Einführung einer europaweit einheitlichen Regelung, denn Cybersicherheit spielt auch für die Industrie mittlerweile eine existenzielle Rolle.

Jan-Hendrik Kuntze, Digital- und Innovationspolitik im ZVEI
(Bild: ZVEI)

Herausforderung Konformität: harmonisierte Standards

Die größte Herausforderung bei der Umsetzung des CRA sieht Kuntze bei der Definition und Verabschiedung harmonisierter Standards und Normen innerhalb der diskutierten Übergangsfrist von 36 Monaten. In der EU gilt bei Richtlinien der Ansatz: Vertrauen vor Kontrolle. Er geht davon aus, dass Unternehmen ihre Produkte entsprechend den harmonisierten Standards und Normen entwickeln und dies mit einer Konformitätsbewertung nachweisen.

„Wenn diese harmonisierten Standards und Normen bis zum Ende der Übergangsfrist nicht verabschiedet sind, greift dieser Ansatz nicht und alle Produkte müssen von Drittstellen zertifiziert werden“, befürchtet Kuntze und fragt: „Wie setzt man das dann um, woher kommen die entsprechenden Fachkräfte für Behörden und Zertifizierer?“

Weiterbetrieb älterer Maschinen in der Produktion

Eine andere offene Frage ist der Weiterbetrieb von älteren Maschinen in der Produktion. Zumindest die Lieferung von identischen Ersatzteilen in langlebige Güter scheint gesichert. „Damit konnten wir eine Kernforderung des ZVEI durchsetzen“, sagt Kuntze. Das ist ein weit verbreitetes Problem installierter Maschinen, denn Updates waren für Maschinensteuerungen bis vor kurzem gar nicht vorgesehen. „Aber auch dafür gibt es Lösungen, die wir im Prüflabor validieren werden, von der Nachrüstung der Maschine mit einem Secure Token bis hin zur verschlüsselten Kommunikation mit Kabel“, beschreibt Ortmann mögliche Sicherheitsvorrichtungen.

Wissen, was die Industrie bewegt!

Newsletter-Produktion

Alles zu Industrie 4.0, Smart Manufacturing und die ganze Welt der Technik.

Newsletter gratis bestellen!

Ein ganzer Schwung von Cyberschutz-Gesetzen

Cyberangriffe gehören zu den größten Bedrohungen für Unternehmen. Das aktuelle EU-Parlament hat sich eine umfassende Gesetzgebung für ein umfassendes Regelwerk zum Schutz vor Cyberangriffen auf die Fahne geschrieben – und hat geliefert. Der Wermutstropfen: Das Paket ist größer als erwartet: Neben der NIS-2 Richtlinie und dem Cyber Resilience Act müssen auch noch der Digital Data Act, der AI Act oder die Funkanlagenrichtlinie zeitgleich in nationales Recht umgesetzt werden. Je früher sich Unternehmen mit dem jeweiligen Regelungsbereich beschäftigen, desto mehr Zeit haben sie, sich systematisch auf die neuen Anforderungen einzustellen.

überarbeitet von: Dietmar Poll

maschinenbau-Gipfel Salon
(Bild: mi-connect)

Kommen Sie zum Maschinenbau-Gipfel Salon!

Der Maschinenbau-Gipfel ist richtungsweisend und impulsgebend für die gesamte Branche. Damit Sie nicht ein ganzes Jahr auf spannende Diskussionen verzichten müssen, laden wir Sie zu unserem Networking-Format "Maschinenbau-Gipfel Salon" mit anschließendem Catering ein – live vor Ort oder digital.

 

Der nächste Maschinenbau-Gipfel Salon findet am 23. April auf der Hannover Messe in Präsenz oder digital in unserer Community-App statt. Das Thema: "Generation Z und der Maschinenbau - zwischen Mythos und Realität"

 

Weitere Informationen gibt es hier!

Zur kostenlosen Anmeldung gelangen Sie hier!

Sie möchten gerne weiterlesen?