Ihr Experte für Fragen
Dr. Oliver Hanka
Partner für Industrial- & Product Cyber Security bei PwC Deutschland
Tel.: +49 160 510-5836
E-Mail
Die zunehmende Cyberkriminalität ist auf keine Unternehmensgröße oder Branche beschränkt. Auch produzierende Unternehmen sind zunehmend durch zahlreiche mögliche Angriffe bedroht und benötigen ein individuell angepasstes Sicherheitskonzept.
Große Unternehmen (min. 250 Mitarbeitende oder Jahresumsatz min. 50 Millionen Euro) unterliegen bereits heute Anforderungen, um den Schutz vor Cyberangriffen zu gewährleisten und auszubauen. Das noch häufig genutzte Schema von isolierten „Inselzertifizierungen“ muss mit NIS-2 jedoch verlassen werden. Statt einzelner gesicherter Systeme und Prozesse wird nun eine ganzheitliche Perspektive erforderlich, wobei bestehende Zertifizierungen und Maßnahmen sinnvoll eingebunden werden können.
Um die Widerstandsfähigkeit von Unternehmen in der EU insgesamt zu stärken und über die Mitgliedsstaaten hinweg zu vereinheitlichen, wird der Geltungsbereich gegenüber der bisher gültigen NIS-Richtlinie deutlich ausgeweitet und umfasst zukünftig auch produzierende Unternehmen mittlerer Größe (min. 50 Beschäftigte oder mehr als 10 Millionen Jahresumsatz bzw. Jahresbilanzsumme). Im Gegensatz zu kritischen Einrichtungen und großen Unternehmen sind die Anforderungen für diese jedoch reduziert.
NIS-2 fordert Unternehmen auf, ein Risikomanagement und ein Business Continuity Management aufzubauen. Dabei sind konzernweite Richtlinien und Vorgaben von Bedeutung, die jedoch pro Abteilung (bspw. OT) angepasst und ausgebaut werden müssen. Mit Hilfe dieser Konzepte ist es möglich, Angriffen vorzubeugen und die richtigen Maßnahmen einzuleiten, falls dennoch ein Angriff erfolgreich ist. Einige dieser Maßnahmen beinhalten die durch NIS-2 geforderte Berichtspflicht. Kommt es zu einem Angriff sind Unternehmen verpflichtet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) anhand von Berichtserstattungen in den Prozess einzuschließen. Um all diese Anforderungen zu erfüllen, muss die Geschäftsleitung den Aufbau dieser Anforderungen innerhalb des Unternehmens unterstützen und sich der persönlichen Haftung bei Verfehlungen bewusst sein.
Unabhängig von der Unternehmensgröße, helfen wir Ihnen, die geforderten Anforderungen zielgerichtet umzusetzen.
„Mit NIS-2 wird ein Maß an Cybersicherheit in der Breite der deutschen Produktionsunternehmen eingefordert, das bisher nur Betreiber kritischer Infrastrukturen zu leisten hatten.“
Die geforderten Managementprozesse Risikomanagement und Business Continuity Management erfordern eine ganzheitliche Perspektive, da sie zentral aufgebaut und für involvierte Abteilungen sinnvoll angepasst und ergänzt werden müssen. Damit werden innerhalb des Unternehmens Vorgänge transparent und können so optimiert werden.
Nach Implementierung reduzieren Risiko- und Business Continuity Management effektiv mögliche Schäden an der Unternehmensinfrastruktur und verhindern bzw. begrenzen etwaige Produktionsausfälle in Ausmaß und Dauer. Dazu zählt auch der Schutz gegen Ransomware-Angriffe. Aufgrund der umfassenden Gültigkeit von NIS-2 ist gleichzeitig auch eine verbesserte Absicherung der Lieferketten in der EU insgesamt zu erwarten.
Durch die Verpflichtung zur mehrstufigen Meldung und der allgemeinen Registrierung beim BSI wird dies in die Lage versetzt, schnell Hilfestellung bei der Bewältigung des Zwischenfalls zu gewähren, koordinierte Vorgänge über Unternehmen oder Branchen hinweg zu erkennen und entsprechend zu reagieren.
Eine Umsetzung der Anforderungen aus NIS-2 muss durch die Geschäftsführung gebilligt werden. Bei Nichterfüllung der Anforderungen wird die Geschäftsführung persönlich haftbar gemacht. Aus diesem Grund ist die regelmäßige Teilnahme der Geschäftsführung an Schulungen wichtig, wobei Inhalte, wie z. B. das Risikomanagement und dessen Auswirkungen, behandelt werden.
Hersteller sind grundsätzlich wichtige Einrichtungen und unterliegen den beschriebenen Anforderungen. Sie können aber zu besonders wichtigen Einrichtungen oder Betreibern kritischer Anlagen erklärt werden. In einem solchen Fall gelten weitere Anforderungen.
Sowohl für mittlere als auch große Unternehmen unterschiedlicher Branchen hat sich die Begleitung der notwendigen Veränderungsprozesse und die Einbeziehung der beteiligten Mitarbeiter bewährt. Dies ermöglicht nachhaltige Verbesserungen der Cybersicherheit und entsprechender Befähigung im Unternehmen.
Dabei bauen wir auf unsere Industrial Cyber Security Erfahrung in CSMS-Frameworks, über Penetration-Testing in IT und OT, bis hin zur Absicherung von Legacy Systemen in Produktionsumgebungen.
Risikomanagement erfordert die Betrachtung unternehmenseigener Systeme und Prozesse, wie auch externer Abhängigkeiten. Risikobeurteilungen zu einzelnen Bausteinen dieser Landschaft sind hilfreich, müssen aber in einem untereinander vergleichbaren, d.h. homogenisierten Schema zusammengeführt werden. So werden risikobasierte unternehmerische Entscheidungen auf Management- und Geschäftsleitungsebene möglich.
Business Continuity Management bedeutet das Erarbeiten von Wiederherstellungsplänen, die nach einem Zwischenfall befolgt werden, um eine schnelle Wiederaufnahme von Unternehmensprozessen zu ermöglichen, unabhängig von dessen Ursache (z. B. technischer Defekt, Cyberangriff, oder Umweltkatstrophe). Dazu ist detailliertes Verständnis für Prozesse, Systeme und Abhängigkeiten im Unternehmen erforderlich, um ein zielgerichtetes Vorgehen im Wiederherstellungsplan zu definieren. Die notwendigen Informationen können mittels eines Asset Managements bereitgestellt werden.
Meldepflichten erfordern die Fähigkeit im Unternehmen, nach der Erkennung eines cybersicherheitsrelevanten Vorfalls innerhalb von 24h eine formgerechte Erstmeldung an das BSI auszusprechen. In dieser Erstmeldung werden erste Erkenntnisse und Vermutungen dokumentiert. Diese müssen maximal 72h nach Erkennung des Vorfalls durch eine Zwischenmeldung bestätigt oder verworfen werden. Die ausführliche Beschreibung des Vorfalls mitsamt der Ursache und der Vorgehensweise zur Bewältigung wird einen Monat nach dem Vorfall an das BSI übermittelt.
Je nach Rechtsform des Unternehmens können hier weitere Informationspflichten relevant werden, da Stellen außerhalb des Unternehmens Informationen erhalten, die nicht öffentlich zugänglich sind.
Schulungspflichten betreffen unmittelbar nur die Geschäftsleitung. So wird sichergestellt, dass mindestens die verantwortlichen Stellen im Unternehmen ihre Pflichten zur Befolgung von NIS-2 kennen. Schulungen beinhalten primär die Bewertung und Erkennung von Risiken, sowie das Risikomanagement mitsamt seinen Auswirkungen. Diese Schulungen helfen der Geschäftsführung bei der Überwachung der Umsetzung der Maßnahmen, sodass keine Anforderungen aus NIS-2 unerfüllt bleiben.