Die Umsetzung der NIS2-Richtlinie in Deutschland bringt weitreichende Konsequenzen für Unternehmen mit sich, insbesondere für solche, die elektronische und elektrische Produkte herstellen. Aber was genau bedeutet das für Ihr Unternehmen, und welche Bereiche sind betroffen?
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Network and Information Security Directive) der Europäischen Union zielt darauf ab, die Cybersicherheit in Europa zu stärken. Sie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie und stellt strengere Anforderungen an die Cybersicherheit in verschiedenen Sektoren. Die Richtlinie betrifft nicht nur große Unternehmen, sondern auch kleine und mittelständische Betriebe, die in kritischen Bereichen tätig sind. Wenn Ihr Unternehmen mehr als 50 Mitarbeiter beschäftigt oder einen Jahresumsatz größer als 10 Millionen Euro erwirtschaftet und Sie in einem der aufgeführten Bereiche arbeiten, sind Sie betroffen.
Die NIS2-Richtlinie wird im Oktober 2024 in nationales Recht umgesetzt und ohne Übergangsfrist in Kraft treten. Aktuell läuft das Gesetzgebungsverfahren, und das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird voraussichtlich demnächst verabschiedet. Die Umsetzung erfolgt abschließend mit einer Änderung des BSI-Gesetzes (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik). Dies bedeutet, dass Unternehmen sich zeitnah auf die neuen Anforderungen vorbereiten müssen, da keine Übergangsphase vorgesehen ist.
Wenn Ihr Produkt ein Kabel hat, sind Sie betroffen
Die Aussage „Wenn Ihr Produkt ein Kabel hat, sind Sie betroffen!“ bezieht sich auf eine breite Palette von Herstellern, die elektronische und elektrische Produkte herstellen. Diese Produkte spielen eine zentrale Rolle in der modernen digitalen Infrastruktur und können, wenn sie nicht ordnungsgemäß gesichert sind, zu Sicherheitslücken führen, die von Cyberkriminellen ausgenutzt werden könnten.
Betroffene Bereiche laut NACE Rev. 2
Die NIS2-Richtlinie betrifft Unternehmen, die in bestimmten Sektoren tätig sind, wie sie in der NACE Rev. 2, der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft, aufgeführt sind. Relevant sind die Abschnitte 26 und 27, die sich mit der Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen sowie elektrischen Ausrüstungen befassen. Die betroffenen Bereiche umfassen unter anderem:
- 26.1 Herstellung von elektronischen Bauelementen und Leiterplatten
- 26.2 Herstellung von Datenverarbeitungsgeräten und peripheren Geräten
- 26.3 Herstellung von Geräten und Einrichtungen der Telekommunikationstechnik
- 26.4 Herstellung von Geräten der Unterhaltungselektronik
- 26.5 Herstellung von Mess-, Kontroll-, Navigations- und ähnlichen Instrumenten und Vorrichtungen
- 26.6 Herstellung von Bestrahlungs- und Elektrotherapiegeräten und elektromedizinischen Geräten
- 26.7 Herstellung von optischen und fotografischen Instrumenten und Geräten
- 26.8 Herstellung von magnetischen und optischen Datenträgern
- 27.1 Herstellung von Elektromotoren, Generatoren, Transformatoren, Elektrizitätsverteilungs- und Schalteinrichtungen
- 27.2 Herstellung von Batterien und Akkumulatoren
- 27.3 Herstellung von Kabeln und elektrischem Installationsmaterial
- 27.4 Herstellung von elektrischen Lampen und Leuchten
- 27.5 Herstellung von Haushaltsgeräten
- 27.9 Herstellung von sonstigen elektrischen Ausrüstungen und Geräten
Eine detaillierte Auflistung der betroffenen Bereiche finden Sie in der NACE Rev. 2, von Seite 172 bis 186. Hier ist der Link zur PDF-Version.
Was bedeutet das für Ihr Unternehmen?
Wenn Ihr Unternehmen in einem der genannten Bereiche tätig ist, müssen Sie sich mit den Anforderungen der NIS2-Richtlinie und deren Umsetzung in nationales Recht vertraut machen. Das bedeutet, dass Sie Maßnahmen zur Erhöhung der Cybersicherheit ergreifen müssen, um Ihre Produkte und damit auch die kritische Infrastruktur, die auf diese Produkte angewiesen ist, zu schützen.
Dies kann Investitionen in Sicherheitstechnologien, die Schulung von Mitarbeitern und die Implementierung strengerer Sicherheitsprotokolle erfordern. Die Einhaltung der NIS2-Richtlinie wird nicht nur dazu beitragen, Ihr Unternehmen vor Cyberangriffen zu schützen, sondern auch sicherstellen, dass Sie den gesetzlichen Anforderungen entsprechen und potenziellen Sanktionen entgehen.
Fazit
Die NIS2-Richtlinie ist ein wichtiger Schritt in Richtung einer sichereren digitalen Zukunft in Europa. Für Unternehmen, die Produkte herstellen, die ein Kabel haben, ist es essenziell, die Auswirkungen dieser Richtlinie zu verstehen und entsprechende Maßnahmen zu ergreifen. Wenn Ihr Unternehmen in einem der in der NACE Rev. 2 genannten Bereiche tätig ist, sollten Sie jetzt aktiv werden, um sicherzustellen, dass Sie den Anforderungen der NIS2-Richtlinie gerecht werden.
Die Sicherheit Ihrer Produkte ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein Wettbewerbsvorteil in einer zunehmend vernetzten Welt.
Weiterführende Links:
NACE2_2007_2106_DE.pdf (europa.eu)
BMI – Gesetzgebungsverfahren – Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
BSI – NIS-Richtlinien (bund.de)
NIS2 Check: Die wichtigsten Informationen – Lanzrath Consulting
NIS2 Betroffenheit verstehen: Analyse und Bewertung – Lanzrath Consulting
Sicherheit und Compliance: Das NIS2 Assessment – Lanzrath Consulting
NIS2 Projektmanagement: Analyse, Bewertung und Umsetzung – Lanzrath Consulting
NIS2 FAQ – Lanzrath Consulting
Bild: DALL·E 3