cav
cav CHEMIEPARKS, STANDORTMANAGEMENT Warum NIS2 eine Chance für die Pharma- und Chemiebranche ist Digitale Systeme vor Bedrohungen schützen Mit der NIS2-Richtlinie soll ein hohes Cybersicherheitsniveau auf EU-Ebene ge - schaffen werden. Sie erweitert den Kreis der Unternehmen, die Sicherheitsvorgaben einhalten müssen. NIS2 betrifft vor allem kritische Infrastrukturen, darunter auch Pharma- und Chemieunternehmen. Nach der Umsetzung der Richtlinie in nationales Recht sind diese verpflichtet, angemessene IT-Sicherheitsmaßnahmen einzurichten. Geleakte Kundendaten, Ransomware-Angriffe auf Chemie-Unternehmen oder komplette Systemausfälle in der Medikamentenproduktion: Solche Vorfälle sind nicht nur kostspielig und schädlich für den Ruf, sondern haben auch direkte Auswirkungen auf das gesellschaftliche Leben. Um Europa physisch und im Cyberraum zu schützen, wurden daher zahlreiche Gesetzesvorhaben auf den Weg gebracht und zu Teilen auch schon in Kraft gesetzt. Mit darunter die europäische NIS2-Richtlinie, von der auch Pharma- und Chemieunternehmen be - troffen sind. Aber was genau steckt hinter dieser Richtlinie? Und warum sollten Unternehmen bereits jetzt aktiv werden? Werkzeug gegen Cyberbedrohungen Mit der NIS2-Richtlinie soll ein hohes Cybersicherheitsniveau auf EU-Ebene geschaffen sowie der Binnenmarkt gestärkt werden. Die EU Directive on Security of Network and Information Systems versteht sich als eine Weiterentwicklung der EU-NIS- Richtlinie. Dabei geht es nicht nur darum, volkswirtschaftlich bedeutsame Unternehmen und kritische Einrichtungen vor Cyberangriffen zu schützen, ihnen sollen auch Leitlinien an die Hand gegeben werden, wie sie auf Angriffe reagieren können. Die Botschaft der EU ist klar: alle EU-Mitgliedsstaaten sollen sich an dieselben Sicherheitsstandards halten, ein gemeinsames hohes Sicherheitsniveau aufrechterhalten und bei den Unternehmen sowie Anlagen- Betreibern einfordern. Im Vergleich zur vorhergehenden EU-NIS-Richtlinie schließt NIS2 dabei deutlich mehr Unternehmen mit ein. Zudem werden Institutionen wie das Bundesamt für Sicherheit in der Informa - tionstechnik (BSI) mit erweiterten Befug - nissen ausgestattet, um sicherzustellen, dass die IT- und OT-Sicherheit nicht nur auf dem Papier existiert. Nach der Veröffentlichung der NIS2-Richt - linie am 27. Dezember 2022 folgte das Inkrafttreten am 16. Januar 2023 – seitdem läuft die Uhr für alle EU-Mitgliedsstaaten. Bis Oktober 2024 haben sie Zeit, die Richtlinie in nationales Recht umzusetzen. Deutschland erarbeitet aktuell das Umsetzungsgesetz. Unternehmen, die pharmazeutische Erzeugnisse oder Medizinprodukte herstellen, sind von NIS2 betroffen Bild: Alla/stock.adobe.com (generiert mit KI) Von NIS2 betroffene Unternehmen Betroffene Wirtschaftszweige sind im bisherigen Referentenentwurf des Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz oder NIS2UmsuCG) in drei Kategorien unterteilt: kritische Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen. Unter „kritische Anlagen“ fallen beispielsweise Betreiber kritischer Infrastrukturen, 52 cav 03-2024
Bild: Alina Zavhorodnii/stock.adobe.com (generiert mit KI) Bild: industrieblick/stock.adobe.com Die NIS2-Richtline soll ein gemeinsames hohes IT-Sicherheitsniveau in allen EU-Mitgliedsstaaten aufrechterhalten Betreiber kritischer Infrastrukturen in Deutschland sollten bereits in Folge des IT-Sicherheitsgesetzes ein solides Fundament aufgebaut haben unter anderem im Gesundheitswesen. Das schließt die Unternehmen, die pharmazeutische Erzeugnisse oder Medizinprodukte herstellen, mit ein. Aber auch die Produk - tion, Herstellung und der Handel mit chemischen Stoffen werden im Diskussions - papier zum neuen Gesetz adressiert. Unter die betroffenen Unternehmen fallen im der - zeitigen Diskussionspapier: • mittlere Unternehmen, also solche, die mindestens 50 und höchstens 249 Mit - arbeiter beschäftigen und einen Jahres - umsatz von höchsten 50 Millionen Euro oder eine Jahresbilanzsumme von höchstens 43 Millionen Euro aufweisen • große Unternehmen, also solche, die die Definition der mittleren Unternehmen überschreiten Im Gesundheitswesen sind das zudem konkret: • EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates • Unternehmen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des § 2 AMG ausüben • Unternehmen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen • Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden All diese Unternehmen müssen sich im Bereich IT-Sicherheit entsprechend den Anforderungen des Gesetzes aufstellen. Wie bereiten sich Unternehmen vor? Die Umsetzung ist als Marathon, nicht als Sprint zu sehen. Unternehmen sollten zunächst prüfen, ob und wie sie von dem neuen Gesetz betroffen sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zum Erreichen eines angemessenen Risiko- und IT-Sicherheitsniveaus sind unerlässlich. Dazu ge - hören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, die dem aktuellen Stand der Technik ent - sprechen müssen. Die gute Nachricht für Betreiber kritischer Infrastrukturen in Deutschland: Diese haben in Folge des IT-Sicherheitsgesetzes bereits ein solides Fundament aufgebaut. Und wer bereits ein ISMS und die nötige vertrauenswürdige IT- und OT-Sicherheitstechnologie implementiert hat, ist gut aufgestellt und muss nur mit geringen Anpassungen rechnen. Für alle anderen Unternehmen bringt NIS2 neue Spielregeln und damit neue Aufgaben mit sich. Darunter die Umsetzung von Risikoanalysen und Ableitung von notwendigen Maßnahmen nach dem Stand der Technik. Zudem sind die neuen Meldeprozesse zu beachten. Berater und Beraterinnen können dabei unterstützen und maßgeschneiderte Konzepte für die angemessene Umsetzung bieten. Die Entscheidung und Umsetzung obliegt den Unternehmen selbst, die dafür – falls noch nicht passiert – neue Organisa - tionen im Unternehmen etablieren müssen. Jetzt reagieren, sicher in die Zukunft Die NIS2-Richtlinie ist mehr als nur ein Regelwerk – sie ist ein Handlungsaufruf, ITund OT-Sicherheit zu etablieren und eine widerstandsfähige Organisation und Infrastruktur zu schaffen und aufrechtzuerhalten. Neben möglichen Bußgeldern wird die Unternehmensleitung von Großunternehmen deutlich stärker in Haftung genommen. Die Aufsichtsbehörde kann den Betrieb besonders wichtiger Einrichtungen vorübergehend aussetzen oder der Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen. Eine Umsetzung der Anforderungen kann nicht von heute auf morgen erfolgen, sondern nimmt einige Zeit in Anspruch. So sollten betroffene Unternehmen frühzeitig planen und mit den ersten Vorbereitungsschritten (z. B. Gap-Analysen) beginnen. www.prozesstechnik-online.de Suchwort: Secunet AUTOR: STEFFEN HEYDE Leiter Marktsegmente, Division Industry, Secunet Security Networks cav 03-2024 53
