Bei Safety und Security kommt derzeit auf Maschinenbauer und ‑betreiber eine Reihe von gesetzlichen Anforderungen zu. Was passiert 2024?
NIS 2: Mehr Pflichten für mehr Unternehmen
Die Richtlinie für Netz- und Informationssystemsicherheit 2 EU 2022/2555 (NIS 2) gibt Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU vor. Das NIS-Gesetz, die bisherige nationale Umsetzung der NIS 1, galt vorwiegend für kritische Infrastruktur und Anbieter relevanter digitaler Dienste. NIS 2 erweitert die Sektoren beispielsweise um das herstellende/produzierende Gewerbe: Maschinenbau, Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau. Innerhalb dieser Branchen sind Unternehmen mit mehr als 50 Beschäftigten ODER einem Jahresumsatz bzw. einer Jahresbilanz von über 10 Millionen Euro betroffen.
Diese Unternehmen werden künftig verpflichtet, Risikomanagementmaßnahmen für die Cybersicherheit zu ergreifen, etwa Risikoanalysen und Sicherheitskonzepte zu erstellen für Informationssysteme, den Schutz der Lieferkette und die Sicherheit des Personals, ebenso Konzepte für die Zugriffskontrolle und das Management von Anlagen. Hinzu kommen verpflichtende Schulungen für das Management. Bei bestimmten Security-Vorfällen, sog. significant incidents, muss binnen 24 Stunden eine Frühwarnung und binnen 72 Stunden eine Meldung an die zuständige Behörde erfolgen.
Bei Verstößen drohen empfindliche Sanktionen wie Geldbußen von 7 Millionen Euro oder 1,4 Prozent des Gesamtjahresumsatzes, außerdem können natürliche Personen (leitende Angestellte) haftbar gemacht werden. Die Richtlinie wurde Ende 2022 durch das Europäische Parlament und den Rat der EU verabschiedet. Bis 18.10.2024 müssen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht überführen.
Cyber Resilience Act – Security für den gesamten Produktlebenszyklus
Im September 2022 hat die Europäische Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Dieser Cyber Resilience Act richtet sich an Hersteller von Produkten mit digitalen Elementen (Hard- und Software), die in der Lage sind, mit anderen Produkten zu kommunizieren. Betroffen sind also Produkte sowohl aus dem B2C-Bereich, wie Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme.
Wie groß die Auswirkungen tatsächlich sein werden, hängt davon ab, welche Kriterien am Ende für die Einstufung der Produkte angelegt werden. Laut Cyber Resilience Act dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten – und zwar über den gesamten Lebenszyklus eines Produkts. Experten gehen davon aus, dass die Verordnung 2024 verabschiedet wird. Der Cyber Resilience Act ist eine EU-Verordnung und wird somit in den EU-Mitgliedsstaaten unmittelbar gültig sein.
Pilz beobachtet die Gesetzgebung im Bereich Industrial Security aufmerksam für seine Kunden. Neue gesetzliche Anforderungen fließen laufend in das Schulungs- und Beratungsangebot ein.