Wer sollte das lesen: Produktionsleiter, Lieferkettenmanager, Operations Officers, CISOs in der Fertigung.
Die NIS2-Richtlinie hat das verarbeitende Gewerbe in einer Weise ins regulatorische Rampenlicht gerückt, wie es frühere Cybersicherheitsrahmenwerke nicht getan haben. Die Fertigung war in der NIS-Richtlinie (2016) weitgehend abwesend, und die plötzliche Aufnahme von Automobil-, Elektronik- und Maschinenherstellern in Anhang II von NIS2 hat erhebliche Compliance-Pflichten für Organisationen geschaffen, die zuvor ohne sektorspezifische Cybersicherheitsmandate auf EU-Ebene operierten. Wenn Ihre Fertigungsorganisation Fahrzeuge, elektronische Komponenten, elektrische Ausrüstung oder Maschinen produziert, betrifft NIS2 Sie. Den Anwendungsbereich zu verstehen und geeignete Maßnahmen umzusetzen erfordert klares Denken darüber, welche Ihrer Tätigkeiten im Anwendungsbereich liegen und was der Status „wichtige Einrichtung” für Ihren Sektor bedeutet.
Das verarbeitende Gewerbe ist aus praktischen Gründen zur Priorität für NIS2 geworden. Moderne Fahrzeuge, elektronische Geräte und Industriemaschinen enthalten eingebettete Netz- und Informationssysteme, die sicherheitskritische Funktionen steuern. Eine Schwachstelle in einer Automobil-Lieferkette könnte Fahrzeuge auf Europas Straßen beeinträchtigen. Eine Kompromittierung in der Elektronikfertigung könnte kompromittierte Komponenten in nachgelagerte Produkte tragen. Versagende Industriemaschinen könnten die Produktion in mehreren Sektoren stören. Die Richtlinie erkennt an, dass Fertigung nicht mehr von Digitalisierung und Cybersicherheit trennbar ist. Ihre Sicherheitslage in der Fertigung ist Sicherheit kritischer Infrastruktur.
Anwendungsbereich: Welche Hersteller sind erfasst?
Anhang II, Sektor 5 von NIS2 identifiziert sechs Kategorien von Fertigungseinrichtungen, jede definiert durch spezifische wirtschaftliche Tätigkeiten gemäß NACE (Nomenklatur der Wirtschaftstätigkeiten).
Untersektor 5(a) umfasst die Herstellung von Medizinprodukten und In-vitro-Diagnostika: Einrichtungen, die in NACE-Rev.-2-Abteilungen klassifiziert sind, die diese Produkte abdecken. Dies ist ein definierter Anwendungsbereich mit spezifischen regulatorischen Verknüpfungen zur EU-Medizinprodukteverordnung, sodass Einrichtungen in diesem Bereich wahrscheinlich bereits mit Cybersicherheitsanforderungen vertraut sind.
Untersektor 5(b) umfasst die Herstellung von Computern, elektronischen und optischen Erzeugnissen: jedes Unternehmen, das wirtschaftliche Tätigkeiten gemäß NACE Rev. 2 Abschnitt C Abteilung 26 ausübt. Dies ist breit gefasst und erfasst Halbleiterhersteller, Computermonteure, Optikhersteller und Hersteller elektronischer Komponenten. Wenn Ihre Organisation CPUs, Speichergeräte, Bildschirme oder optische Geräte herstellt, fallen Sie unter diese Bestimmung.
Untersektor 5(c) umfasst die Herstellung elektrischer Ausrüstungen gemäß NACE Rev. 2 Abschnitt C Abteilung 27. Dies umfasst Hersteller von Generatoren, Transformatoren, Verteilungsausrüstung, Installationsausrüstung und Haushaltsgeräten mit elektronischen Komponenten. Viele Organisationen in diesem Bereich haben sich historisch als Hardwarehersteller mit begrenzter Softwarebeteiligung verstanden; NIS2 lässt sie umdenken.
Untersektor 5(d) umfasst die Herstellung von Maschinen und Ausrüstung: jede wirtschaftliche Tätigkeit gemäß NACE Rev. 2 Abschnitt C Abteilung 28. Dies ist umfassend und umfasst Hersteller von Mehrzweckmaschinen, Spezialmaschinen und Maschinen für spezifische Industrien. Industriemaschinen integrieren zunehmend netzwerkverbundene Steuerungen und Überwachungssysteme.
Untersektor 5(e) umfasst die Herstellung von Kraftfahrzeugen, Anhängern und Sattelanhängern (NACE Rev. 2 Abschnitt C Abteilung 29). Dies umfasst Automobilerstausrüster (OEMs), Nutzfahrzeughersteller und Anhängerhersteller. Der Automobilsektor verfügt über erhebliche bestehende Cybersicherheitsanforderungen gemäß ISO 26262 und aufkommende Normen rund um SOTIF; NIS2 fügt EU-regulatorische Verpflichtungen hinzu.
Untersektor 5(f) umfasst die Herstellung sonstiger Fahrzeuge (NACE Rev. 2 Abschnitt C Abteilung 30). Dies umfasst die Herstellung von Flugzeugen, Schienenfahrzeugen und Schiffen. Wie der Automobilsektor haben diese Sektoren sicherheitskritische Systeme und bestehende Cybersicherheitsrahmenwerke; NIS2 schafft zusätzliche regulatorische Verpflichtungen.
Die kritische Frage für jede Fertigungsorganisation lautet: Fällt Ihre primäre wirtschaftliche Tätigkeit unter eine dieser Abteilungen? Wenn ja, und wenn Ihre Organisation nicht bereits als wesentliche Einrichtung in Anhang I identifiziert ist (was für die meisten Hersteller unwahrscheinlich ist), dann sind Sie eine wichtige Einrichtung gemäß NIS2, und die Anforderungen aus Artikel 21 gelten für Sie.
Status als wichtige Einrichtung: Was es für Hersteller bedeutet
Wichtige Einrichtungen gemäß NIS2 müssen die in Artikel 21(1) und (2) festgelegten Cybersicherheitsrisikomanagementmaßnahmen umsetzen. Diese Maßnahmen sind nicht theoretisch; sie sind verpflichtend, umfassend und durchsetzbar. Anders als die vorherige NIS-Richtlinie, die nur für wesentliche Einrichtungen galt, bedeutet die Ausweitung von NIS2 auf wichtige Einrichtungen, dass Regulierungsbehörden Ihre Compliance nun überwachen und Bußgelder für Non-Compliance verhängen können.
Die Maßnahmen, die Sie umsetzen müssen, umfassen mindestens Folgendes: Strategien zur Risikoanalyse und Sicherheit von Informationssystemen; Verfahren zur Bewältigung von Sicherheitsvorfällen; Planung der Geschäftskontinuität und Notfallwiederherstellung; Maßnahmen zur Sicherheit der Lieferkette; sichere Entwicklungspraktiken einschließlich Schwachstellenmanagement; Verfahren zur Bewertung der Wirksamkeit Ihrer Cybersicherheitsmaßnahmen; grundlegende Cyberhygiene und Cybersicherheitsschulung; Kryptografie- und Verschlüsselungspolitiken; Personalsicherheit und Zugangskontrollen; sowie Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, wo angemessen.
Für Fertigungsorganisationen haben mehrere dieser Maßnahmen besondere Implikationen. Die Sicherheit der Lieferkette ist kritisch, weil die Fertigung auf komplexen globalen Lieferketten beruht. Ihre Lieferanten liefern Rohstoffe, Komponenten, Unterbaugruppen und Dienstleistungen. Jeder führt potenzielle Cybersicherheitsrisiken ein. Artikel 21(3) verlangt, dass Sie „die spezifischen Schwachstellen jedes direkten Lieferanten und Dienstleisters sowie die Gesamtqualität der Produkte und die Cybersicherheitspraktiken ihrer Lieferanten und Dienstleister, einschließlich ihrer sicheren Entwicklungsverfahren, berücksichtigen”. Das bedeutet, dass Sie die Sicherheit der Lieferkette nicht als einfache Sorgfaltspflicht-Checkbox behandeln können; Sie müssen die Cybersicherheitspraktiken Ihrer Lieferanten systematisch bewerten und diese Bewertung in Ihren Risikomanagementrahmen integrieren.
Sichere Entwicklungspraktiken sind gleichermaßen kritisch. Wenn Ihre Fertigungsorganisation Hardware mit eingebetteter Software oder Maschinen mit Steuerungssystemen produziert, hängt die Sicherheit dieser Systeme davon ab, wie sie entworfen, entwickelt und gewartet werden. Artikel 21(2)(e) verlangt „Sicherheit bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement und -offenlegung”. Für die Fertigung geht es dabei nicht nur um IT-Systeme; es erstreckt sich auf die in Ihren Produkten eingebetteten Systeme.
Die Bewältigung von Sicherheitsvorfällen und Geschäftskontinuität gewinnen in der Fertigung besonderes Gewicht. Wenn Ihre Produktionssysteme kompromittiert werden, können die Folgen nicht nur Betriebsstörungen für Ihre Organisation umfassen, sondern auch Störungen bei nachgelagerten Kunden, Lieferketten und möglicherweise kritischer Infrastruktur, je nachdem, was Sie produzieren. Ihr Vorfallsreaktionsplan muss die kaskadierenden Effekte einer Kompromittierung von Fertigungssystemen berücksichtigen.
Sicherheit der Lieferkette in der Fertigung
Der Fertigungssektor ist besonders anfällig für Kompromittierung der Lieferkette. Ihre Organisation hängt von Lieferanten für Materialien, Komponenten und Dienstleistungen ab. Einige dieser Lieferanten sind selbst kritisch für die europäische kritische Infrastruktur. NIS2 verpflichtet Sie, das durch Ihre Lieferanten eingeführte Cybersicherheitsrisiko zu bewerten und zu managen.
Diese Bewertung sollte mehrere Dimensionen behandeln. Erstens, identifizieren Sie Ihre kritischen Lieferanten: jene, deren Ausfall, Kompromittierung oder Störung Ihren Betrieb am stärksten beeinträchtigen würde. Zweitens, bewerten Sie ihre Cybersicherheitsreife. Sie könnten Rahmenwerke wie CMMC (Cybersecurity Maturity Model Certification) verwenden, wenn Sie mit Verteidigungslieferanten arbeiten, ISO-27001-Zertifizierung, falls verfügbar, oder maßgeschneiderte Bewertungen basierend auf Ihrer Risikobereitschaft. Drittens, integrieren Sie Cybersicherheitsanforderungen für Lieferanten in Ihre Verträge. Spezifizieren Sie, welche Sicherheitsmaßnahmen Sie erwarten, welche Vorfälle sie Ihnen melden müssen und welche Prüfrechte Sie verlangen.
Viertens, etablieren Sie Überwachung. Behandeln Sie die Lieferantenbewertung nicht als einmalige Aktivität. Überwachen Sie Ihre Lieferanten auf öffentliche Offenlegungen von Verstößen, überwachen Sie Veränderungen ihrer Sicherheitslage und pflegen Sie regelmäßige Kommunikation mit den Sicherheitsteams Ihrer Lieferanten. Fünftens, haben Sie ein Lieferanten-Vorfallsreaktionsprotokoll. Wenn ein kritischer Lieferant einen Verstoß erleidet, wie reagiert Ihre Organisation? Welche Daten oder Produkte könnten betroffen sein? Wie schnell können Sie eine Kompromittierung in Materialien oder Komponenten identifizieren, die Sie erhalten haben?
Bemerkenswert verweist Artikel 21(3) auch auf Ergebnisse koordinierter Sicherheitsrisikobewertungen kritischer Lieferketten, die gemäß Artikel 22 durchgeführt werden. Die Kommission und die Kooperationsgruppe führen oder werden koordinierte Bewertungen spezifischer kritischer IKT-Dienste, -Systeme und -Produktlieferketten durchführen. Wenn diese Bewertungen veröffentlicht werden, sollte Ihre Organisation die Erkenntnisse in Ihr Lieferkettensicherheitsprogramm integrieren.
Vorfallsmeldung und Koordination
Als wichtige Einrichtung fallen Sie in den Anwendungsbereich der Meldepflichten aus Artikel 23. Sie müssen erhebliche Vorfälle ohne unangemessene Verzögerung an Ihr nationales CSIRT (Computer Security Incident Response Team) melden. Ein Vorfall ist erheblich, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann, die Qualität oder Sicherheit der bereitgestellten Dienste beeinträchtigt, mehrere Mitgliedstaaten betrifft oder die Gesundheit oder Sicherheit von Personen beeinträchtigt.
Für Hersteller sollte die Erheblichkeitsschwelle sorgfältig interpretiert werden. Ein Cyberangriff, der Ihr Produktionssystem stört, mag nicht unmittelbar wie eine Beeinträchtigung der Kundendienste erscheinen, doch wenn Ihre Produktionsstörung sich auf Kunden auswirkt (etwa Autohändler, die keine Fahrzeuge bestellen können), hat der Vorfall erhebliche grenzüberschreitende Auswirkungen. Sie sollten klare Kriterien für die Vorfallsmeldung innerhalb Ihrer Organisation festlegen und Vorfallsreaktionsteams schulen, zu erkennen, wann die Erheblichkeitsschwelle erreicht ist.
Sie müssen außerdem ohne unangemessene Verzögerung melden, typischerweise innerhalb von 24 Stunden, nachdem Sie von einem erheblichen Vorfall Kenntnis erlangt haben. Dies ist eine sehr enge Frist und erfordert, dass Ihre Vorfallserkennungs- und ersten Triage-Prozesse Vorfälle identifizieren und sie rasch an die obere Leitung eskalieren können.
Governance und Managementverantwortung
Artikel 20 fügt eine Governance-Dimension zur NIS2-Compliance hinzu, die Fertigungsorganisationen manchmal unterschätzen. Leitungsorgane (Vorstände oder Äquivalente) müssen die von ihrer Organisation umgesetzten Cybersicherheitsrisikomanagementmaßnahmen genehmigen, die Umsetzung überwachen und können für Verstöße haftbar gemacht werden. Dies ist keine Delegation an IT- oder Sicherheitsteams; es ist eine direkte Verantwortung des Vorstands.
Leitungsorgane und ihre Mitglieder müssen ebenfalls Cybersicherheitsschulungen absolvieren, um ausreichende Kenntnisse und Fähigkeiten zur Identifizierung von Risiken und Bewertung von Cybersicherheitspraktiken zu entwickeln. Für Fertigungsorganisationen mit historisch gewachsenen Vorstandszusammensetzungen, bei denen Direktoren nur begrenzte technologische Erfahrung haben, kann dies herausfordernd sein. Es erfordert entweder die Anwerbung von Direktoren mit Cybersicherheitsexpertise oder umfangreiche Schulungen für bestehende Direktoren.
Diese Governance-Anforderung signalisiert etwas Wichtiges: Cybersicherheit in der Fertigung ist nicht mehr ausschließlich eine technische Angelegenheit. Sie ist eine strategische, geschäftliche und rechtliche Angelegenheit, die Vorstände verstehen und sich zu eigen machen müssen.
Wichtigste Erkenntnisse
-
Fertigungsorganisationen unter NACE Rev. 2 Abschnitt C Abteilungen 26-30 werden als wichtige Einrichtungen gemäß NIS2 Anhang II klassifiziert und müssen die Cybersicherheitsrisikomanagementmaßnahmen aus Artikel 21 umsetzen.
-
Sicherheit der Lieferkette ist ein verpflichtendes Element Ihres NIS2-Programms. Bewerten Sie systematisch die Cybersicherheitsreife von Lieferanten, integrieren Sie Sicherheitsanforderungen in Lieferantenverträge und überwachen Sie die Sicherheitslage der Lieferanten kontinuierlich.
-
Vorfallsmeldepflichten gelten für Sie. Erhebliche Vorfälle, die die betriebliche Kontinuität oder Dienstqualität beeinträchtigen, müssen ohne unangemessene Verzögerung an Ihr nationales CSIRT gemeldet werden, typischerweise innerhalb von 24 Stunden.
-
Leitungsorgane sind direkt verantwortlich für die Genehmigung von Cybersicherheitsmaßnahmen, die Überwachung der Umsetzung und die Aufrechterhaltung ausreichender Kenntnisse zur Bewertung von Cybersicherheitspraktiken. Cybersicherheits-Governance auf Vorstandsebene ist verpflichtend.
-
Ihre eingebetteten Systeme und Produktsicherheit liegen im Anwendungsbereich. Wenn Sie Produkte mit netzwerkverbundenen oder softwaregesteuerten Systemen herstellen, sind sichere Entwicklungspraktiken und Schwachstellenmanagement nicht optional.
