NIS-2 und Cyber Resilience Act in der Industrie
In der Industrie verschmelzen die Ebenen der Operation Technology (OT) mit jenen der Information Technology (IT) längst. Das steigert die Effizienz und Produktivität in vielen wertschöpfenden Prozessen. Doch wo Licht ist, da ist auch Schatten: Vernetzte Systeme sehen sich immer wieder Angriffen von verschiedener Seite ausgesetzt, seien es professionell agierende Hackergruppen oder auch Einzelpersonen. Ein Sicherheitsleck kann dabei für so manches Unternehmen sogar existenzgefährdend sein. Um die Cybersicherheit nicht nur von Unternehmen, sondern auch von den hergestellten Produkten selbst zu erhöhen, treibt die Europäische Union mit der NIS-2-Richtlinie und dem Cyber Resilience Act die Steigerung der Cybersicherheit voran. Um die Anforderungen der neuen Richtlinien zu erfüllen, müssen Unternehmen oftmals nachbessern – und das sowohl technisch, organisatorisch wie auch rechtlich. Matthias Schmidt, Cybersecurity-Experte des Automatisierungsunternehmens Ifm Electronic erklärt im Interview, worauf Unternehmen bei der Umsetzung der Maßgaben achten sollten und welche Fallstricke es zu überwinden gilt.
GIT SICHERHEIT: Herr Schmidt, warum braucht es neue Regulatorik in Sachen Cybersicherheit?
Matthias Schmidt: Ob es neue Regulatorik in der Cybersicherheit braucht, ist eine gute Frage. Wichtiger ist, dass alle Unternehmen, egal welcher Größe, sich der Bedrohungen bewusst werden und auch darüber, welche Auswirkungen eine Cyberattacke haben kann und wird. Aktuelle Gesetzgebungen treiben das Thema massiv in die Unternehmen, damit der Wirtschaftsraum Europa in den aktuell schwierigen Zeiten nicht weiteren Cyberangriffen schutzlos ausgesetzt ist. Allein bei den veröffentlichten Zahlen des Branchenverbandes Bitkom müssten Unternehmensführungen hellhörig werden.
Wie unterscheiden sich Cyber Resilience Act und NIS-2-Richtlinie?
Matthias Schmidt: Der Unterschied ist sehr einfach. Der „Cyber Resilience Act“ – kurz CRA – fordert die Berücksichtigung von Cybersicherheit bei Produkten und Dienstleistungen. Die NIS-2-Richtlinie umfasst hingegen Maßnahmen für Produktionsumgebungen von Unternehmen. Der CRA hat also Cybersicherheit in Produkten zum Ziel, die NIS-2-Richtlinie möchte die Produktionsstätten selbst sicherer machen.
Zuletzt waren auch immer wieder deutsche Automatisierungsunternehmen Ziel von kostspieligen Hackerangriffen – kann das mit den neuen Regelungen verhindert werden?
Matthias Schmidt: Es wäre schön, wenn durch Regularien Angriffe verhindert werden könnten. Das komplette Verhindern von Angriffen ist allerdings ausgeschlossen, dennoch können Auswirkungen auf den Wertschöpfungsprozess reduziert und die Wiederherstellung des „Normalzustands“ beschleunigt werden.
Welche Branchen müssen jetzt besonders aufhorchen?
Matthias Schmidt: Cyberangriffe sind nicht sektoren- oder branchenspezifisch. Abgesehen von gezielten Angriffen von mit besten Mitteln ausgestatteten Gruppen werden die meisten Unternehmen durch flächendeckende Kampagnen kompromittiert.
Welche Herausforderungen kommen auf die Unternehmen zu? Welche konkreten technischen Anforderungen werden an die Produkte gestellt?
Matthias Schmidt: Zuerst einmal muss den Unternehmen klar sein, dass sie im Rahmen des CRA betroffen sind. Das fängt meist schon damit an, dass Unternehmen aufgrund ihrer Größe das Thema gar nicht auf dem Schirm haben. Im Bereich der Automatisierungstechnik kommen dann die Herausforderungen hinzu, dass in Zeiten von Halbleitermangel, unzureichenden Lieferketten und global schwieriger Wirtschaftslage unter Umständen sehr viele Produkte schlichtweg neu entwickelt werden müssen, da die bestehende Plattform oder Systemarchitektur die Anforderungen nicht erfüllen kann. Darüber hinaus kommt ein nicht zu unterschätzender Anteil an zusätzlicher Dokumentation und organisatorischen Anforderungen wie zum Beispiel im Bereich des Schwachstellen-Managements auf die Firmen zu. Das muss man als kleines Unternehmen in diesen Zeiten erstmal umsetzen, da auch der Fachkräftemangel hier massiv zu spüren ist.
Viele Unternehmen sehen sich wirtschaftlich schwierigen Zeiten gegenüber: Welche Kosten durch die Cybersecurity und die Richtlinien können Firmen jetzt und in Zukunft erwarten?
Matthias Schmidt: Das kommt immer da-rauf an, inwieweit das Unternehmen bereits das Thema Cybersicherheit betrachtet, in die Unternehmenskultur aufgenommen und Prozesse und Maßnahmen etabliert hat. Grundsätzlich kann ich keine Kosten nennen, aber das Thema Zeit sollte hier nicht aus den Augen verloren werden. Cybersicherheit ist auch ein Hygienefaktor, im Bereich Zulieferer-Sicherheit wird das in naher Zukunft auch ein Wettbewerbsvorteil sein.
Wie setzt Ifm die Anforderungen in den eigenen Produkten um?
Matthias Schmidt: Wir beobachten seit einiger Zeit bereits die Entwicklungen in der Standardisierung im Bereich Cybersicherheit für Industrieautomatisierung. Dadurch konnten wir schon sehr früh mit der Integration von generellen Sicherheitsmaßnahmen starten. Da für den Cyber Resilience Act aktuell noch keine harmonisierten Standards vorliegen, orientieren wir uns an jenen, die aktuell zur Verfügung stehen.
Die Anforderungen bleiben meist abstrakt – wo sollte der Gesetzgeber noch nachbessern?
Matthias Schmidt: Zum einen wäre es sinnvoll, sehr früh entsprechende Konkretisierungen bereitzustellen oder notwendige harmonisierte Standards. Zum anderen ist es wichtiger, betroffenen Unternehmen ausreichend Zeit zur Verfügung zu stellen.
Was raten Sie gerade dem Mittelstand, wenn er bald vor den Herausforderungen der NIS-2-Richtlinie und des Cyber Resilience Acts steht?
Matthias Schmidt: Unternehmen, ob im Rahmen des CRA oder NIS-2, sollen und müssen das Thema Cybersicherheit ernst nehmen und entsprechende Ressourcen bereitstellen. Wie bereits erwähnt, spielt der Faktor Zeit eine wichtige Rolle. Das gilt zum einen für die Umsetzungsfristen der Richtlinien und zum anderen für den Fall, selbst Opfer eines Angriffs zu werden.
Cyberversicherungen der Vergangenheit oder das Verlassen auf externe Dienstleister helfen hier nur unzureichend oder gar nicht. Eine komplette Wiederherstellung und der damit verbundene Schaden ist meist teurer als der Erst-Invest in eine Sicherheitsorganisation.
