Verschiedene neuere EU-Regularien, die überwiegend im Jahr 2022 auf den Weg gebracht wurden und nun nach und nach in den einzelnen Mitgliedsländern in nationales Recht umgesetzt werden, verschaffen der Cybersicherheit eine völlig neue Bedeutung. Zu diesen Regelwerken zählen die EU-NIS-2-Direktive zur Netzwerk- und Informationssicherheit (EU-Richtlinie 2022/2555) zusammen mit der Resilienz-Richtlinie 2022/2557, die EU-Maschinenverordnung 2023/1230 sowie die Entwürfe zum EU-Cyber Resilience Act (CRA). Aber auch der EU-Kommissionsentwurf für ein neues Produkthaftungsrecht gehört dazu (siehe den Vorschlag für eine Richtlinie über die Haftung für fehlerhafte Produkte, also das ProdHaftRL-E aus Dezember 2022). Dadurch wird beispielsweise Software zum Produkt. Das dürfte einige gravierende Veränderungen für die vernetzten Steuerungen von Maschinen und Anlagen zur Folge haben. Aber auch KI-Implementierungen und 3D-CAD-Daten werden künftig in die Produkthaftung einbezogen. Man könnte auch noch auf den Entwurf der KI-Haftungsrichtlinie (KI-HaftRL-E) oder das neue Funkanlagenrecht (EU-Verordnung 2022/30) verweisen. Schließlich sind Maschinen mit Bluetooth, WLAN, 4G oder 5G hinsichtlich der Cybersecurity auch von diesem EU-Regelwerk betroffen.

Einstiegspunkt NIS-2

IT-Anwendungen in produzierenden Unternehmen, die bis in das OT-Umfeld reichen, bieten zahlreiche Angriffsvektoren. Insofern sollte eine unter NIS-2 fallende Organisation mit Hilfe geeigneter Prozessbausteine verschiedene Fragstellungen klären und dokumentieren. Zum Beispiel: Wie werden die Quellenauthentizität, Datenintegrität und Vertraulichkeit für die CAD-Daten gewährleistet? Hinsichtlich der operativen Kontinuität ist auch die Serviceverfügbarkeit abzusichern und zu bewerten.

© SSV

Wie lässt sich der auf den ersten Blick beeindruckenden Verordnungsflut begegnen? Zunächst empfiehlt es sich, durch ein systematisches Vorgehen zu prüfen, inwieweit man durch die jeweilige Verordnung betroffen ist und ab wann das Regelwerk gilt. Die neue Maschinenverordnung beispielsweise ist zwar im Juli 2023 bereits formal in Kraft getreten; sie ist aber erst nach einer dreieinhalbjährigen Übergangszeit verbindlich anzuwenden. Beim CRA existiert ein Entwurf aus September 2022. Er ist sehr weitreichend und betrifft praktisch alle Produkte mit digitalen Elementen, also auch die gesamte Consumer-Elektronik. Wann und wie der CRA in den EU-Mitgliedsstaaten in nationales Recht umgesetzt wird, ist aber noch nicht vollständig geklärt. Sehr ähnlich sieht es beim ProdHaftRL-E aus. Hier gibt es wohl auch noch größeren Diskussionsbedarf, etwa über die Schnittmengen zur EU-KI-Verordnung, den Umgang mit Beweismitteln, Sammelklagenaspekte durch den Wegfall des 500-Euro-Selbstbehalt und einiges mehr.

Stand heute sollten sich Managementverantwortliche zunächst einmal mit der NIS-2-Direktive eingehender befassen. Sie richtet sich an die »wesentlichen« und »wichtigen« Betreiber von Netzwerken und IT-Systemen in bestimmten Bereichen. Diese Vorgabe wird im Oktober 2024 EU-weit gesetzlich verpflichtend. Der entsprechende Referentenentwurf aus dem Bundesinnenministerium zur NIS-2-Umsetzung existiert unter dem Namen »NIS2UmsuCG« seit Juli 2023 auch schon. Hier sind nicht nur die Regeln einiger seit vielen Jahren existierender EU-Rechtsvorschriften – also die NIS-1-Richtlinie 2016/1148 sowie die 910/2014 und 2018/1972 – überarbeitet, sondern auch erhebliche Strafzahlungen für Gesetzesverstöße spezifiziert – ähnlich zur Datenschutzgrundverordnung, allerdings mit einer deutlichen Ausweitung der privaten Managerhaftung. Gleichzeitig wurde aber auch der Anwendungsbereich hinsichtlich der betroffenen Organisationen deutlich ausgedehnt. NIS-1 umfasst praktisch nur die »Sektoren mit hoher Kritikalität«, also im Wesentlichen die kritische Infrastruktur. Durch die neue NIS-2-Richtlinie werden nun zum Beispiel auch die Hersteller von elektrischer Ausrüstung und Geräten, Maschinen und PKWs ab einer gewissen Betriebsgröße (50+ Mitarbeiter und/oder 10+ Mio. Euro Umsatz) einbezogen. Sie werden in der Richtlinie als »sonstige kritische Sektoren« bezeichnet. Schätzungen gehen davon aus, dass im Vergleich zu NIS-1 allein in Deutschland rund 29.000 Unternehmen zusätzlich unter die neuen gesetzlichen Vorgaben zur Netzwerk- und Informationssicherheit fallen. Ungefähr 80% dieser neu Betroffenen wissen zurzeit allerdings vermutlich noch nicht einmal, dass die NIS-2-Vorgaben auf sie zutreffen.

Zwei Artikel mit besonderer Bedeutung

Die deutschsprachige Übersetzung der NIS-2-EU-Verordnung besteht aus 46 Artikeln, sowie den Anhängen I bis III, von denen Anhang I und II in dreispaltigen Tabellen die jeweils betroffenen Organisationen spezifizieren (Sektor, Teilsektor, Art der Einrichtung). Das gesamte Dokument umfasst insgesamt 73 Seiten (aus Sicht der betroffenen Organisationen sind die beiden Artikel 21 und 23 von besonderer Bedeutung; siehe Webtipp). Die Tabelle liefert eine Übersicht der zu erfüllenden NIS-2-Mindestanforderungen für ein einheitliches Cybersicherheitsniveau. Damit will die EU erreichen, dass in den einzelnen Mitgliedstaaten wesentliche und wichtige Einrichtungen beziehungsweise Organisationen mit Hilfe von technischen und organisatorischen Maßnahmen einen sicheren Betrieb ihrer operativ erforderlichen Netzwerk- und Informationssysteme gewährleisten. Die Verordnung fordert des Weiteren geeignete Aktivitäten, um die Auswirkungen von Sicherheitsvorfällen in den betroffenen Organisationen möglichst gering zu halten und die Nutzer der Dienstleistungen und Produkte einer unter NIS-2 fallenden Einrichtung entsprechend zu unterstützen.

Zusammen mit den Registrierungs- und Meldepflichten des Artikel 23 wirken die Anforderungen auf den ersten Blick in Bezug auf lokale Netzwerke und IT-Systeme insgesamt umsetzbar. Durch die Forderung der »Operativen Kontinuität« in der Tabelle 1 wird allerdings deutlich, dass sich die NIS-2-Vorgaben nicht nur auf die Unternehmens-IT beziehen, sondern auch auf die vernetzten Maschinen und Anlagen in den Produktionsanlagen, ja sogar auf den einzelnen Schaltschrank mit einem Profinet- oder TSN-basierten Netzwerk zur Steuerung einer Verpackungsanlage sowie auf das Modbus-Netzwerk für das Gebäudemanagement; also auch auf alles, was man mittlerweile unter dem Oberbegriff »Operation Technology« zusammenfasst. Hier wird es dann schon etwas anspruchsvoller, da OT-Technik häufig als »Black Box« betrieben wird.

In vielen Organisationen sind zunächst einmal grundlegende Aufgaben zu lösen, um NIS-2 umzusetzen. Es beginnt schon mit dem erforderlichen Expertenwissen, um einen Cyberangriff überhaupt zu erkennen und zieht sich wie ein roter Faden bis zu den Auswirkungen einer erfolgreichen Attacke durch das gesamte Thema.

Der Autor: Klaus-Dieter Walter ist Mitglied der Geschäftsführung bei SSV Software Systems.

© SSV Software

In der IT-Welt könnte ein Angreifer beispielsweise den Datenbestand eines Unternehmens verschlüsseln, um einen Erpressungsversuch zu starten. Dass mit einem Mal der Zugriff auf die Unternehmensdatenbanken nicht mehr möglich ist, merken die meisten Opfer in der Regel sofort. Trotzdem können Sie ihren operativen Betrieb vermutlich in einem Notfallmodus fortsetzen. Mit etwas Glück und einer guten Backup-Strategie lässt sich das Problem eventuell sogar in relativ kurzer Zeit lösen. In der OT-Welt sind etwa durch eine kleine Datenmanipulation an einer Produktionsmaschine oder einer Softwarekomponente fehlerhafte Produkte erzeugbar, die unter Umständen die automatischen Endtests erfolgreich durchlaufen und an Kunden und Handelspartner geliefert werden. Hier meldet sich der Angreifer eventuell erst nach einem Jahr, also nachdem beispielsweise schon zigtausende fehlerhafte Baugruppen ausgeliefert wurden und sogar mit der Manipulation immer noch weiter produziert wird, weil ja bisher auf Grund fehlender Erfahrungswerte niemand etwas gemerkt hat. Eine weitere Herausforderung ist das in den von NIS-2 betroffenen Unternehmen vorhandene Systemverständnis: für die IT-Netzwerke und die IT-Systeme gibt es in der Regel firmeninterne Experten, die mit den Zusammenhängen vertraut sind. Hinsichtlich der vernetzten OT-Baugruppen und Systeme ist das nicht immer der Fall - für die Beurteilung der Auswirkungen des Echtzeit-Ethernet-Jitter auf die Toleranzen einer CNC-Maschine ist per se ein völlig anderes Know-how notwendig!