Egal ob Kraftwerksbetreiber, Nischenbetrieb oder mittelständischen Industriebetriebe – nach den Plänen der EU-Kommission sollen künftig praktisch alle Industrieunternehmen verpflichtet werden, Cybersecurity-Auflagen zu erfüllen. Diese sollen helfen, Cyberangriffe zu vermeiden und zu melden. Zwar unterstützt der VDMA den Ausbau von Cybersecurity in der Industrie, allerdings bemängelt der Verband, dass in der geplanten Richtlinie zur Netzwerksicherheit (NIS 2) keine Differenzierung der Unternehmen stattfindet. Beispielsweise betrifft die geplante Richtlinie Unternehmen, die in der kritischen Infrastruktur tätig sind, ebenso wie andere Firmen. Insbesondere kleine Unternehmen würde dadurch eine erhebliche finanzielle Belastung aufgebürdet, so der VDMA. Hinzu kämen große Rechtsunsicherheiten.

Als besonders problematisch wertet der VDMA die künftige Klassifizierung von Unternehmen: Neben »wesentlichen Einrichtungen« ist in der NIS-2-Richtlinie eine neue Kategorie von sogenannten »wichtigen Einrichtungen« vorgesehen, zu denen nach derzeitigem Stand auch Unternehmen des Maschinen- und Anlagenbaus zählen. »Es gibt bei den Auflagen keine Unterscheidung zwischen den Kategorien wesentlich und wichtig. Grundsätzlich sollen die Anforderungen für ein als ‚wesentlich‘ einzuordnendes Kernkraftwerk im gleichen Maße gelten, wie für einen Maschinenbauer mit 50 Mitarbeitern – unabhängig davon, was das Unternehmen produziert. Das lehnen wir ab«, so Thilo Brodtmann, Hauptgeschäftsführer des VDMA. Ausgenommen von den Auflagen sind in der nun geplanten Richtlinie lediglich Kleinstunternehmen mit weniger als 50 Mitarbeitern. »Sollte es bei dieser Fassung bleiben, wären mehr als 9000 europäische Maschinenbauer betroffen, davon mehr als 3000 in Deutschland«, sagt Brodtmann. »Drei Viertel der betroffenen Unternehmen haben dabei weniger als 250 Mitarbeiter.«

VDMA fordert Entlastung für Kleinunternehmen

VDMA-Hauptgeschäftsführer Thilo Brodtmann bezieht zum geplanten EU-Securitygesetz Stellung.

© VDMA

Der VDMA fordert die Beteiligten am nun anstehenden Gesetzgebungsprozess daher auf, die Auflagen für die Einrichtungen der Kategorie ‚wichtig‘ zu entschärfen und Unklarheiten zu beseitigen. Auf diese Weise könnte der Aufwand – auch für die Behörden - reduziert werden, ohne dass die Ziele des Vorschlags in Bezug auf das angestrebte Cybersecurity-Niveau gesenkt werden müssten.

Alle betroffenen Unternehmen sollen strenge Auflagen für das Management von Cyberrisiken und Meldepflichten erhalten. Sie müssen beispielsweise nachweisen, dass schlüssige Konzepte für die unternehmensspezifische Risikoanalyse, für die Bewältigung von Sicherheitsvorfällen und für die Sicherstellung der Security von Zulieferern erarbeitet wurden. Sicherheitsvorfälle »mit erheblichen Auswirkungen« müssen innerhalb von 24 Stunden an die Behörden gemeldet werden. Die Einhaltung dieser Vorschriften soll von den Mitgliedsstaaten überwacht werden. Bei Verstößen drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.