Die EU-Kommission plant, Industrieunternehmen dazu zu verpflichten, Auflagen zur Cybersecurity zu erfüllen. Dabei werde zwischen einem großen Kraftwerksbetreiber und einem kleinen Nischenbetrieb kein Unterschied gemacht, so der VDMA. Kleineren Unternehmen werde damit eine „erhebliche finanzielle Belastung aufgebürdet“, zu der Rechtsunsicherheiten hinzukämen.
Die geplante Richtlinie zur Netzwerksicherheit (NIS 2) richtet sich an „wesentliche Einrichtungen“ und „wichtige Einrichtungen“. Dazu gehören auch Unternehmen des Maschinen- und Anlagenbaus. „Es gibt bei den Auflagen keine Unterscheidung zwischen den Kategorien wesentlich und wichtig. Grundsätzlich sollen die Anforderungen für ein als ,wesentlich‘ einzuordnendes Kernkraftwerk im gleichen Maße gelten, wie für einen Maschinenbauer mit 50 Mitarbeitern – unabhängig davon, was das Unternehmen produziert. Das lehnen wir ab“, sagt Thilo Brodtmann, Hauptgeschäftsführer des VDMA.
Ausgenommen sind Kleinstunternehmen mit weniger als 50 Mitarbeitern. „Sollte es bei dieser Fassung bleiben, wären mehr als 9.000 europäische Maschinenbauer betroffen, davon mehr als 3.000 in Deutschland“, sagt Brodtmann. „Drei Viertel der betroffenen Unternehmen haben dabei weniger als 250 Mitarbeiter.“ Der VDMA fordert die Auflagen in der Kategorie „wichtig“ zu entschärfen
Alle betroffenen Unternehmen sollen strenge Auflagen für das Management von Cyberrisiken und Meldepflichten erhalten. Sie müssen beispielsweise nachweisen, dass schlüssige Konzepte für die unternehmensspezifische Risikoanalyse, für die Bewältigung von Sicherheitsvorfällen und für die Sicherstellung der Security von Zulieferern erarbeitet wurden. Sicherheitsvorfälle „mit erheblichen Auswirkungen“ müssen innerhalb von 24 Stunden an die Behörden gemeldet werden. Die Einhaltung dieser Vorschriften soll von den Mitgliedsstaaten überwacht werden. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
vdma.org