Was hat Maschinenbau mit Cybersecurity und der NIS-2-Richtlinie (RL für hohes gemeinsames Cybersicherheitsniveau der EU) zu tun?
1. Der Kontext zwischen Maschinenbau und NIS-2-Richtlinie
Maschinenbau und NIS2Richtlinien haben sehr viel miteinander zu tun. Denn europäische Maschinenbauer, die
- mehr als 50 Mitarbeiter beschäftigen und
- einen Jahresumsatz von mehr als 10 Mio. Euro Umsatz generieren
- oder deren Jahresbilanzsumme mehr als 10 Mio. Euro ausweist
- und in Abteilung 28 der Wirtschaftszweigklassifizierung der NACE Rev. 2 einzuordnen sind (NACE = Nomenclature statistique des activités économiques dans la Communauté européenne)
unterliegen als „wichtige Einrichtung“ den Anforderungen der NIS-2-Richtlinie, genauer gesagt dem derzeit noch nicht in Kraft getretenen deutschen Umsetzungsgesetz (NIS2UmsuCG) zur NIS-2-Richtlinie.
2. Konsequenz der Einstufung als „wichtige Einrichtung“
Konsequenz ist, dass diese Unternehmen mit Inkrafttreten des dt. Umsetzungsgesetzes als „wichtige Einrichtungen“ erhöhte Sorgfaltspflichten im Hinblick auf ihre Cybersicherheit treffen. Es besteht insoweit die Pflicht
- zur Registrierung bei der zuständigen Behörde (BSI)
- zur Umsetzung angemessener Cyber-Risikomanagementmaßnahmen
- zur Meldung von erheblichen Sicherheitsvorfällen beim BSI
3. Die Umsetzung in nationales Recht (NIS2UmsuCG)
Die NIS-2-Richtlinie ist als europäische Richtlinie nicht unmittelbar auf europäische Unternehmen anwendbar. Sie muss vielmehr von den Mitgliedsländern in Form von nationalen Gesetzen umgesetzt werden. In Deutschland erfolgt dies über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Die Richtlinie sieht vor, dass die Mitgliedsstaaten die Umsetzung in nationales Recht bis spätestens 17.10.2024 vollzogen haben müssen. In Deutschland steht derzeit nur noch die Verkündung des Umsetzungsgesetzes aus. Das NIS2UmsuCG soll laut Gesetzesentwurf am Tag nach der Verkündung in Kraft treten. Es ersetzt das BSI-Gesetz aus dem Jahr 2009.
Unternehmen sollten also unverzüglich prüfen, ob sie in den Anwendungsbereich der NIS-2-Richtlinie bzw. des dt. Umsetzungsgesetzes fallen. Ist das der Fall, gilt es sich unverzüglich mit den gesetzlichen Anforderungen auseinander zu setzen.