Industrial Security beschreibt den Schutz von Produktions- und Industrieanlagen vor absichtlich oder unabsichtlich herbeigeführten Fehlern. Früher war Security in Form von IT-Sicherheit Aufgabe der Informationstechnologie (IT). Heute sind auch Produktions- und Industrieanlagen stark mit der Informationstechnologie vernetzt. Angreifer können leichter in Automatisierungs- und Steuerungssysteme vordringen, diese manipulieren und sogar die Safety (Maschinensicherheit) beeinträchtigen. Damit müssen sich nun auch Mitarbeiter, die keine IT-Experten sind, mit potenziellen Bedrohungen auseinandersetzen. Industrial Security befasst sich mit der Sicherheit von Steuerungsnetzwerken von Produktions- und Industrieanlagen in den Bereichen Fabrikautomation und Prozesssteuerung.
NIS 2 Cybersicherheit nun per Gesetz vorgeschrieben
Industrial Security wird damit von der Kür zur Pflicht
Industrial Security für Industrieanlagen
Cybersecurity Pflichten der NIS 2
Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) regelt die Cyber- und Informationssicherheit von bestimmten Unternehmen. Ab 18. Oktober 2024 wird die Verpflichtung zur Cybersecurity rechtskräftig.
Wer unter die NIS 2 fällt, hängt von der Branche und der Unternehmensgröße bzw. -umsatz ab! Die Nichteinhaltung zieht jedenfalls hohe Strafen nach sich!
Stellen Sie im kostenlosen Webinar von Andreas Willert fest, ob Ihr Unternehmen in den Wirkbereich der NIS 2 fällt.
Von der NIS 2 betroffene Branchen
Nach der NIS 2 benötigen betroffene Einrichtungen ab Oktober 2024 einen verbesserten Risikomanagementansatz. Auch Lieferketten und Abhängigkeiten von Partnerunternehmen müssen betrachtet und inkludiert werden. Bei „significant incidents” muss binnen 24 Stunden eine Frühwarnung und binnen 72 Stunden eine Einschätzung an die Behörde erfolgen.
Nachstehend die Auflistung der betroffenen Branchen.
Innerhalb dieser Branchen fallen Unternehmen mit mehr als 50 Beschäftigten ODER die einen Jahresumsatz bzw. Jahresbilanz von über 10 Mio. EUR aufweisen.
Wesentliche Einrichtungen (Anhang I):
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser (neu)
- Digitale Infrastruktur
- ICT-service Management B2B (neu)
- öffentliche Verwaltung (neu)Weltraum (neu)
Wichtige Einrichtungen (Anhang II):
- Post- und Kurierdienste (neu)
- Abfallbewirtschaftung (neu)
- Produktion, Herstellung und Handel mit chemischen Stoffen (neu)
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln (neu)
- Verarbeitendes/Herstellendes Gewerbe (neu)
- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
- Herstellung von elektrischen Ausrüstungen
- Maschinenbau
- Herstellung von Kraftwagen, Kraftwagenteilen und sonstiger Fahrzeugbau
- Anbieter digitaler Dienste
- Forschung (neu, fakultativ)
Strafrahmen
Für Verstöße gegen Artikel 21 oder 23 (Cyber Security Maßnahmen und Meldungen) liegen die Sanktionen für wichtige Einrichtungen bei 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes und bei wesentlichen Einrichtungen bei 10 Mio. EUR oder 2 % des weltweiten Umsatzes.
Natürliche Personen (leitende Angestellte) können für Pflichtverletzung haftbar gemacht werden.
Maßnahmen zur regelkonformen Umsetzung der NIS 2
Regelmäßige und gezielte Audits, Vor-Ort & Off-Site Kontrollen Sicherheitsscans, Ersuchen um Informationen und Zugang zu Beweismitteln. Je nach Branche unterscheidet man zwischen vollwertiger Aufsicht (ex ante & ex post) für wesentliche Einrichtungen und abgeschwächte Aufsicht (ex post) für wichtige Einrichtungen.
Pilz Ges.m.b.H. Sichere Automation
Wagramer Straße 19
1220 Wien
Österreich
Telefon: +43 1 7986263-0
E-Mail: pilz@pilz.at
Telefon: +43 1 7986263-444
E-Mail: techsupport@pilz.at