VDMA zur EU-Richtlinie Netzwerksicherheit

22 Mrz


Die EU-Kommission plant, Industrieunternehmen dazu zu verpflichten, weitreichende Auflagen zur Cybersecurity zu erfüllen. Diese würden kleine Betriebe unverhältnismäßig hart treffen, kritisiert der Verband Deutscher Maschinen- und Anlagenbauer (VDMA). Der Verband befürworte zwar weitreichende Maßnahmen zum Schutz gegen Cyberangriffe. Die EU-Pläne machten aber zwischen einem großen Kraftwerksbetreiber und einem kleinen Nischenbetrieb keinen Unterschied, so der VDMA. Kleinen Unternehmen werde eine erhebliche finanzielle Belastung aufgebürdet, und das noch verbunden mit Rechtsunsicherheiten.

Die geplante Richtlinie zur Netzwerksicherheit (NIS 2) richte sich an „wesentliche Einrichtungen“ und „wichtige Einrichtungen“. Dazu gehören auch Unternehmen des Maschinen- und Anlagenbaus. „Es gibt bei den Auflagen keine Unterscheidung zwischen den Kategorien wesentlich und wichtig. Grundsätzlich sollen die Anforderungen für ein als ,wesentlich‘ einzuordnendes Kernkraftwerk im gleichen Maße gelten, wie für einen Maschinenbauer mit 50 Mitarbeitern – unabhängig davon, was das Unternehmen produziert. Das lehnen wir ab“, sagt Thilo Brodtmann, Hauptgeschäftsführer des VDMA.

Ausgenommen sind nur Kleinstunternehmen mit weniger als 50 Mitarbeitern. Sollte es dabei bleiben, wären mehr als 9.000 europäische Maschinenbauer betroffen, mehr als 3.000 in Deutschland. Drei Viertel der betroffenen Unternehmen haben dabei weniger als 250 Mitarbeiter. Der VDMA fordert die Auflagen in der Kategorie „wichtig“ zu entschärfen

Alle betroffenen Unternehmen sollen strenge Auflagen für das Management von Cyberrisiken und Meldepflichten erhalten. Sie müssen etwa nachweisen, dass schlüssige Konzepte für die unternehmensspezifische Risikoanalyse, für die Bewältigung von Sicherheitsvorfällen und für die Sicherstellung der Security von Zulieferern erarbeitet wurden. Sicherheitsvorfälle „mit erheblichen Auswirkungen“ müssen ohne Verzug den Behörden gemeldet werden.

Die Einhaltung dieser Vorschriften soll von den Mitgliedsstaaten überwacht werden. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Das Positionspapier finden Sie hier