Neues EU-Securitygesetz trifft kleine Betriebe unverhältnismäßig hart

Die EU-Kommission plant umfassende Auflagen zur Vermeidung und Meldung von Cyberangriffen. Diese betreffen zukünftig fast alle mittelständischen Industriebetriebe. Der VDMA fordert eine Entlastung für Kleinunternehmen.

Nach den Plänen der EU-Kommission sollen künftig praktisch alle Industrieunternehmen dazu verpflichtet werden, umfangreiche Cybersecurity-Auflagen zu erfüllen – egal, ob es sich dabei um große Kraftwerksbetreiber handelt oder um Nischenbetriebe. Der VDMA unterstützt zwar den Ausbau von Cybersecurity in der Industrie, bemängelt aber, dass in der geplanten Richtlinie zur Netzwerksicherheit (NIS 2) nicht genauer unterschieden werden soll zwischen Unternehmen, die zum Beispiel in der kritischen Infrastruktur tätig sind und anderen Firmen. Damit würde insbesondere kleinen Unternehmen eine erhebliche finanzielle Belastung aufgebürdet, hinzu kämen große Rechtsunsicherheiten.

Als besonders problematisch wertet der VDMA die künftige Klassifizierung von Unternehmen. Neben „wesentlichen Einrichtungen“ ist in der NIS-2-Richtlinie eine neue Kategorie von sogenannten „wichtigen Einrichtungen“ vorgesehen, zu denen nach derzeitigem Stand auch Unternehmen des Maschinen- und Anlagenbaus zählen. „Es gibt bei den Auflagen keine Unterscheidung zwischen den Kategorien wesentlich und wichtig. Grundsätzlich sollen die Anforderungen für ein als ,wesentlich‘ einzuordnendes Kernkraftwerk im gleichen Maße gelten, wie für einen Maschinenbauer mit 50 Mitarbeitern – unabhängig davon, was das Unternehmen produziert. Das lehnen wir ab“, sagt Thilo Brodtmann, Hauptgeschäftsführer des VDMA. Ausgenommen von den Auflagen sind in der nun geplanten Richtlinie lediglich Kleinstunternehmen mit weniger als 50 Mitarbeitern. „Sollte es bei dieser Fassung bleiben, wären mehr als 9000 europäische Maschinenbauer betroffen, davon mehr als 3000 in Deutschland“, sagt Brodtmann. „Drei Viertel der betroffenen Unternehmen haben dabei weniger als 250 Mitarbeiter.“

Der VDMA fordert die Beteiligten am nun anstehenden Gesetzgebungsprozess daher auf, die Auflagen für die Einrichtungen der Kategorie „wichtig“ zu entschärfen und Unklarheiten zu beseitigen. Auf diese Weise könnte der Aufwand – auch für die Behörden – reduziert werden, ohne dass die Ziele des Vorschlags in Bezug auf das angestrebte Cybersecurity-Niveau gesenkt werden müssten.

Bei Verstößen drohen hohe Bußgelder
Alle betroffenen Unternehmen sollen strenge Auflagen für das Management von Cyberrisiken und Meldepflichten erhalten. Sie müssen beispielsweise nachweisen, dass schlüssige Konzepte für die unternehmensspezifische Risikoanalyse, für die Bewältigung von Sicherheitsvorfällen und für die Sicherstellung der Security von Zulieferern erarbeitet wurden. Sicherheitsvorfälle „mit erheblichen Auswirkungen“ müssen innerhalb von 24 Stunden an die Behörden gemeldet werden. Die Einhaltung dieser Vorschriften soll von den Mitgliedsstaaten überwacht werden. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Über den VDMA, Verband Deutscher Maschinen- und Anlagenbau e.V.

Der VDMA vertritt rund 3300 deutsche und europäische Unternehmen des Maschinen- und Anlagenbaus. Die Industrie steht für Innovation, Exportorientierung, Mittelstand und beschäftigt rund vier Millionen Menschen in Europa, davon mehr als eine Million allein in Deutschland.

Firmenkontakt und Herausgeber der Meldung:

VDMA, Verband Deutscher Maschinen- und Anlagenbau e.V.
Lyoner Str. 18
60528 Frankfurt
Telefon: +49 (69) 6603-0
Telefax: +49 (69) 6603-1511
http://www.vdma.org/

Ansprechpartner:
Holger Paul
Leiter Kommunikation und Pressesprecher
Telefon: +49 (69) 6603-1922
Fax: +49 (69) 6603-2922
E-Mail: holger.paul@vdma.org
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel