Sektor verarbeitendes Gewerbe

Der Sektor verarbeitendes Gewerbe ist seit dem NIS2-Umsetzungsgesetz ein kritischer Sektor. Unternehmen im Sektor werden ab 2024 abhängig ihrer Unternehmens­größe reguliert. Einrichtungen, die Wirtschafts­tätigkeiten ausüben bzw. Güter (NACE) produzieren, sind im Sektor relevant:

  1. Herstellung Medizinprodukte und In-vitro-Diagnostika
  2. Herstellung von DV-Geräte, Elektronik und Optik (NACE 26 und 27)
  3. Maschinenbau (NACE 28)
  4. Herstellung von Kraftwagen und Teilen (NACE 29)
  5. Sonstiger Fahrzeugbau (NACE 30)

Bieten Unternehmen diese Dienstleistung anderen an und überschreiten dabei NIS2-Kriterien von Unternehmens­größe, werden sie zu wichtigen Einrichtungen. Die Schwellenwerte beginnen ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz.

Die in NIS2 neu definierten Einrichtungen gehen über die bisherigen Betreiber Kritischer Infrastrukturen hinaus – mit mehr betroffenen Sektoren, viel mehr Unternehmen und umfangreicheren Cybersecurity-Pflichten. Die NIS2-Regulierung in Deutschland setzt ab 2024 neue EU-Regulierung um, kann sich als Entwurf bis dahin aber noch verändern.

NIS2 in der Industrie

Unternehmen

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Der Sektor verarbeitendes Gewerbe ist ab 2024 neu in NIS2 reguliert.

Es gibt zwei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung:

  1. Betreiber kritischer Anlagen (KRITIS-Betreiber) sind im Sektor nicht definiert.
  2. Wichtige Einrichtungen werden nach Größe des Unternehmens im Sektor identifiziert, es gibt dabei zwei Optionen:
    1. Unternehmen ab 50 Mitarbeitern oder
    2. Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR

In den aktuellen Entwürfen umfasst der Sektor Unternehmen, die bestimmte Produkt­klassen produzieren: fünf NACE C Güter­kategorien sowie Medizin­produkte/Diagnostika.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Oktober 2023
Einrichtung Definition
Herstellung Medizinprodukte und In-vitro-Diagnostika
  • Unternehmen, die Medizinprodukte im Sinne Artikel 2 Nr. 1 Verordnung (EU) 2017/745 herstellen
  • Einrichtungen, die In-vitro-Diagnostika im Sinne Artikel 2 Nr. 2 Verordnung (EU) 2017/746 herstellen
  • Ausnahme: Unternehmen, die kritische Medizinprodukte für Notlagen herstellen (wahrscheinlich KRITIS Gesundheit 4.1.5)
Herstellung von DV-Geräten, Elektronik und Optik NACE C 26 Herstellung von Datenverarbeitungs­geräten, elektronischen und optischen Erzeugnissen
  • 26.1: Elektronische Bauelemente und Leiterplatten
  • 26.2: Datenverarbeitungs­geräte und periphere Geräte
  • 26.3: Geräte und Einrichtungen der Telekommunikationstechnik
  • 26.4: Geräte der Unterhaltungselektronik
  • 26.5: Mess-, Kontroll-, Navigations- u. ä. Instrumente und Vorrichtungen; Uhren
  • 26.6: Bestrahlungs- und Elektrotherapiegeräte und elektromedizinische Geräte
  • 26.7: Optische und fotografische Instrumente und Geräte
  • 26.8: Magnetische und optische Datenträger
NACE C 27 Herstellung von elektrischen Ausrüstungen
  • 27.1: Elektromotoren, Generatoren, Transformatoren, Elektrizitätsverteilungs- und schalteinrichtungen
  • 27.2: Batterien und Akkumulatoren
  • 27.3: Kabel und elektrisches Installationsmaterial
  • 27.4: Elektrische Lampen und Leuchten
  • 27.5: Haushaltsgeräte
  • 27.9: Sonstige elektrische Ausrüstungen und Geräte anderweitig nicht genannt
Maschinenbau NACE C 28 Maschinenbau
  • 28.1: Nicht wirtschaftszweigspezifische Maschinen
  • 28.2: Sonstige nicht wirtschaftszweigspezifische Maschinen
  • 28.3: Land- und forstwirtschaftliche Maschinen
  • 28.4: Werkzeugmaschinen
  • 28.9: Maschinen für sonstige bestimmte Wirtschaftszweige
Herstellung von Kraftwagen und Teilen NACE C 29 Herstellung von Kraftwagen und Kraftwagenteilen
  • 29.1: Kraftwagen und Kraftwagenmotoren
  • 29.2: Karosserien, Aufbauten und Anhänger
  • 29.3: Teile und Zubehör für Kraftwagen
Sonstiger Fahrzeugbau NACE C 30 Sonstiger Fahrzeugbau
  • 30.1: Schiff- und Bootsbau
  • 30.2: Schienenfahrzeugbau
  • 30.3: Luft- und Raumfahrzeugbau
  • 30.4: Militärische Kampffahrzeuge
  • 30.5: Fahrzeuge anderweitig nicht genannt

up

Pflichten

NIS2-Einrichtungen unterliegen ab 2024 der NIS2-Regulierung mit Pflichten für IT-Sicherheit:

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich. Die Maßnahmen und Anforderungen werden teils noch in weitergehender Regulierung und Dokumenten durch Behörden konkretisiert werden müssen.

up

Weitere Informationen

Quellen

  1. Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
  2. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
  3. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
  4. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
  5. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
  6. NACE Rev. 2, Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft, ISSN 1977-0383, Eurostat 2008
  7. NACE Category C, Statistical Classification of Economic Activities in the European Community, Rev. 2 (2008), Eurostat