Verena Wolf und Christian Bünger geben Einblicke in die Herausforderungen, die die NIS2-Richtlinie für die Chemie- und Pharmaindustrie mit sich bringt, und erläutern, welche Unternehmen betroffen sind und welche Kriterien hierfür gelten. Sie diskutieren die nationale Umsetzung der Richtlinie in Deutschland und die damit verbundenen Risiken sowie die Notwendigkeit einer Harmonisierung der NIS2-Richtlinie mit anderen EU-Mitgliedstaaten. Besonders im Fokus stehen die spezifischen Herausforderungen für mittelständische Unternehmen bei der Einhaltung der NIS2-Richtlinie und die Gefahr, dass die Richtlinie zu einem Bürokratiemonster wird. Unsere Gesprächspartner betonen die Bedeutung der Zusammenarbeit zwischen Industrie und Behörden und die Balance zwischen der Offenlegung von Informationen und dem Schutz von Betriebs- und Geschäftsgeheimnissen.
Das Interview führte Dr. Etwina Gandert, Chefredakteurin CITplus.
Der VCI im Gespräch über die Auswirkungen der neuen EU-Richtlinien auf Unternehmen und die Notwendigkeit einer harmonisierten Umsetzung.
CITplus: Bitte erläutern Sie den Unterschied zwischen dem Cyber Resilience Act und der NIS2-Richtlinie. Was sind die Kernpunkte von NIS2 und die daraus abgeleiteten Aufgaben?
Christian Bünger: Der Cyber Resilience Act (CRA) konzentriert sich auf die Sicherheit von Produkten mit digitalen Elementen, während die NIS2-Richtlinie auf die Sicherheit von Netz- und Informationssystemen in verschiedenen Sektoren abzielt.
Angesichts der signifikanten Zunahme schwerwiegender Cyberangriffe auf Unternehmen und staatliche Einrichtungen möchte die EU-Kommission die Cyberresilienz europaweit stärken. Die NIS2-Richtlinie stammt aus dem Jahr 2022 und hätte bis Oktober 2024 in nationales Recht umgesetzt werden müssen. Dies ist in Deutschland bislang nicht erfolgt.
Der Anwendungsbereich wurde mit der NIS2-Richtlinie deutlich erweitert. Neben sogenannten KRITIS-Unternehmen – kritische Infrastruktur – werden die Kategorien „wichtige“ und „besonders wichtige Einrichtungen“ neu geschaffen. Zu den „wichtigen Einrichtungen“ im Sinne der Richtlinie gehört auch die Chemie- und Pharmaindustrie.
Die NIS2-Richtlinie sieht unter anderem Melde- und Registrierungspflichten, Risikomanagementmaßnahmen, Schulungspflichten für die Leitungsebene sowie ein umfangreiches Bußgeld- und Haftungsregime vor.
Welche Unternehmen sind von der Richtlinie betroffen und welche Kriterien gelten hierfür?
Verena Wolf: Grundsätzlich fallen gemäß An-hang II Nr. 3 der NIS2-Richtlinie alle Hersteller von Stoffen, Gemischen und Erzeugnissen unter das Gesetz, sofern sie nicht aufgrund ihrer Unternehmensgröße als Kleinst- und Kleinunternehmen davon ausgenommen sind. Es ist davon auszugehen, dass ein Großteil der deutschen Chemie- und Pharmaindustrie von den Vorgaben der NIS2-Richtlinie betroffen ist. Da bisher noch keine Umsetzung in nationales Recht erfolgt ist, kann die Frage der konkreten Betroffenheit nicht abschließend bewertet werden.
Der Verband hat eine 1:1-Umsetzung der EU-Richtlinie gefordert. Wo ist der Gesetzgeber in Deutschland abgewichen und
welche Risiken sehen Sie darin?
C. Bünger: Die nationale Umsetzung wird im NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG – geregelt. Das parlamentarische Verfahren wurde aufgrund der vorgezogenen Neuwahlen nicht abgeschlossen. Der im Kabinett abgestimmte Entwurf weicht unter anderem bei folgenden zentralen Punkten von der EU-Richtlinie ab: Eine Änderung bei der Definition „wichtige Einrichtung“ führt dazu, dass deutlich mehr Unternehmen unter den Anwendungsbereich fallen. Zusätzlich ist der Verweis auf die REACH-Verordnung unklar formuliert. Hierdurch entstehen Rechtsunsicherheiten und weitere bürokratische Lasten, da eine Prüfung im Regelfall viel Zeit benötigt und/oder externer Unterstützung bedarf.
Für wie wichtig halten Sie die Harmonisierung der NIS2-Richtlinie mit anderen EU-Mitgliedstaaten für international tätige Chemie- und Pharmaunternehmen?
C. Bünger: Eine solche Harmonisierung ist aus unserer Sicht zwingend notwendig, da viele Chemie- und Pharmaunternehmen EU-weit tätig sind. Derzeit müssen für jedes Land separate Prozesse und Abläufe installiert werden. Meldungen und Registrierung müssen von jeder Landesgesellschaft separat durchgeführt werden. Eine zentrale Meldung ist nicht vorgesehen. Dies führt zu einem erheblichen Bürokratieaufwand und ist besonders für die vielen kleinen und mittleren Unternehmen unserer Branche eine große Herausforderung.
Welche spezifischen Herausforderungen sehen Sie für mittelständische Unternehmen bei der Einhaltung der NIS2-Richtlinie?
V. Wolf: Viele Unternehmen können die NIS2-Richtlinie nicht vollständig allein implementieren. Hierfür benötigen sie externe Unterstützung. Diese Beratungsangebote helfen allerdings aufgrund der bestehenden rechtlichen Unsicherheiten nur bedingt weiter. Und die fehlende nationale Umsetzung verstärkt den ohnehin bestehenden Zeitdruck, da einige Anforderungen noch unklar sind und dennoch fristgerecht umgesetzt werden müssen. Diese fehlende Zeit wird aber dringend benötigt, um die Prozesse und Strukturen in den Unternehmen zu etablieren. Die schwierige wirtschaftliche Lage in der Branche sowie der Fachkräftemangel verschärfen die Situation zusätzlich.
Wird die neue Richtlinie zu einem neuen Bürokratiemonster? Wie lässt sich die Bürokratiebelastung in den Anwendungsbereich der NIS2-Richtlinie reduzieren?
C. Bünger: Es besteht eine reale Gefahr, dass die NIS2-Richtlinie zu einem Bürokratiemonster wird. Wir nehmen zwar wahr, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemüht ist, die Unternehmen bei der Umsetzung zu unterstützen. Der Behörde sind jedoch die Hände gebunden, da sie noch nicht formal benannt ist. Unklar ist auch die Zusammenarbeit mit anderen Behörden wie dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Und schließlich droht eine Doppelregulierung, da das Thema Cybersicherheit Anknüpfungspunkte zu verschiedenen anderen gesetzlichen Regelungen hat – unter anderem zum KRITIS-Dachgesetz.
Wir sehen die Notwendigkeit, diese Unklarheiten so schnell wie möglich zu beseitigen. Auch sollte die zuständige Behörde, voraussichtlich das BSI, die Unternehmen mit Leitfäden und Praxishilfen unterstützen. Gleichzeitig sollte die Eigenverantwortung der Unternehmen im Vordergrund stehen und eine Regulierung – dazu gehört auch der Bußgeldrahmen – mit Augenmaß erfolgen. Das Ziel der NIS2-Richtlinie ist grundsätzlich nicht zu kritisieren, bei der Umsetzung hapert es aber noch.
Welche Rolle spielt dabei die Zusammen-arbeit zwischen Industrie und Behörden? Sind digitale Prozesse sowohl in Unternehmen als auch in Behörden ausreichend etabliert?
V. Wolf: Die digitale Zusammenarbeit zwischen Industrie und Behörden wird zukünftig – nicht nur im Kontext der Digitalisierung von Planungs- und Genehmigungsverfahren – deutlich zunehmen. Da die umfassenden Anforderungen der NIS2-Richtlinie nicht oder nur in sehr geringem Maße für Behörden gelten, ist eine durchgehende Stärkung der Cybersicherheit nicht gewährleistet. Eine Kette ist nur so stark wie das schwächste Glied.
Hinzu kommt, dass viele Behörden aktuell noch gar nicht digital arbeiten. Viele Prozesse sind zumindest teilweise elektronisch, aber es scheitert oft an einer durchgehenden Digitalisierung aller beteiligten Behörden. In einer Umfrage unter unseren Mitgliedsunternehmen wurden unter anderem Medienbrüche – elektronisch zu analog zu elektronisch – bemängelt.
Wie beurteilen Sie die Balance zwischen der Offenlegung von Informationen und dem Schutz von Betriebs- und Geschäftsgeheimnissen im Kontext der NIS2-Richtlinie?
V. Wolf: Aus Sicht des VCI fehlt diese Balance. Zukünftig werden viele schützenswerte Unternehmensinformationen in digitaler Form den Behörden vorgelegt. Die Historie der erfolgten Cyberangriffe auf Behörden zeigt aber, wie wichtig ein Schutz dieser Systeme ist. Dieser Themenkomplex wird von der NIS2-Richtlinie nicht adäquat angesprochen.
Gleichzeitig besteht für Verfahren mit Öffentlichkeitsbeteiligung, die sich aus dem Bundes-Immissionsschutzgesetz ergeben, die Notwendigkeit, umfassende Planungs- und Genehmigungsunterlagen mit schützenswerten Informationen im Internet bereitzustellen. Dazu zählen zum Beispiel Statik, Sicherheitskonzepte, Maschinenpläne, Energieversorgungskonzepte oder Umgebungspläne. Dies konterkariert jedoch die Bemühungen um einen umfassenden Schutz vor Cyberangriffen. In diesem konkreten Fall benötigt es keinen Angriff, da die Unterlagen bereits frei verfügbar sind. Die Chemie- und Pharmaindustrie ist hier besonders betroffen, da die Mehrzahl der Genehmigungsverfahren eine Öffentlichkeitsbeteiligung vorsieht.
Der VCI ist überzeugt, dass eine gute Beteiligung der Öffentlichkeit erreicht werden kann, ohne dass Unterlagen umfassend im Internet bereitgestellt werden. Wir haben hierzu vielfältige Vorschläge eingebracht, wie einen Bürgerbericht. Auch sollten Behörden und Unternehmen zwingend ein gemeinsames Verständnis darüber entwickeln, was ein Geschäfts- und Betriebsgeheimnis ist. Denn: Unklarheiten verlängern die Verfahren und führen sowohl bei den Behörden als auch den Unternehmen zu unnötiger Bürokratie.
