NIS-2 im Life Sciences-Umfeld erfolgreich umsetzen
Die im Herbst 2024 in Kraft tretende NIS-2-Verordnung verpflichtet erstmals auch kleine und mittlere Pharma- und Medizintechnikunternehmen, wirksame Maßnahmen zum Schutz ihrer digitalen Infrastruktur nachzuweisen. Um die entsprechenden Anforderungen fristgerecht umzusetzen und sich Wettbewerbsvorteile zu sichern, sollten Unternehmen nicht nur frühzeitig, sondern auch nachhaltig handeln und ihre IT-Strategie an den wachsenden Anforderungen der Cybersicherheit ausrichten.
Die Network and Information Systems Directive 2 (NIS-2) ist eine Gesetzesinitiative der Europäischen Union, die bis zum 17. Oktober dieses Jahres in nationales Recht umgesetzt werden muss. Ab diesem Zeitpunkt sind Unternehmen, die mit ihren kritischen Dienstleistungen in den Geltungsbereich der Richtlinie fallen, verpflichtet, Maßnahmen zum Schutz ihrer IT-Infrastruktur vor Cyber-Angriffen nachzuweisen. Dazu gehört neben einer risikobasierten Umsetzung technisch-organisatorischer Maßnahmen zur Absicherung der digitalen Systeme auch deren Wirksamkeitsnachweis in Form von externen Audits. Bei Verstößen drohen empfindliche Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes. Zudem gelten verschärfte Haftungsregeln für die Leitungsorgane der betroffenen Unternehmen.
Massive Ausweitung des Geltungsbereichs
Die Regelung betrifft verschiedene Branchen im KRITIS-nahen Umfeld, darunter Hersteller von pharmazeutischen Produkten, Medizintechnik oder In-vitro-Diagnostika. Durch die massive Absenkung der Schwellenwerte fallen zahlreiche Unternehmen in den Anwendungsbereich der Richtlinie, die bislang nicht zu den kritischen Infrastrukturen zählten. Waren bisher nur Pharmaunternehmen ab 4,65 Millionen in Verkehr gebrachten Packungen pro Jahr oder Medizintechnikhersteller ab einem Umsatzvolumen von 90 Millionen Euro pro Jahr KRITIS-pflichtig, fallen nach dem aktuellen Entwurf Unternehmen ab einer Größe von 50 Mitarbeitenden oder einem Jahresumsatz von 10 Millionen Euro unter die Regelung. Damit sind auch viele mittelständische Unternehmen betroffen. Hinzu kommt, dass die NIS-2-Richtlinie die gesamte Lieferkette in den Blick nimmt. Somit könnten neben den Herstellern selbst auch kritische Zulieferer und Dienstleister indirekt von der Regelung betroffen sein.
Drohende Überlastung durch multiple regulatorische Anforderungen
Insbesondere kleinere Unternehmen stehen angesichts der zusätzlichen regulatorischen Anforderungen vor enormen Herausforderungen: Die meisten von ihnen verfügen bislang weder über die notwendige Sicherheitsinfrastruktur, um die Anforderungen zu erfüllen, noch über entsprechende Erfahrung im Umgang mit Cybersicherheitsrichtlinien oder geeignete Ressourcen, um diese zeitnah umzusetzen. Hinzu kommt, dass die zusätzlichen Belastungen auf ein bereits stark reguliertes Branchenumfeld treffen. Die zusätzlichen Anforderungen stellen eine weitere finanzielle und kapazitative Belastung dar, die viele, insbesondere kleinere Unternehmen an ihre Belastungsgrenze bringen könnte.
Drei Erfolgsfaktoren für eine effiziente und nachhaltig vorteilhafte Umsetzung
Umgekehrt bietet die Situation die Chance, sich durch frühzeitiges und vorausschauendes Handeln gegenüber Wettbewerbern, die vor den gleichen Herausforderungen stehen, Wettbewerbsvorteile zu erarbeiten. Dafür sind drei Punkte entscheidend:
- Frühzeitig starten und Ressourcen sichern:
Durch die im Rahmen von NIS-2 drastisch gesenkten Schwellenwerte stehen viele Organisationen auf einen Schlag vor der Herausforderung, die geforderten Schutzmaßnahmen innerhalb der gesetzlich vorgeschriebenen Frist umsetzen und nachweisen zu müssen. Da die wenigsten Unternehmen diese Aufgabe mit eigenen Ressourcen bewältigen können, ist davon auszugehen, dass der Bedarf an Fachkräften im ohnehin angespannten IT-Sicherheitsbereich massiv ansteigen bzw. die Nachfrage nach externen Dienstleistern zunehmen wird. Insbesondere kleine und mittlere Unternehmen könnten angesichts dieses angespannten Arbeits- bzw. Anbietermarktes Schwierigkeiten haben, die benötigten Experten zu sichern. Neben Fachkräften und Beratungsressourcen betrifft dieser Engpass auch Auditoren. Um diesen Schwierigkeiten zu entgehen, sollten sich Pharma- und Medizintechnikhersteller möglichst frühzeitig mit dem zukünftigen Bedarf auseinandersetzen und die notwendigen internen Ressourcen aufbauen bzw. sich externe Ressourcen sichern.
- IT-Strategie an wachsenden Sicherheitsanforderungen ausrichten:
Die IT-Strategie der meisten Pharma- und Medizintechnikunternehmen war bisher stark auf den On-Premise-Betrieb ausgerichtet, um die Validierungsanforderungen des Arzneimittelrechts zu erfüllen und einen regelkonformen Betrieb sicherzustellen. Cloud-Lösungen hingegen wurden aufgrund des vermeintlichen Kontrollverlustes eher gemieden. Mit den gestiegenen regulatorischen Anforderungen an die Cybersicherheit durch NIS-2 sowie einer dramatisch veränderten Bedrohungslage durch zunehmende Cyberangriffe findet hier ein Umdenken statt. Die Regulierung wird dabei zum Treiber der Cloud-Transformation. Denn viele Sicherheitsanforderungen lassen sich in der Cloud deutlich effizienter und umfassender abbilden als in selbst betriebenen Systemen. Gerade für kleinere Organisationen, die nicht über die notwendigen Ressourcen und das Know-how verfügen, um eine hochgerüstete IT-Sicherheitsorganisation dauerhaft selbst zu betreiben, bieten die Sicherheitskonzepte der Hyperscaler oft ein deutlich höheres Schutzniveau. Gleichzeitig sinkt der Bedarf an schwer zu findenden IT-Sicherheitsspezialisten. Unternehmen sollten diese Aspekte frühzeitig in ihrer IT-Strategie berücksichtigen. So lassen sich nicht nur Kosten bei der Umsetzung von NIS-2 von vornherein vermeiden, sondern auch langfristige Effizienz- und Wettbewerbsvorteile durch eine effiziente, skalierbare und hochzuverlässige Sicherheitsarchitektur realisieren.
- Überblick über kritische Geschäftsprozesse gewinnen:
Um die Anforderungen der NIS-2 fristgerecht, effizient und planbar umsetzen zu können, ist es wichtig, den zeitlichen und personellen Aufwand für die Umsetzung und Auditierung zu kennen. Diese hängen im Wesentlichen von der jeweiligen Unternehmensgröße, der Geschäftstätigkeit und dem Umfang bzw. der Komplexität der eingesetzten Systeme ab. Für Unternehmen gilt es daher in einem ersten Schritt zu ermitteln, welche Auswirkungen die NIS-2-Anforderungen auf die Geschäftsprozesse bzw. die Geschäftstätigkeit und den Betrieb der IT-Systeme haben. Die so gewonnenen Erkenntnisse liefern nicht nur Hinweise auf den erforderlichen Zeit- und Ressourcenaufwand, sondern bilden auch die Grundlage für eine auf Cybersecurity ausgerichtete IT-Strategie und ermöglichen eine sinnvolle Priorisierung der darin enthaltenen Initiativen und Maßnahmen im Sinne einer NIS-2-Roadmap-Planung. Dabei sind alle Systeme zu berücksichtigen, die in der Wertschöpfungskette eine bedeutende Rolle spielen, vom Warenwirtschaftssystem über die Produktionssteuerungssysteme bis hin zu den Laborinformations- und Managementsystemen (LIMS) sowie den Logistiksteuerungssystemen. Dies setzt eine genaue Kenntnis der fachlichen Prozesse voraus.
Fazit: Frühes Handeln sichert Wettbewerbsvorteile
Für Unternehmen der Pharma- und Medizintechnikbranche läuft die Zeit: Nach Inkrafttreten der NIS-2-Verordnung in Deutschland Mitte Oktober bleiben ihnen voraussichtlich 1-2 Jahre Übergangsfrist, um entsprechende Maßnahmen nachzuweisen. Dies stellt insbesondere kleine und mittlere Unternehmen vor immense Herausforderungen. Damit die zusätzlichen regulatorischen Anforderungen nicht zu einer Überforderung der ohnehin schon stark regulierten Unternehmen führen, sollten sich Hersteller proaktiv mit dem Thema auseinandersetzen und entsprechende Umsetzungsstrategien entwickeln. Entscheidend ist dabei eine ganzheitliche Perspektive, die die gesamte IT-Strategie in den Blick nimmt. Richtig umgesetzt, können Unternehmen damit nicht nur den Umsetzungsaufwand minimieren, sondern auch echte Wettbewerbsvorteile erzielen. Aufgrund der angespannten Fachkräftesituation wird Schnelligkeit zum entscheidenden Faktor. Je früher Unternehmen aktiv werden, desto besser können sie sich auf die Anforderungen einstellen.