NIS-2 für Defence Unternehmen
Beratung Verteidigungs- und Rüstungsindustrie
NIS-2 für Unternehmen der Verteidigungs- und Rüstungsindustrie
Für die klassische Rüstungsindustrie wird NIS‑2 in der Praxis fast immer „scharf“ greifen – entweder direkt über den Sektor „Herstellung kritischer Produkte“ bzw. verarbeitendes Gewerbe oder indirekt über die Lieferkette von KRITIS‑/NIS‑2‑Unternehmen. Gleichzeitig werden die bisherigen deutschen Sonderregeln für „Unternehmen im besonderen öffentlichen Interesse (UBI) – Rüstung“ ins NIS‑2‑Regime überführt.
Einordnung der Rüstungsindustrie unter NIS‑2
- Die EU‑Richtlinie NIS‑2 erweitert den Kreis kritischer Sektoren u. a. um „Herstellung bestimmter kritischer Produkte“, worunter Waffen, militärische Systeme und zugehörige Komponenten fallen können.
- In Deutschland wurden Hersteller von Rüstungsgütern und VS‑Produkten bislang als UBI‑Gruppe „Rüstung“ im IT‑Sicherheitsgesetz 2.0 reguliert; mit der NIS‑2‑Umsetzung gehen diese UBI‑Pflichten in die allgemeinen NIS‑2‑Pflichten über.
- Typische NACE‑Codes im Rüstungsumfeld, die ins NIS‑2‑Schema „verarbeitendes Gewerbe / kritische Produkte“ fallen, sind z. B. C26 (Elektronik, Radar, Kommunikationssysteme), C27 (Elektrotechnik) sowie C30.3 und C30.4 (Luft‑ und Raumfahrzeuge, militärische Kampffahrzeuge).
Damit ist für die meisten größeren Rüstungsunternehmen die Einstufung als „besonders wichtige“ oder „wichtige“ Einrichtung nach NIS‑2 sehr wahrscheinlich, sobald die Größenkriterien (i. d. R. ≥ 50 MA oder Umsatz/Bilanz > 10 Mio. €) erfüllt sind.
Beziehung NIS‑2 ↔ deutsches Recht (Rüstung)
- Die NIS‑2‑Richtlinie (EU) 2022/2555 ist auf EU‑Ebene in Kraft; sie wird in Deutschland durch das NIS‑2‑Umsetzungsgesetz (NIS2UmsuCG) und Anpassungen u. a. des BSIG umgesetzt.
- Das deutsche UBI‑Konstrukt („KRITIS‑light“) wird mit der NIS‑2‑Umsetzung abgeschafft; UBI‑Rüstungsunternehmen werden in die Kategorien „besonders wichtige Einrichtungen“ (bwE) bzw. „wichtige Einrichtungen“ (wE) eingeordnet.
- Die Rüstungsindustrie ist zusätzlich oft schon über andere Regime reguliert (VS‑IT, Wehrtechnik, häufig auch KRITIS im Energiesektor, Verkehr, etc.), NIS‑2 legt sich quasi als horizontale Schicht für Cyber‑ und Informationssicherheit darüber.
Typische Pflichten für Rüstungsunternehmen nach NIS‑2
NIS‑2 macht keine sektorspezifischen Sonderregeln nur für Rüstung, sondern wendet den allgemeinen Pflichtenkatalog auf die betroffenen Einrichtungen an. Besonders relevant:
- Risikomanagement & ISMS: Implementierung eines angemessenen Informationssicherheits‑Risikomanagements, i. d. R. über ein strukturiertes ISMS (oft ISO 27001‑basiert) mit technischen und organisatorischen Maßnahmen.
- Governance & Haftung: Geschäftsleitung muss Cybersicherheit überwachen, geeignete Maßnahmen beschließen und ist persönlich verantwortlich; Schulung der Leitungsorgane ist ausdrücklich gefordert.
- Meldepflichten: Mehrstufige Meldeprozesse bei Sicherheitsvorfällen (Frühwarnung, Zwischenberichte, Abschlussbericht) an nationale CSIRTs/Behörden sowie Informationspflichten gegenüber Kunden.
- Supply‑Chain‑Security: Pflicht, Cyber‑Risiken in der Lieferkette zu managen; das trifft im Rüstungsumfeld die ohnehin schon stark regulierten Zulieferketten zusätzlich.
- Audit‑/Nachweispflichten: Für bwE teils externe Audits, Sicherheitsprüfungen oder Zertifizierungsnachweise; nationale Umsetzung (NIS2UmsuCG, BSIG) präzisiert die konkrete Prüftiefe.
Gerade im Rüstungsbereich wird man erwarten, dass vorhandene VS‑IT‑Vorgaben, TISAX‑ähnliche Anforderungen und Exportkontroll‑Security sauber mit NIS‑2 harmonisiert sind.
Mögliche Standards zur Umsetzung
Für die Umsetzung von NIS-2 sollte man immer dem Stand der Technik folgen. Hierzu bieten sich verschiedene Standards der Informationssicherheit an:
- ISO 27001
- ISO 22301
- IEC 62433 (OT)
- TISAX
- CADIS
CADIS ist ein neuer Prüfungsstandard, welcher gezielt auf die Verteidigungs- und Rüstungsindustrie von DEKRA entwickelt wurde. Lesen Sie hierzu unsere Seite CADIS www.cadis-beratung.eu und cadis-defence.de.
Auswirkungen entlang der Lieferkette
NIS‑2 wirkt „kaskadenartig“ durch die gesamte Supply Chain: Auch wenn ein Zulieferer formal nicht als bwE/wE eingestuft ist, wird er über vertragliche Anforderungen von NIS‑2‑betroffenen OEMs faktisch NIS‑2‑pflichtig.
Insbesondere Automobil‑, Luftfahrt‑ und Rüstungszulieferer müssen mit verschärften Security‑Anforderungen, Auditrechten, Reporting‑Pflichten und Nachweisen rechnen.
Für kleinere Rüstungszulieferer kann das zu einer Situation führen, in der sie zwar rechtlich nicht im direkten Anwendungsbereich der Richtlinie sind, aber ohne NIS‑2‑konforme Security‑Standards keine Aufträge mehr bekommen.
NIS-2 UMSETZUNGSHILFE
CONSUVATION bietet umfangreiche Umsetzungshilfe zu NIS-2 für die Verteidigungs- und Rüstungsindustrie:
- NIS‑2 Readiness Check
- ISMS/ISO‑27001 Gap‑Analyse
- Supply‑Chain‑Security Assessment
- Incident/BCM Check
- ISMS‑Aufbau/-Upgrade
- NIS‑2 Implementierungsprogramm
- Security Governance Design
- Lieferketten‑ & Vertragspaket
- Policy‑ & Doku‑Paket
- Externer ISB / vCISO
- NIS‑2 Compliance Service
- Awareness‑Programm
- Audit‑Begleitung
Haben wir Ihr Interesse geweckt - dann nehmen sie noch heute Kontakt mit uns auf - wir sind für Sie da.