Die Zeiten, in denen Cybersicherheit Branchen mit besonders kritischer Infrastruktur vorbehalten war, sind vorbei. Mit der Umsetzung der EU-NIS2-Richtlinie wächst die Verantwortung für digitale Resilienz auf breite Teile der deutschen Wirtschaft – darunter auch die Bereiche Biotechnologie und Life Sciences.
Anmeldung zum BioM Seminar „Cybersecurity – NIS2 for Decision-Makers“ am 19. November.
Wer ist betroffen?
Die NIS2-Richtlinie revolutioniert den Kreis der Unternehmen, die verpflichtend IT-Sicherheitsstandards einhalten müssen. Nun zählen auch kleine und mittlere Biotech-Unternehmen dazu: Erreicht ein Unternehmen mindestens 50 Mitarbeitende oder überschreitet einen Jahresumsatz von 10 Millionen Euro, kann es als "wichtige Einrichtung" reguliert werden – sofern es in einem relevanten Sektor tätig ist. Dies trifft regelmäßig in zunehmenden Maße für die Sektoren Biotech und Life Sciences zu. Neben Herstellern sind auch CDMOs, Forschungsunternehmen und Start-ups von den neuen Anforderungen betroffen.
Was verlangt NIS2 konkret?
Die Richtlinie fordert ein strukturiertes Risikomanagementsystem und moderne Sicherheitsmaßnahmen. Konkret müssen Unternehmen:
- Ein Information Security Management System (ISMS) etablieren und regelmäßig prüfen.
- Technische und organisatorische Schutzmaßnahmen nach aktuellem Stand der Technik umsetzen – darunter Verschlüsselung, Multi-Faktor-Authentifizierung, Backup- und Wiederherstellungskonzepte.
- Regelmäßig Penetrationstests und Schwachstellen-Checks durchführen.
- Meldeketten etablieren, um Vorfälle frühzeitig dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden: Erstmeldung binnen 24 Stunden, Fortschritt nach 72 Stunden, Abschlussmeldung nach spätestens 30 Tagen.
- Die Führungsriege ist künftig persönlich für die Umsetzung verantwortlich und muss für fortlaufende Schulungen und Audits sorgen. Bei Verstößen kann das Bußgeld bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes betragen.
Besondere Herausforderungen für Biotech-Unternehmen
Die Branche steht ohnehin unter hohem regulatorischem Druck: Systeme wie LIMS und MES oder Forschungsdatenplattformen sind häufig bereits nach GxP reguliert. NIS2 bringt eine neue Ebene: Cyberresilienz wird künftig ein Teil der Qualitätssicherung sein.
Insbesondere dynamisch wachsende Unternehmen müssen ihre IT-Infrastruktur auf den Prüfstand stellen, moderne Sicherheitsprozesse implementieren und ein Bewusstsein für Cyberrisiken in allen Unternehmensebenen festigen. Das betrifft nicht nur Technik, sondern auch klare Verantwortlichkeiten und den Einbezug der gesamten Lieferkette, inklusive Dienstleister und Zulieferer.
So gelingt der Einstieg
Wer proaktiv ist, erfüllt nicht nur rechtliche Vorgaben, sondern kann den eigenen Cybersecurity-Standard als Wettbewerbsvorteil nutzen. Vertrauenswürdigkeit wird zur Visitenkarte gegenüber Partnern, Investoren und Kund:innen.