Navigation in der neuen Richtlinie zur "Network and Information Security" (NIS2) und wesentliche Strategien für die Operational Technology (OT)

Die Europäische Union (EU) hat vor kurzem ihre Vorschriften zur Netz- und Informationssicherheit mit der Veröffentlichung der NIS2-Richtlinie aktualisiert. Diese wichtige Änderung erweitert den Kreis der Sektoren und Organisationen, für die die Richtlinie gilt. Außerdem wird genauer definiert, welche Sektoren betroffen sind. Infolgedessen müssen Organisationen nun ihre bestehenden Sicherheitsmaßnahmen sowohl in der Informationstechnologie (IT) als auch in der Betriebstechnologie (OT) gründlich überprüfen und verbessern, um diesen neuen Standards zu entsprechen.

Die Europäische Union hat am 27. Dezember 2022 die Richtlinie zur Netz- und Informationssicherheit veröffentlicht. Diese Richtlinie legt einen rechtlichen Rahmen fest, den die einzelnen Mitgliedsstaaten der EU bis zum 17. Oktober 2024 in ihr nationales Recht umsetzen müssen. Es liegt in der Verantwortung der einzelnen Mitgliedsstaaten, spezifische Mindestanforderungen zu definieren.

Dies ist besonders wichtig für die Angabe der betroffenen Sektoren und die Festlegung von Schwellenwerten.

Schon jetzt ist es sehr wahrscheinlich, dass die Zahl der betroffenen Organisationen erheblich ansteigen wird - Experten sind sich einig, dass über 100.000 Organisationen in Europa unter diese neuen Regeln fallen werden.

In Zukunft werden Unternehmen gesetzlich verpflichtet sein, ein hohes Maß an Netz- und Informationssicherheit aufrechtzuerhalten und eine kontinuierliche Qualität zu gewährleisten. Dies gilt für alle Systeme und Komponenten, die für die Bereitstellung kritischer Dienste wichtig sind, einschließlich IT, OT, eingebettete Systeme, Rechenzentren, etc. Unternehmen müssen mehrere wichtige Aspekte berücksichtigen:

• Leitlinien für die Informationssicherheit und Organisationsstruktur: Hier geht es um die Einrichtung einer strukturierten Ablauforganisation zur Verwaltung der Informationssicherheit.
• Risikoanalyse: Einführung eines proaktiven Ansatzes zur Identifizierung, Klassifizierung und Bewertung von Risiken unter Verwendung eines standardisierten Prozesses.
• Aktives Provider-Management: Management von Risiken im Zusammenhang mit IKT-Drittanbietern und Lieferketten.
• Technische Maßnahmen: Implementierung von physischer Sicherheit, Durchführung von Penetrationstests, Netzwerksegmentierung und Gewährleistung einer robusten Authentifizierung, Autorisierung und Protokollierung zur Erkennung sicherheitsrelevanter Ereignisse.
• Organisatorische Maßnahmen: Effektiver Umgang mit sicherheitsrelevanten Ereignissen, kontinuierliche Verbesserung von Prozessen und Durchführung regelmäßiger Sicherheitskontrollen und Audits.

Alle Maßnahmen im Rahmen der NIS2-Richtlinie müssen von den staatlichen Aufsichtsbehörden der jeweiligen EU-Mitgliedstaaten überprüfbar sein. Diese gesetzliche Anforderung erstreckt sich nicht nur auf die direkt betroffenen Organisationen, sondern auch auf diejenigen in ihrer Lieferkette. Daher schreibt NIS2 einen klaren Prüfmechanismus und Prüfverfahren für ausgelagerte Dienstleistungen vor. Es ist für jede Organisation von entscheidender Bedeutung, zu diesem Zeitpunkt zu beurteilen, ob sie direkt oder indirekt von der NIS2-Richtlinie betroffen ist.

Die EU überträgt die Verantwortung für die Einhaltung der NIS2 auf die Führungsebene jeder Organisation. Die Strafen für die Nichteinhaltung sind erheblich und reichen von Geldstrafen, die mit denen der DSGVO vergleichbar sind, bis hin zur möglichen vorübergehenden Suspendierung von Führungskräften.

Es wird erwartet, dass es bei diesen Anforderungen keine technologische Differenzierung geben wird. Dies bedeutet, dass die Maßnahmen zur Gewährleistung der Netz- und Informationssicherheit für IT-, OT- und eingebettete Systeme wahrscheinlich denselben Regeln folgen und von der Aufsichtsbehörde ähnlich geprüft werden.

Die Umsetzung der Netz- und Informationssicherheitsstandards der NIS2-Richtlinie in Umgebungen der Betriebstechnologie (OT) stellt eine große Herausforderung dar. Diese Umgebungen sind komplex und bestehen oft aus verschiedenen Altsystemen, proprietären Technologien und einem Netz miteinander verbundener Geräte. Die Komplexität wird durch den unterschiedlichen Reifegrad der Sicherheit vieler industrieller Systeme noch verstärkt. Die Identifizierung dieser Stufen ist ein wichtiger erster Schritt bei der Entwicklung oder Aufrüstung einer Sicherheitsarchitektur, die eine konsistente Sicherheitsüberwachung ermöglicht.

Als Ihr engagierter Partner bietet Orange Cyberdefense umfassende Unterstützung bei der Stärkung der Cybersicherheit für industrielle Systeme. Unsere speziellen OT-Sicherheitsbewertungen helfen Ihrem Unternehmen, die NIS2-Richtlinie und andere Sicherheitsstandards zu erfüllen. Diese Bewertungen bieten ein klares Verständnis der betrieblichen Risiken und liefern praktische, umsetzbare Empfehlungen. Unser Schwerpunkt liegt auf der Verbesserung der Sicherheit von Menschen, Prozessen und technischen Komponenten.

Ausführlichere Informationen finden Sie auf unserer Seite zur Bewertung der industriellen Sicherheit.

Gemäß der NIS2-Richtlinie und anderen Sicherheitsstandards ist der Schutz von Netzwerken und Anlagen, insbesondere für kritische Infrastrukturen, ein wichtiger Sicherheitsauftrag. Unser strategisches Netzwerkdesign deckt diesen Bedarf, indem es die zunehmende Integration von IT und OT sowie die Einführung neuer Technologien wie 5G und den verstärkten Einsatz mobiler Systeme in industriellen Umgebungen berücksichtigt. Wir unterstützen Unternehmen bei der Implementierung von Defense-in-Depth-Architekturen, die eine effektive Segmentierung von IT- und OT-Netzwerken und die maßgeschneiderte Implementierung von Mikrosegmentierung für OT-Netzwerke umfassen.

Da wir die Dynamik der Bedrohungen für die Cybersicherheit erkannt haben, legen wir großen Wert auf den menschlichen Aspekt der Sicherheit. Wir bieten Schulungen zu Security Awareness an, damit Mitarbeiter potenzielle Angriffe erkennen und darauf reagieren können.

Unser Managed-Firewall-Service verfolgt einen risikobasierten Ansatz, der einen starken Schutz und eine rechtzeitige Erkennung von Bedrohungen bietet und bei Bedarf durch virtuelle Patches und eine schnelle Reaktion auf Zwischenfälle ergänzt wird. Darüber hinaus bietet unser proaktiver Managed-Endpoint-Security-Service eine zuverlässige Malware-Prävention und -Erkennung sowie die Erstellung von Richtlinien und ein effizientes Bedrohungsmanagement.

Mit unserer Secure Access Service Edge-Lösung und der Zero Trust Network-Architektur bietet Orange Cyberdefense eine sichere Verwaltung des Zugriffs auf das Netzwerk und die Assets Ihres Unternehmens.

Weitere Informationen finden Sie auf unserer Seite zur Industrial Cybersecurity.

Unternehmen müssen ihre IT- und OT-Netzwerke genau verstehen, um Anlagen zu schützen, komplexe Bedrohungen zu erkennen und auf Sicherheitsvorfälle vorbereitet zu sein. Eine zentrale Herausforderung besteht darin, technische Daten in aussagekräftige, sicherheitsrelevante Informationen umzuwandeln und die Auswirkungen von Sicherheitsereignissen auf industrielle Umgebungen zu erfassen.

Die Managed Industrial Security Services von Orange Cyberdefense verschaffen Ihnen ein umfassendes Verständnis für Ihre Betriebstechnologie (OT). Unsere Dienste helfen Ihnen, fundierte Sicherheitsentscheidungen zu treffen. Wir konzentrieren uns darauf, ein detailliertes Inventar Ihrer OT-Anlagen zu erstellen und zu aktualisieren, Anlagendaten in einen Kontext zu stellen, Verbindungen und Schwachstellen zu identifizieren und spezifische, umsetzbare Empfehlungen zu geben. Durch die Integration von Bedrohungs- und Schwachstelleninformationen verbessern wir Ihre Erkenntnisse und bieten eine solide Grundlage für die Entwicklung eines starken OT-Sicherheitsprogramms.

Weitere Einzelheiten finden Sie in unserem Abschnitt Managed Industrial Security [identify] auf orangecyberdefense.com.

Darüber hinaus müssen die Anforderungen zur Minimierung der Betriebsrisiken bei der IT/OT-Konnektivität erfüllt werden, indem eine wirksame Bedrohungserkennung in OT-Umgebungen eingerichtet wird, ohne dass neue Risiken entstehen. Das Verständnis von Sicherheitsereignissen und deren Auswirkungen auf OT-Systeme ist entscheidend für die effektive Einhaltung von Cybersicherheitsstandards.

Weitere Informationen hierzu finden Sie auf unserer Seite Managed Industrial Security [detect].

Die NIS2-Richtlinie stellt eine bedeutende Überarbeitung der Netzwerk- und Informationssicherheitsstandards innerhalb der Europäischen Union dar. Die Richtlinie schreibt vor, dass industrielle Umgebungen einen gleichbleibend hohen Grad an Sicherheitsreife aufweisen müssen, wobei der Schwerpunkt auf dem Verständnis und der Bewältigung der Auswirkungen von Sicherheitsvorfällen liegt.

Eine große Herausforderung für viele Unternehmen ist der Mangel an Ressourcen und Fachwissen, um OT-Risiken effektiv zu bewerten und Sicherheitsereignisse und -warnungen zu behandeln. Diese Lücke führt oft dazu, dass sie sich weit von ihren eigentlichen Geschäftsaktivitäten entfernen, was den Bedarf an Spezialwissen und Unterstützung erhöht.

Infolgedessen suchen diese Organisationen zunehmend nach kompetenten Partnern wie Orange Cyberdefense. Mit ihrem Fachwissen in den Bereichen Cybersicherheit und Managed Security Services können sie Organisationen dabei helfen, die strengen Anforderungen der NIS2-Richtlinie zu erfüllen und eine robuste Netzwerk- und Informationssicherheit zu gewährleisten.