Was NIS2 für die Operational Technology (OT) bedeutet

NIS2 verstehen

Die NIS2-Richtlinie baut auf der vorhergangenen Version, der ursprünglichen NIS-Richtlinie, auf, die zur Verbesserung der Cybersecurity-Fähigkeiten der Mitgliedstaaten, ihrer kritischen Infrastrukturen und der Anbieter digitaler Dienste eingeführt wurde. NIS2 zielt darauf ab, der sich entwickelnden Bedrohungslandschaft zu begegnen, indem der Anwendungsbereich der ursprünglichen Richtlinie erweitert, die Security-Anforderungen erhöht und die Zusammenarbeit zwischen den EU-Mitgliedstaaten verstärkt wird. Zu den wichtigsten Punkten von NIS2 gehören:

Ausweitung des Anwendungsbereiches: Die NIS2 erweitert das Spektrum der abgedeckten Sektoren, einschließlich grundlegenderer und wichtigerer Bereiche wie der Wasserversorgung und der digitalen Infrastruktur.

Erhöhte Sicherheitsanforderungen: Unternehmen, die unter die NIS2 fallen, müssen strengere Sicherheitsmaßnahmen ergreifen, die das Risikomanagement, die Reaktion auf Vorfälle und die Meldepflichten betreffen.

Bessere Zusammenarbeit: Die Richtlinie legt den Schwerpunkt auf eine bessere Zusammenarbeit zwischen den Mitgliedstaaten und die Einrichtung eines europäischen Verbindungsnetzes für Cyberkrisen (EU-CyCLONe) zur koordinierten Reaktion auf Vorfälle.

Einführung von Operational Technology (OT)

Operational Technology (OT) bezieht sich auf die Hardware- und Softwaresysteme, die zur Verwaltung, Überwachung und Steuerung industrieller Prozesse eingesetzt werden. OT ist in kritischen Infrastrukturbereichen wie Energie, Fertigung, Transport und Versorgung weit verbreitet. Im Gegensatz zur Information Technology (IT), die sich auf die Datenverarbeitung und -kommunikation konzentriert, befasst sich die OT mit dem physischen Betrieb von Maschinen und Prozessen. Die Konvergenz von IT und OT hat beträchtliche Vorteile mit sich gebracht, darunter eine höhere Effizienz und Anschlussfähigkeit, aber auch neue Herausforderungen für die Cybersecurity.

Zentrale Regelungen der NIS2, die für OT-Umgebungen relevant sind

1. Erhöhte Sicherheitsanforderungen

NIS2 schreibt strengere Sicherheitsmaßnahmen für Unternehmen vor, die in kritischen Sektoren tätig sind, einschließlich solcher, die OT einsetzen. Dies bedeutet, dass Organisationen umfassende Risikomanagementpraktiken einführen, regelmäßige Security Assessments durchführen und sicherstellen müssen, dass robuste Incident Response Pläne vorhanden sind.

2. Verbesserte Meldung von und Reaktion auf Vorfälle 

NIS2 führt strengere Anforderungen für die Meldung von Vorfällen ein und verpflichtet die Unternehmen, wesentliche Cyber Incidents innerhalb von 24 Stunden zu melden. Für OT-Umgebungen ist die rechtzeitige Meldung von Vorfällen von entscheidender Bedeutung, um die Auswirkungen von Cyberangriffen auf kritische Infrastrukturen abzumildern. Organisationen müssen:

• Entwicklung von Plänen zur Reaktion auf Zwischenfälle (Incident Response): Erstellen Sie auf OT-Umgebungen zugeschnittene Reaktionspläne für Zwischenfälle und aktualisieren Sie diese regelmäßig. Diese Pläne sollten klare Verfahren zur Erkennung, Eindämmung und Behebung von Zwischenfällen enthalten.
• Regelmäßige Schulungen durchführen: Regelmäßige Simulation von Cyberangriffsszenarien, um die Wirksamkeit von Reaktionsplänen auf Vorfälle zu testen und die Bereitschaft zu verbessern.

3. Sicherheit der Lieferkette

NIS2 wird die Art und Weise, wie Unternehmen die Sicherheit der Lieferkette angehen und verwalten, als Teil eines ganzheitlichen Ansatzes für Cybersecurity verändern. Viele Organisationen sind auf ein komplexes Netz von Zulieferern angewiesen, um zu funktionieren. Diese komplexe Lieferkette ist ein attraktives Ziel für Angreifer, da diese Lieferkette möglicherweise einen Einstiegspunkt in das industrielle Netzwerk des Unternehmens bietet. Um ihre Lieferkette zu sichern, können Unternehmen:

• Cybersicherheitsanforderungen des Anbieters definieren: Diese Anforderungen müssen während der Beschaffung, Installation und des Betriebs von Geräten, Systemen und Software definiert werden.
• Lieferketten-Audits implementieren: Regelmäßige Überprüfungen der Lieferanten anhand der festgelegten Cybersicherheitsanforderungen helfen den Unternehmen, die Cybersicherheitslage der Lieferkette und die damit verbundenen Risiken zu verstehen.

4. Unternehmensführung 

Die NIS2-Richtlinie erlegt der obersten Führungsebene von Organisationen, die in den Anwendungsbereich der Richtlinie fallen, direkte Verpflichtungen und Haftung auf. Dies bedeutet, dass Personen der oberen Führungsebene mit Geldbußen und/oder einer möglichen Entlassung aus ihren Führungsaufgaben rechnen müssen. Die Einhaltung der NIS2-Richtlinie erfordert eine aktive Beteiligung der obersten Führungsebene, da diese eine entscheidende Rolle bei der Entwicklung der Cybersicherheitsstrategie der Organisation, der Zuweisung von Ressourcen und der Schaffung einer Kultur der Cybersecurity Awareness spielt.

Der Weg zur Konformität mit NIS2

Die Einhaltung der NIS2-Anforderungen ist nicht nur aus rechtlicher Sicht wichtig. Die Einhaltung dieser Anforderungen wird Ihrer Organisation auch helfen, ihre Cybersicherheitsreife auf ein Niveau zu bringen, das erforderlich ist, um den Herausforderungen zu begegnen, die mit der wachsenden Zahl von Cyberbedrohungen einhergehen.

Die folgenden Schritte können Ihnen helfen, diese Anforderungen zu erfüllen und gleichzeitig die Cybersicherheitsreife Ihrer OT-Umgebungen zu verbessern:

1. Einen Rahmen für die Cybersicherheits-Governance einrichten

Sie müssen klare Rollen und Verantwortlichkeiten festlegen. Dazu gehört, dass Sie die Aufgaben und Zuständigkeiten der wichtigsten Beteiligten, einschließlich des Vorstands, der Geschäftsleitung und des IT- und OT-Personals, festlegen und dokumentieren. Die Geschäftsleitung Ihres Unternehmens kann persönlich für die Nichteinhaltung der NIS2-Verordnung haftbar gemacht werden, und in bestimmten Extremfällen kann die Nichteinhaltung der Vorschriften zur Suspendierung und sogar zum Ausschluss aus dem Vorstand führen.

Internationale Sicherheitsstandards wie ISO27001 und IEC62443 können Ihnen beim Aufbau einer soliden Governance-Struktur helfen.

2. Kontinuierliche Risikobewertungen

NIS2 erfordert regelmäßige Risikobewertungen mit klarer Verantwortlichkeit für die Risiken und konkreten Maßnahmen zur Minderung dieser Risiken. Kontinuierliche Risikobewertungen helfen Ihnen bei der Umsetzung messbarer und kosteneffektiver Verbesserungen in Ihrem Umfeld.

3. Implementierung von Sicherheitsmaßnahmen

Bei der Schaffung einer sicheren Umgebung müssen Sie sowohl technische als auch organisatorische Maßnahmen ergreifen, um das richtige Gleichgewicht zwischen Menschen, Prozessen und Technologie zu gewährleisten. Sie müssen eine verteidigungsfähige Architektur innerhalb Ihrer OT-Umgebung schaffen und sicherstellen, dass Sie einen sicheren Fernzugriff auf Ihr industrielles Netzwerk bieten können. Die Überwachung Ihrer OT-Umgebung ist von entscheidender Bedeutung, um böswillige Eindringlinge in Ihrem Industrienetz zu identifizieren. Außerdem müssen Sie dafür sorgen, dass die richtigen Richtlinien und Verfahren für die Reaktion auf Cybervorfälle in Ihrer OT-Umgebung vorhanden sind.

4. Schulung und Awareness

Die Mitarbeiter sind oft das schwächste Glied in der Abwehrkette im Bereich Cybersecurity eines Unternehmens. Die Schaffung einer Sicherheitskultur kann sie zu Ihrem stärksten Aktivposten bei der Verteidigung Ihrer Kronjuwelen machen. Sie müssen dafür sorgen, dass sich sowohl Ihre Mitarbeiter als auch Ihre Lieferanten der Risiken und ihrer Verantwortung in Bezug auf die Cybersecurity bewusst sind.

Wie Orange Cyberdefense helfen kann

Orange Cyberdefense kann Sie durchgängig bei der Einhaltung von NIS2 unterstützen. Unsere Dienstleistungen reichen von der Durchführung von Risk Assessments und Lückenanalysen bis zur Implementierung internationaler Cybersicherheitsstandards wie ISO/IEC 27001 oder ISA/IEC 62443.

Wenn es um industrielle Cybersicherheit, können wir Sie beim Aufbau einer sicheren und verteidigungsfähigen Architektur unterstützen und Ihnen Lösungen für die Überwachung und den sicheren Fernzugriff anbieten. Darüber hinaus können wir Ihnen bei der Entwicklung, dem Aufbau und dem Testen eines Plans zur Incident Response und eines Awareness-Programms helfen.