:quality(80)/p7i.vogel.de/wcms/f0/48/f0483f888c3bc3283c6f9a98d5035806/0115663998.jpeg "Igus informiert, dass man die Igubal-Flanschlager aus schmierfreiem Hochleistungs-Kunststoff jetzt auch noch mit smarten Sensoren ausgestattet hat, damit sie ihren Zustand melden können. Das zahle sich nicht nur in puncto vorausschauende Wartung aus. (Bild: Igus)")
:quality(80)/p7i.vogel.de/wcms/28/9c/289c923a1e3e42aaf6eb6dbe16e644ba/0114607231.jpeg "Hilft Gaia-X den Cloud-Nutzern dabei, digitale Souveränität zurückzuerlangen? (Bild: A. Solano - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/fe/effee43713fd1ae408b34c8fd0bde181/0115503864.jpeg "Das Spritzgießen von Kunststoffen geht den digitalen Weg jetzt auch mithilfe von Bayes`schen Netzen, wie das Kunststoff Zentrum (SKZ) informiert. Dieser Erfolg wurde im Rahmen des Projektes „ProBayes“ erreicht. Hier sprechen die Forscher über die Vorteile. (Bild: SKZ)")
:quality(80)/p7i.vogel.de/wcms/5d/8d/5d8dd3f30d6429d249050fbf458483ff/0114561356.jpeg "Die Zukunft des Aufzugs: Dank Condition Monitoring und Predictive Maintenance schweben wir in eine neue Ära der Technologie. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/58/99/589985a0bd835b8ce571e4254d627102/0115524748.jpeg "Medizintechnik-Projekt an der Hochschule Trier: Mithilfe der schmierfreien drylin-N-Linearführungen von igus lassen sich Orthesen passgenau ausmessen. (Bild: igus GmbH)")
:quality(80)/p7i.vogel.de/wcms/99/1b/991bbbea614bc91927d42164f74d8a51/0115563742.jpeg "Die 3D-gedruckten Bronzekrümmer können durch die digitale Verfügbarkeit der Produktionsinformationen jederzeit in gleichbleibender Qualität wiederbestellt werden. Eine physische Bevorratung ist nicht mehr nötig. (Bild: Replique / MAN)")
:quality(80)/p7i.vogel.de/wcms/6b/da/6bda641f2e9ea4eb7ff3a85a5fd61a1f/0115531630.jpeg "Visualisierung von SliceEX am Arbeitsplatz (Bild: AIM3D)")
:quality(80)/p7i.vogel.de/wcms/97/ab/97ab11e4cf49e29763202d4020ac9c66/0115670987.jpeg "15 3D-Druck-Dienstleister aus dem Netzwerk 3D Industrie tauschten auf der Formnext ihre Erfahrungen aus. (Bild: 3D Industrie GmbH )")
:quality(80)/p7i.vogel.de/wcms/3a/a2/3aa2a57a0cf00203643a0296243aeaaa/0115585645.jpeg "Bereits 2025 könnten die Ausgaben für KI in Deutschland bei über 10 Milliarden Euro liegen. (Bild: Yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/01/1701afa3949522a45f08c16c06c3c0c9/0115551111.jpeg "Cybersecurity sollte 2024 strategische Priorität für Unternehmen jeder Größe sein. (Bild: TÜV Rheinland)")
:quality(80)/p7i.vogel.de/wcms/c0/29/c0293f894b2db4d319bdf4d829aeeca5/0115673327.jpeg "Chat GPT bekommt Konkurrenz: Google implementiert sein KI-Sprachmodell Gemini in den Chatbot Bard. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/db/6cdb59f3fc5ee0cb93d12119d311b009/0114592889.jpeg "„Besonders mit Software-Kenntnissen im Bereich Cloud Computing können Freelancer ihre Chancen auf dem Arbeitsmarkt erhöhen“, erklärt Thomas Maas, CEO von Freelancermap. (Bild: frei lizenziert)")
EU-Richtlinie NIS 2 Die Umsetzung von NIS 2 in OT-Umgebungen: Herausforderungen und Lösungsansätze
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die neue EU-Richtlinie NIS 2 stellt für viele Unternehmen aufgrund der hohen Anforderungen und des engen Zeitrahmens eine Herausforderung dar. Wie können Verantwortliche ihre OT-Umgebungen absichern und sich einen Vorsprung bei der Umsetzung von NIS 2 verschaffen?
Die zunehmend digitale Welt bietet zahlreiche Vorteile, wie verbesserte Konnektivität und größere geschäftliche Flexibilität. Gleichzeitig birgt die wachsende Abhängigkeit von digitalen Technologien, insbesondere in kritischen Sektoren wie Verkehr, Energie, Gesundheit und Finanzen ein erhöhtes gesellschaftliches Risiko durch Cyberbedrohungen. Im schlimmsten Fall können Angriffe auf Unternehmen in diesen Sektoren zu Unfällen und Gefährdung der öffentlichen Sicherheit führen. Um die Widerstandsfähigkeit kritischer Infrastrukturen gegen solche Bedrohungen zu stärken, hat der Rat der Europäischen Union die NIS-2-Richtlinie für Netzwerk- und Informationssysteme verabschiedet.
Die NIS-2-Richtlinie ersetzt die bisherige NIS-Richtlinie aus dem Jahr 2016 und weitet den Adressatenkreis und die Pflichten zu unternehmerischer Cybersecurity-Compliance deutlich aus. Dabei geht sie weit über die ursprünglich regulierten wesentlichen und digitalen Dienste im Bereich kritischer Infrastrukturen (kurz: Kritis) hinaus. Gemäß der NIS-2-Richtlinie wird jedes Unternehmen in der EU, das in einem oder mehreren der genannten kritischen Sektoren tätig ist, mehr als 50 Mitarbeiter beschäftigt und einen Jahresumsatz von mehr als zehn Millionen Euro erzielt, automatisch als „wesentlich“ oder „wichtig“ eingestuft und unterliegt damit hohen Anforderungen und Meldepflichten in Bezug auf Cybersecurity.
Drei Schritte zur NIS-2-Compliance
Für die OT-Sicherheit ist die NIS-2-Richtlinie von besonderer Bedeutung. Verschiedene Branchen wie Fertigung, Energieversorgung, Logistik und Gesundheitswesen sind auf OT-Lösungen angewiesen, um ordnungsgemäß zu funktionieren. Durch die Integration von OT- und IT-Netzwerken sind OT-Systeme heute denselben Cyberbedrohungen ausgesetzt wie die IT. Ein umfassender Schutz gegen Cyberangriffe ist für OT-Umgebungen daher erforderlich. Um ihre OT-Umgebungen gemäß den Anforderungen von NIS 2 effektiv zu schützen, müssen Betreiber kritischer Infrastrukturen einen proaktiven Ansatz verfolgen und drei grundlegende Schritte unternehmen.
Im ersten Schritt ist zu klären, ob das Unternehmen im Sinne der NIS-2-Richtlinie als „wesentlich“ oder „wichtig“ eingestuft wird. Es liegt in der Eigenverantwortung des Unternehmens zu beurteilen, ob es direkt oder indirekt unter Kritis fällt und somit die entsprechenden Anforderungen erfüllen muss. So können Unternehmen bereits heute das erste Scoping und die Risikoanalyse durchführen, um ihre NIS-2-Compliance zu bewerten. Hierbei ist auch die Lieferkette zu berücksichtigen: Stellt ein Unternehmen Produkte für ein Kritis-Unternehmen her, so gilt dieses Unternehmen ebenfalls als Kritis, selbst wenn es nicht direkt unter NIS 2 fällt.
Im zweiten Schritt müssen Unternehmen eine umfassende Risikobewertung durchführen und ihre wichtigsten Assets, Services und potenziellen Schwachstellen identifizieren. Die OT-Verantwortlichen müssen abschätzen, welche Bereiche im Unternehmen kritisch sind, wo im Falle einer Störung ein gesellschaftliches Risiko besteht und welche Assets besonderen Schutz erfordern. Diese Bereiche sollten dann entsprechend segmentiert werden, um gezielte Sicherheitsmaßnahmen zu ermöglichen. Erst nach einem vollständigen Risiko- und Incident Impact Assessment wird klar, welche konkreten Lösungen und Tools das Unternehmen für einen umfassenden Schutz benötigt.
In Schritt drei müssen Unternehmen angemessene Maßnahmen zur Vorbeugung, Erkennung, Reaktion und Minderung der ermittelten Risiken ergreifen.
:quality(80)/p7i.vogel.de/wcms/d9/a4/d9a4b7b64e6ba513737557cad7205177/0109854046.jpeg "Die NIS-2-Richtlinie wird viele Unternehmen treffen, deshlab gilt es jetzt, sich vorzubereiten. (Bild: frei lizenziert)")
Neue EU-Richtlinie
NIS-2: EU setzt Cybersicherheit auf die Agenden von Unternehmen
Störfälle und Risiken minimieren
Um grundlegende Sicherheitsstandards zu erfüllen, können sich Unternehmen nach bereits bestehenden Regelungen wie dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), dem IT-Grundschutz des BSI oder dem Orientierungspapier des BSI vom 26.09.2022 richten sowie sich an etablierte Informationssicherheitsstandards wie ISO 27001 Zertifizierung, technische Normenreihe wie der IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme) oder der Sicherheitsrichtlinie des VDI 2182 (Informationssicherheit in der industriellen Automatisierung) halten.
Als Teil der grundlegenden Sicherheitshygiene müssen Unternehmen unter anderem eine starke Authentifizierung gewährleisten, regelmäßig Patches und Sicherheitsupdates installieren, ihre IT- und OT-Netzwerke segmentieren, robuste Zugriffskontrollen einrichten und alle Mitarbeiter in bewährten Sicherheitspraktiken schulen. Durch die Implementierung dieser Standards können Unternehmen einen Vorsprung bei der Umsetzung der Vorgaben von NIS 2 erlangen. Die empfohlenen Maßnahmen sollten sie jedoch als Mindestanforderungen betrachten, da die Anforderungen von NIS 2 definitiv über die von IT-SiG 2.0 hinausgehen werden.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/64/8a/648afcd0eaf52/cover-sophos-nis.png "Cover_Sophos_NIS")
Um einen umfassenden Cybersicherheitsschutz zu gewährleisten ist es sinnvoll, wenn Organisationen in ihren OT-Umgebungen eine Kombination aus verschiedenen Cybersecurity-Tools und -Technologien einsetzen. Zu den wichtigsten Werkzeugen für eine mehrschichtige Abwehrstrategie gehören Intrusion Detection and Prevention-Systeme (IDPS), Bedrohungsinformationsplattformen, Security Information and Event Management (SIEM)-Systeme, Endpoint Detection and Response (EDR)-Lösungen, Data Loss Prevention (DLP)-Tools und Schwachstellenscanner. Diese Lösungen bilden eine umfassende Verteidigungsstrategie, indem sie verschiedene Angriffsvektoren abwehren, die Netzwerkaktivität überwachen und sensible Informationen schützen. Dabei ist es wichtig, dass die eingesetzten Tools in einen umfassenden Cybersecurity-Posture-Assessment-Framework wie ISO 27001 oder NIST CSF passen.
Hindernisse überwinden
Die Umsetzung der NIS-2-Richtlinie verspricht einige Herausforderungen. Da die Zahl der Kritis-Unternehmen mit der neuen Richtlinie stark ansteigt, müssen sich viele Unternehmen, die bisher nicht unter die Anforderungen der NIS-Richtlinie fielen, nun innerhalb kurzer Zeit mit strengen Cybersecurity-Standards und Meldepflichten auseinandersetzen. Auch die Umsetzungsfrist ist relativ kurz: NIS 2 verpflichtet die Mitgliedsstaaten, die neue Richtlinie schon bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Dazu wird voraussichtlich ein BSI-Änderungsgesetz verabschiedet, das in kurzer Zeit ausgelegt und umgesetzt werden muss.
Die Wahl der geeigneten Tools ist ebenfalls eine Herausforderung und hängt von verschiedenen Faktoren ab, wie der Größe des Unternehmens, dem Grad der Vernetzung, der Art der verwendeten Systeme, dem Reifegrad des Unternehmens für den Betrieb einer Security-Lösung und der Art der durchgeführten Aktivitäten. Darüber hinaus müssen Unternehmen ihre Cybersecurity-Lösungen an die spezifischen Merkmale und Anforderungen ihrer OT-Umgebung anpassen, um maximale Wirksamkeit zu erzielen. Da OT-Systeme oft sehr spezifisch sind und eine Vielzahl von Komponenten und Protokollen umfassen, ist es unerlässlich, die Maßnahmen und Tools an die jeweiligen Bedingungen anzupassen, um eine maximale Wirksamkeit zu erzielen. Die bereits erwähnte internationale Normenreihe IEC 62443 ist hier besonders hilfreich, da sie die Betriebs- oder Automatisierungstechnik aus der Sicht des Betreibers, Integrators und Komponentenherstellers betrachtet und die Umsetzung beschreibt.
:quality(80)/p7i.vogel.de/wcms/1b/28/1b2835841a50a94684ba5088eb017867/0112100349.jpeg "Die EU will deshalb das Cybersicherheitsniveau und die Zusammenarbeit auf Organisationsebene in Europa stärken. (Bild: frei lizenziert)")
NIS 2
Cybersicherheit: Deutsche Unternehmen müssen den Turbo einlegen
Ressourcen und Fachkenntnisse erforderlich
Die Meldung von Vorfällen gemäß der NIS-2-Richtlinie stellt eine weitere erhebliche Herausforderung dar, da sie eine größere Präzision bei der Meldung von Vorfällen erfordert, als es in der NIS-Richtlinie oder dem IT-SiG 2.0 vorgesehen war und höhere Strafen vorsieht. Unternehmen müssen innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls einen Frühwarnbericht vorlegen, gefolgt von einer ersten Bewertung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Unternehmen, die sich nicht an die Vorschriften halten, müssen mit empfindlichen Geldstrafen rechnen. Die Geldbußen können bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, müssen Kritis-Betreiber eng mit den zuständigen Aufsichtsbehörden und Dienstleistern zusammenarbeiten. Sie müssen sicherstellen, dass sie über ausreichende Ressourcen und Fachkenntnisse verfügen, um die strengen Standards und Meldepflichten zu erfüllen. In diesem Sinne ist es empfehlenswert, sich von Experten beraten zu lassen, um sicherzustellen, dass die ausgewählten Tools den spezifischen Anforderungen und Risiken des Unternehmens entsprechen und optimal auf die OT-Umgebung zugeschnitten sind.
Nicht warten, handeln
Die Vorbereitung auf die Einhaltung der NIS-2-Richtlinie wird nicht nur eine gesetzliche Anforderung sein, sondern auch eine Gelegenheit, die Widerstandsfähigkeit eines Unternehmens im Cybersecurity-Bereich zu stärken. Die Umsetzung aller technischen und organisatorischen Maßnahmen wird nicht Tage oder Wochen, sondern eher mehrere Monate in Anspruch nehmen. Ein Abwarten der vollständigen Umsetzung der Richtlinie kann bedeuten, dass Unternehmen potenziellen Cyberbedrohungen ausgesetzt sind und in der sich schnell entwickelnden Cybersecurity-Landschaft ins Hintertreffen geraten. Eine proaktive Bewertung der aktuellen Sicherheitslage und die Identifizierung verbesserungswürdiger Bereiche sind wesentliche Schritte, um Cyberrisiken effektiv zu managen, strenge Berichterstattungsanforderungen zu erfüllen und eine widerstandsfähige Netzwerkinfrastruktur aufrechtzuerhalten.
* Olaf Mischkovsky ist BDM for GRC and Critical Infrastructure bei Fortinet.
(ID:49643510)
:quality(80)/p7i.vogel.de/wcms/d9/a4/d9a4b7b64e6ba513737557cad7205177/0109854046.jpeg "Die NIS-2-Richtlinie wird viele Unternehmen treffen, deshlab gilt es jetzt, sich vorzubereiten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e0/26/e026fb0bc689b1dccdb539e4580f764a/0109151465.jpeg "Der Energiesektor ist ein beliebtes Ziel für Cyberattacken – und seine Angriffsfläche hat sich in den letzten Jahren vergrößert. (Bild: frei lizenziert)")