NIS2 tritt in Kraft – Welche Vorbereitungen industrielle Unternehmen treffen sollten

Ziel der NIS2-Richtlinie (EU) 2022/2555 ist es, auf das sich schnell veränderte Umfeld für Cyber-Operationen zu reagieren und das Sicherheitsniveau im europäischen Raum zu verbessern. Der Geltungsbereich der Richtlinie umfasst Akteure, deren Aktivitäten als kritisch für die Gesellschaft angesehen werden. Die Richtlinie fordert folglich nach Massnahmen in diversen industriellen Sektoren – oder verlangt zumindest eine genauere Betrachtung der Prozesse. Die NIS2 EU-Richtlinie ist im Januar 2023 in Kraft getreten. Die Mitgliedsstaaten haben nun bis Oktober 2024 Zeit, diese in ihr nationales Recht zu überführen. Bereits heute gibt es zahlreiche Informationen über die neue Richtlinie. Grund genug, umgehend mit den Vorbereitungen zu beginnen.

In diesem Artikel erfahren Sie, was unter der NIS2-Richtlinie zu verstehen ist, welche Branchen davon betroffen sind und welche Anforderungen an die Betreiber gestellt werden. Und wir informieren Sie mit welchen Lösungen Sie die Anforderungen einfacher erreichen können.

Was ist NIS2?

NIS2 ist eine Cybersicherheitsrichtlinie (EU 2022/2555), die darauf abzielt, das Niveau der Cybersicherheit in der EU und ihren Mitgliedstaaten zu verbessern. Die Richtlinie legt Mindestanforderungen fest, welche die unter die Richtlinie fallenden Betreiber, unter Androhung von Sanktionen, erfüllen müssen. Zu diesen Anforderungen gehören das Risikomanagement- und die Berichtspflicht, um die Cybersicherheit zu stärken. Die Frist für die Umsetzung der Richtlinie in nationales Recht der Mitgliedstaaten ist Oktober 2024. Sie löst die bisherige Netzwerk- und Informationssicherheitsrichtlinie NIS1 (NIS1-Richtlinie, 2016/1148) ab.

Welche Branchen fallen unter die NIS2-Richtlinie?

Der Umfang betroffener Industriezweige wurde unter NIS2 fast verdoppelt, gegenüber seines Vorgängers NIS1. So wurde der Geltungsbereich der Richtlinie neu in den Industriesektoren wie z.B. der Abfallwirtschaft und der Lebensmittelindustrie, erweitert. Ausgeweitet wurde NIS2 für den Energiesektor und Unternehmen, die im Gesundheitswesen tätig sind. Generell gilt die Verordnung für mittlere und grosse Unternehmen, wobei Ausnahmen bestehen (die Ausnahmen werden in Artikel 2 Absätze 3 und 4 der Richtlinie näher erläutert). Entscheidend ist, dass das Unternehmen für die Gesellschaft als kritisch eingestuft wird, und daher eine genauere Überwachung seiner Aktivitäten als angemessen gilt. Bei Nichteinhaltung der Richtlinie drohen Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Die Richtlinie unterteilt betroffene Unternehmen in zwei Kategorien: Unverzichtbar (Critical) und Wichtig (Important). Diese Aufteilung ist für das Kontroll- und Sanktionssystem relevant.

CRITICAL

Energie
  • Elektrizität
  • Fernwärme
  • Erdöl/Erdgas
  • Wasserstoff
Wasser
  • Trinkwasser
  • Abwasser
Gesundheit
  • Pharmazeutik
  • Medizinprodukte
  • Medizinforschung
  • Gesundheitsdienstleister
  • Labore
Digitale Infrastruktur
  • Cloud Provider
  • Rechenzentren
  • Kommunikationsnetze & -Dienste
ICT Service Management
  • Managed Services
  • Managed Security Services
Transport
  • Luftverkehr
  • Schienenverkehr
  • Strassenverkehr
  • Schifffahrt
Banken & Finanzmärkte
  • Kreditinstitute
  • Handelsplätze
Weltraum
  • Bodeninfrastrukturen von weltraumgestützten Diensten
IMPORTANT

Post und Kurier
  • Post- und Kurierdienste
Abfall
  • Abfallbewirtschaftung
Chemikalien
  • Produktion
  • Herstellung
  • Handel
  • Erzeugnisse
Lebensmittel
  • Produktion
  • Verarbeitung
  • Grosshandel
Herstellung
  • Medizinprodukte
  • Computer
  • Elektronik
  • Optik
  • elektrische Ausrüstung
  • Maschinenbau
  • Kraftwaren & Teile
  • Fahrzeugbau
Digitale Dienste
  • Marktplätze
  • Suchmaschinen
  • Soziale Netzwerke
Forschung
  • Forschungsinstitute (ohne Bildungseinrichtungen)

NIS2-Anforderungen

In NIS2 spielen Leitungsgremien und das Top-Management eine noch zentralere und aktivere Rolle bei der Verbesserung der Cybersicherheit. Es ist wichtig, dass das Sicherheitsniveau der Netz- und IT-Systeme in einem angemessenen Verhältnis zu den Risiken steht.

Zu den NIS2-Mindestanforderungen gehören:

  1. Firmeneigene Richtlinien zur Risikoanalyse und Sicherheit von IT-Systemen
  2. Umgang mit Abweichungen zu den Richtlinien
  3. Business Continuity Management, z. B. Backup- und Recovery-Planung sowie Krisenmanagement
  4. Sicherung der Kommunikation über die ganze Lieferkette, einschliesslich der Beziehungen zwischen dem Unternehmen, seinen unmittelbaren Lieferanten oder Dienstleistern
  5. Gewährleistung der Sicherheitsstandards beim Erwerb, der Entwicklung und der Wartung von Netzwerk- und Informationssystemen, einschliesslich des Umgangs und der Offenlegung von Schwachstellen.
  6. Überprüfung und Bewertung der Wirksamkeit einzelner Massnahmen als Teil des Risikomanagements im Bereich der Cybersicherheit.
  7. Grundlegende Cyber-Hygienepraktiken und Cyber-Sicherheitsschulungen.
  8. Funktionsprinzipien und Richtlinien zur Verwendung von Kryptographie und Verschlüsselung.
  9. Richtlinien über die Zutrittskontrolle, dem Schutz persönlicher Daten sowie dem Verwalten von Anlagen und Gerätschaften.
  10. Falls erforderlich, der Einsatz von mehrstufigen Authentifizierungs- oder kontinuierlichen Authentifizierungslösungen, sicherer Sprach-, Video- und Textkommunikation sowie sicherer Notfallkommunikationssysteme im Unternehmen.

(Quelle: NIS2-Richtlinie (EU) 2022/2555, 21)

Darüber hinaus müssen sich die Unternehmer um die Meldepflicht kümmern. Das bedeutet beispielsweise, dass Unternehmen innerhalb von 24 Stunden die erste Meldung über allfällige Cyberbedrohungen, die zu einer erheblichen Gefahr hätten führen können, an die Aufsichtsbehörde übermitteln müssen. Die Nachmeldung muss innerhalb von 72 Stunden und der Abschlussbericht innerhalb von 1 Monat eingereicht werden (=dreistufige Meldepflicht).

octoplant trägt dazu bei, die Mindestanforderungen der NIS2-Richtlinie zu erfüllen:

octoplant ist eine modulare Softwareplattform, welche Versionskontrolle, Backup und Cyber Security von Automatisierungssoftware und OT-Geräten kombiniert. Lesen Sie In den folgenden Abschnitten, wie die verschiedenen Module von octoplant (im Bild) helfen, die Anforderungen aus NIS2 zu erfüllen.

Risikoanalyse und Sicherheitspolitik

Das Threat Protection-Modul ist ein leistungsstarkes Tool zur Durchführung von Risikoanalysen in der OT-Umgebung. Es hilft, Schwachstellen in der Produktionsumgebung zu identifizieren und bewertet sie entsprechend dem zu erwartenden Risiko. Auf diese Weise erhalten Unternehmen einen verlässlichen Überblick über Schwachstellen und können diese rechtzeitig priorisieren.

Prävention und Umgang mit Abweichungen

Das Threat Protection-Modul greift auf die internationalen Datenbanken für Cyber Risiken (CVE, CERT und CISA) zu, und meldet automatisch mögliche Bedrohungen anhand der installierten Basis. Zudem stellen automatische Backups und Komponentenabgleiche sicher, dass unbefugte Änderungen nicht unbemerkt bleiben und das letzte funktionsfähige Backup bei Bedarf schnell eingespielt werden kann. octoplant ist so in der Lage, die OP-Umgebung präventiv zu schützen und ermöglicht schnelle Reaktion bei Störungen und der Wiederherstellung des Betriebs.

Business Continuity und Krisen Management

Da Sie jederzeit über die komplette Historie aller Version und Backups verfügen, können Sie die letzte einwandfreie Version schnell ausfindig machen, im betroffenen System wiederherstellen und Ihre Produktion in kürzester Zeit wieder aufnehmen.

Sicheres Erwerben, Entwickeln und Warten von Netzwerk- und IT/OT-Systemen, einschliesslich der Kommunikation von Schwachstellen

octoplant ist ein Change-Management-Tool, das Änderungen im OT-Umfeld pflegt und dokumentiert – unabhängig davon, ob Sie externe Lieferanten oder Dienstleister einsetzten. Das Reporting zu möglichen Schwachstellen erleichtern deren Verwaltung und die Kommunikation nach aussen wie z.B. bei der Erfüllung der NIS2-Meldepflicht.

Zugriffsmanagement und Absicherung über die ganze Lieferkette

In octoplant können Sie für jede einzelne Komponente eine Benutzersteuerung erstellen. Das bedeutet, dass Mitarbeiter, externe Berater oder andere Systemanwender nur Zugriff auf die für sie relevanten Komponenten oder Dateien haben. Die Benutzerverwaltung stellt ausserdem sicher, dass nicht jeder Informationen löschen oder dem System hinzufügen kann. Aus der Historie ist ersichtlich, dass die Änderungen wie vereinbart vorgenommen wurden. Das erhöht die Sicherheit der Lieferkette des Unternehmens und ermöglicht ein effizientes Arbeiten mit genau den Anlagen, die für die Kontinuität der Produktion relevant sind.

Kontinuierliche Auditierung – Bewertung der Wirksamkeit von Massnahmen zum Risikomanagement im Bereich der Cybersicherheit

Mit octoplant wissen Sie, wer was, wann und warum gemacht hat. Änderungen, die ausserhalb des Systems passieren, werden ebenfalls durch die automatische Sicherungsfunktion gespeichert und versioniert. Mit Hilfe von octoplant lassen sich auf einfache Weise Betriebsmethoden implementieren, mit denen die Cyber-Security-Risiken des Unternehmens gesteuert und bewertet werden können.

Zusammenfassung

Die NIS2-Richtlinie gilt für eine stetig wachsende Anzahl an Industrieunternehmen. Die Richtlinien zielen darauf ab, Cyber Security in der EU und ihrer Mitgliedstaaten zu verbessern, indem Mindestanforderungen an die Berichterstattung und das Risikomanagement definiert werden. Noch sind nicht alle Details bekannt, die NIS2-Richtlinie soll aber im Oktober 2024 bereits Teil der europäischen Gesetzgebung werden. Betroffene Unternehmen tun gut daran, bereits jetzt mit den Vorbereitungen zu beginnen. Den generell haben Bedrohungen im digitalen Umfeld in den letzten Jahren stark zugenommen, und auch ohne das Inkrafttreten der Richtlinie ist ein Schutz sehr empfehlenswert. 

Mit octoplant können Sie zuverlässige Risikoanalysen durchführen, erhalten Benachrichtigungen über verdächtige Änderungen und wissen, wer was getan hat und warum. Darüber hinaus sorgt ein automatisches Backup und deren Vergleich dafür, dass Produktionen mit den richtigen Projekten laufen und bei Unstimmigkeit jederzeit wieder in den vorherigen Arbeitszustand versetzen werden können.

NIS2 – verschärfte Cybersicherheit in der Produktion

Empfindliche Strafen ab 2024:
Wissen Sie, ob Ihr Unternehmen compliant
ist?

Könnte octoplant auch für Ihr Unternehmen eine Lösung sein?

Vereinbaren Sie gleich einen Termin. Gerne zeigen wir Ihnen, wie octoplant Ihnen helfen kann, die Herausforderungen Ihres Unternehmens im Hinblick auf die NIS2-Anforderungen zu meistern.

mehr Insights