NIS2-Anforderungen in der OT
Cybersicherheit & Risikomanagement werden integraler Teil des OT-Betriebs
Neben Risikomanagement und Asset Management wird auch die Fähigkeit, auf Cybervorfälle in der OT schnell und effektiv reagieren zu können, zur gesetzlichen Pflicht. Für KRITIS-Unternehmen bleiben die Anforderungen aus dem IT-SiG 2.0 nach einem Angriffserkennungssystem bestehen.
So setzen Sie NIS2 in Ihrer OT um
Dieses e-Book untersucht, welche Auswirkungen die aktualisierte europäische Richtlinie zur Netz- und Informationssicherheit (NIS2) auf Unternehmen (oder Einrichtungen, wie sie in der Richtlinie genannt werden) haben wird. Das eBook startet mit einer kurzen Einordnung der NIS2-Direktive in das größere Framework der Europäischen Cybersicherheitsstrategie.
In Kapitel 2 werden die praktischen Einschränkungen erörtert, denen viele Unternehmen bei der Umsetzung der Anforderungen in der OT begegnen werden. Insbesondere wird auf das dadurch entstehende Restrisiko eingegangen. Kapitel 3 erläutert, wie diese Einschränkungen überwunden und das Restrisiko der realen Handlungsfähigkeit unter Kontrolle gebracht werden können. Abschließend gibt Andreas Könen vom BMI Tipps, welche Schritte Unternehmen vornehmen sollten.
Herausforderungen von NIS2 in der OT
Die Umsetzung stellt Unternehmen vor ernst zu nehmende Herausforderungen:
- Wie kann die Blackbox OT aufgebrochen werden, um Asset Management und Angriffserkennung in industrieller Infrastruktur überhaupt erst zu ermöglichen?
- Wie soll mit OT-Komponenten und -Systemen von Drittanbietern umgegangen werden, die wenige bis keine Sicherheitsfunktionen anbieten?
- Wie kann die Effektivität der Cybersicherheitsmaßnahmen überprüft werden?
Eine unbekannte Komponente in der OT oder ein unsicheres System eines Zulieferunternehmens reichen aus, um die Gesamtsicherheit der OT zu gefährden.
Andreas Könen, BMI
Leiter Abteilung für Cyber und Informationssicherheit
»Mit dem KRITIS-Dachgesetz und dem NIS2UmsuCG wollen wir Unternehmen klare Maßgaben geben, wie sie sich sowohl in der physischen als auch in der digitalen Welt aufstellen sollen, so dass sie resilient sind und sie bestimmte Krisenlagen auch unbeschadet überstehen. Das ist ein Gesamtkonzept«.
Angriffserkennung nach NIS2 und Restrisiko unter Kontrolle bekommen
Zu den Top-Prioritäten für Unternehmen bei der Umsetzung von NIS2 zählen deshalb:
- OT auf bestehende Risiken untersuchen sowie in das Risikomanagement und die IT-Sicherheit einbetten.
- Sichtbarkeit in der OT herstellen, um alle Assets zu identifizieren und Angriffe und potenzielle Störungen der industriellen Prozesse frühzeitig zu erkennen.
- Das Restrisiko aus der Supply Chain unter Kontrolle bekommen, in dem gefährdende Kommunikation oder Aktivitäten von Komponenten und Systemen in der OT beim ersten Auftreten erkannt werden.
- Intern Knowhow zum Thema “OT-Sicherheit” aufbauen.
Informieren Sie sich weiter zur NIS2-Compliance in der OT
NIS2-Compliance durch Risikoanalyse und OT-Sicherheitsmonitoring
Rhebo unterstützt KRITIS- und Industrieunternehmen bei der gesamten Reise zu durchgängiger OT-Cybersicherheit nach NIS2:
Durchführung einer Schwachstellenbewertung und Risikoanalyse der bestehenden OT-Netze.
Integration eines Systems zur Angriffserkennung in der OT mit kontinuierlichem OT-Monitoring, Echtzeit-Anomalieerkennung und SIEM-Anbindung.
Bei Bedarf Betreuung beim Betrieb des Angriffserkennungssystems mit Training-on-the-job für die Unternehmen.