Die NIS2-Direktive ist clever gestrickt. Denn sie nutzt die Idee des Trickle-Down-Effekts, um über die gelisteten sehr wichtigen und wichtigen Sektoren auch alle anderen Sektoren einzubinden. Am Ende gilt NIS2 somit für alle Unternehmen am Markt.
Dieser geschickte und absolut richtige Winkelzug ergibt sich aus zwei Forderungen der NIS2:
- Cybersicherheit muss Kernaspekt beim Kauf von IT/OT-Systemen oder -Dienstleistungen sein.
- Cybersicherheit muss Kernaspekt bei der Auswahl von Zulieferunternehmen sein. Das soll sogar so weit reichen, dass beim Zulieferer eine sichere Produktentwicklung forciert werden soll.
Da die sehr wichtigen und wichtigen Unternehmen in der Regel eine starke Marktmacht darstellen, werden Zulieferunternehmen somit ganz marktökonomisch angehalten, selbst ganzheitlich ihre Cybersicherheit zu stärken. Da die Anforderungen direkt ihre Produkte und Dienstleistungen betreffen, wird die Cybersicherheit zum Basiselement jeglicher Produktentwicklung.
In Bezug auf die bisher eher “insecure by design” OT-Komponenten und -Systeme ist das eine absolut gute Nachricht. Sie wird Zulieferunternehmen über die Nachfrage dazu verpflichten, ihre Produkte hinsichtlich der Cybersicherheit zu überarbeiten.
Die EU denkt Cybersicherheit größer
Zudem darf die NIS2-Direktive nicht als Einzelregularie betrachtet werden. Sie ist eingebettet in das größere Cybersicherheits-Framework das aktuell in Europa entsteht. Nicht zuletzt der Cyber Resilience Act (CRA) macht dies deutlich. Wird der Act so verabschiedet, wie derzeit in der Entwurfsfassung formuliert, wird Cybersicherheit zum Bestandteil jedes CE-Konformitätsprozesses. Geräte und Systeme, die ein CE-Zeichen benötigen, müssen damit automatisch cybersicher sein.
Wie das in der Praxis aussehen kann, zeigt das Unternehmen Sonnen, das Energiespeichersysteme für Privathaushalte entwickelt und vertreibt. Das Shell-Tochterunternehmen hat seit Anfang 2020 auf seinen ferngesteuerten Energiespeichersystemen ein industrielles Sicherheitsmonitoring mit Anomalieerkennung integriert, um seine Flotte und Endkunden zu schützen.
Stand Oktober 2023 überwacht Rhebo IIoT Security über 50.000 Energiespeicher von Sonnen weltweit.
Mit dem CRA erfolgt ein Rundumschlag, der weiter als die NIS2-Direktive wirken wird. Und die EU will es richtig machen und Klarheit schaffen. Soll heißen: klare Anleitungen und Rahmenbedingungen formulieren, damit keine Missverständnisse bezüglich all der geltenden internationalen, nationalen, sektorspezifischen Standards entstehen.
Alle Zeichen stehen auf IEC 62443
Und wie es aussieht, geht die Reise in Richtung ISO/IEC 62443, der umfassenden Standardfamilie zum Thema Cybersicherheit in vor allem industriell geprägten Unternehmen.
Schließlich wurde jüngst das CLC/TC 65X Technical Committee beauftragt, die Harmonisierung der bestehenden Sicherheitsstandards zu erarbeiten. CLC steht für die Europäische Standardorganisation CENELEC. TC 65X ist die Verbindung zwischen CENELEC und dem IEC-Kommittee TC 65. Letzteres zeichnet sich für die IEC 62443 Standardfamilie verantwortlich.
Alle Industrieunternehmen und industriell geprägten Unternehmen sind somit gut beraten, sich frühzeitig mit dem IEC 62443 Standard auseinanderzusetzen. Wie, erklären wir in unserem IEC 62443 Blogpost.
Teil 1 oder 2 der Trilogie verpasst? Beginnen wir einfach ganz von vorn.