NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Illustration Absmeier foto freepik ki-generiert

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter.

Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt auf der Abwehrbereitschaft und der Zusammenarbeit in kritischen Sektoren liegt. Die Richtlinie verpflichtet die Betreiber kritischer Dienstleistungen, angemessene Sicherheitsmaßnahmen zu ergreifen. Sie müssen die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren und die Sicherheitsrisiken in ihren Lieferketten verringern, indem sie die Produktqualität und die Cybersicherheitspraktiken von Lieferanten und Dienstleistern überprüfen.

NIS2 ist ein überarbeiteter Rechtsrahmen basierend auf dem ersten EU-weiten Rechtsakt zur Cybersicherheit. Sie trat am 16. Januar 2023 in Kraft und Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Am 24. Juli 2024 hat das Bundeskabinett den vorgelegten Entwurf des Gesetzes zur Stärkung der Cybersicherheit in Deutschland beschlossen, der die Umsetzung der EU-Richtlinie NIS2 regelt. Unternehmen riskieren bei Nichteinhaltung der Vorschriften Bußgelder, die Haftung des Managements, befristete Sperren für Verantwortliche und mehr.

Mit den folgenden fünf Schritten können Unternehmen bereits jetzt eine Grundlage für NIS2 beziehungsweise die nationale Umsetzung von NIS2 schaffen, indem sie Programme und Verfahren einführen, die einige der wichtigsten Anforderungen adressiert:

Schritt 1: Die oberste Führungsebene sensibilisieren
Die oberste Führungsebene sollte über das Risikomanagement im Bereich der Cybersicherheit, die NIS2-Anforderungen und die möglichen Auswirkungen der Beibehaltung des Status sensibilisiert werden. In diesem Zusammenhang empfiehlt es sich, mit der Geschäftsleitung und den Managementteams zusammenzuarbeiten, damit alle Beteiligten in die Diskussion über die NIS2-Anforderungen einbezogen werden.

Schritt 2: Zusammenarbeit im Unternehmen
Die in der NIS2-Richtlinie beschriebenen Maßnahmen zum Management von Cybersicherheitsrisiken sollten in Zusammenarbeit mit internen Teams überprüft werden. Eine Bestimmung des Reifegrads in Bezug auf die einzelnen Mandate ist zu empfehlen

Schritt 3: Reaktionsfähigkeit und Berichterstattung
Verfügt das Unternehmen über einen vollständig ausgearbeiteten, vereinbarten und geübten Incident Response Plan bei Vorfällen? Ist bekannt, was die Reaktion auf einen Vorfall auslöst? Verfügt das Unternehmen über einen Geschäftskontinuitäts- und Krisenmanagementplan, der alle Bereiche des Unternehmens umfasst?

Schritt 4: Evaluation der Sicherheit der Lieferkette
Zu diesem Zweck wird eine Liste aller Assets, die in der Umgebung des Unternehmens im Einsatz sind, benötigt – jeder dieser Assets-Anbieter ist Teil der Lieferkette. Welche Softwarelösungen werden in welchem Prozess eingesetzt? Alle diese Anbieter müssen bewertet werden. Das Gleiche gilt für die Hardware- und Softwarelösungen auf Unternehmensebene, da sie über Netzwerke mit anderen Werken und Betrieben des Unternehmens verbunden sind.

Schritt 5: Erstellung einer Roadmap für die OT-Cybersicherheit
Eine Roadmap sollte den aktuellen Reifegrad in den wichtigsten Bereichen sowie zeitgebundene Pläne zur Verbesserung und Optimierung enthalten. Von der Technologieeinführung bis hin zur Personalentwicklung sollte eine langfristige Übersicht über Cyberbereitschaft erstellt werden, damit Fortschritt konsequent gemessen werden kann.

Führungskräfte müssen jetzt eine aktive Rolle bei der Überwachung und Umsetzung der OT-Cybersicherheit übernehmen. Ein koordinierterer Ansatz für die Cybersicherheit regelt das Management von Netzwerk- und Informationssicherheitsrisiken und kann die Lücken in der Cybersicherheitsresilienz zwischen verschiedenen Sektoren schließen. So können Unternehmen ihre OT-Cybersicherheit auf den neuesten Stand bringen und eine Basis für die NIS2-Richtlinie schaffen.

Kai Thomsen, Director of Global Incident Response Services bei Dragos

 

96 Artikel zu „NIS2“

NIS2 und KRITIS-Dach: Neun Bausteine für sichere industrielle Steuerungs- und Automatisierungssysteme

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000: eco Verband gibt 9 Tipps zur Steigerung der Cyberresilienz industrieller Steuerungsanlagen.   Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert…

EU-Direktive NIS2: So stellen Sie Ihre Task Force zusammen

Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.   Die neue NIS2-Direktive stellt konkrete Anforderungen an die technischen…

Die Hausordnung für IT-Systeme: NIS2

NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende…

NIS2: Das kommt im 2. Halbjahr 2024 auf Unternehmen zu

Umsetzung der EU-Richtlinie zum Schutz vor Cyberbedrohungen.   Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber…

NIS2: Jedes dritte Unternehmen setzt die Richtlinie bereits um

Bei einem weiteren Drittel der Befragten ist die Umsetzung noch in Planung.   38 Prozent der deutschen Unternehmen haben noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen. Dabei ist es höchste Zeit: Mit dem Gesetzentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 soll…

Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen

Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…

Countdown zur NIS2-Richtlinie: So können IT-Teams Blind Spots im eigenen Netzwerk fristgerecht eliminieren

NIS2 soll die Cyber- und Informationssicherheit EU-weit maßgeblich stärken. Zum Stichtag am 17. Oktober 2024 muss die Direktive in nationales Recht umgewandelt werden. Angesichts der sich zuspitzenden Cyber-Security-Lage ist das auch absolut notwendig, weiß Ali Moniri, Senior Sales Engineer bei Gigamon. Für Unternehmen bedeutet das: ranklotzen! Denn es bleibt nur noch wenig Zeit für die…

Sich effektiv auf die NIS2-Richtlinie vorbereiten

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.   Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in…

IT-Compliance: NIS2 – Vorbereitung ist alles!

Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.   Gesetzliche Regularien sind…

Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen

Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…

NIS2 – Mehr Cybersicherheit für Europa

Die neue EU-Richtlinie »Netzwerk- und Informationssysteme 2« (NIS2) soll für mehr Cybersicherheit in Unternehmen, Behörden und Privathaushalten sorgen. Das Ziel ist es, insbesondere kritische Infrastrukturen in Zukunft besser vor Cyberattacken zu schützen. Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 in nationale Gesetze gießen. Dabei ist zu erwarten, dass in einigen Ländern die Richtlinien strenger umgesetzt…

NIS2-Richtlinie stärkt europäische Cybersicherheit – was das für Unternehmen bedeutet

Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen.   Die digitale Transformation…

Digitale Wirtschaft wächst und wächst

Laut Forrester wird die globale digitale Wirtschaft von 11,8 Billionen Dollar im Jahr 2023 auf 16,5 Billionen Dollar im Jahr 2028 mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 7 % wachsen. Der Online-Einzelhandel und die Online-Reisebranche sind die Haupttreiber des Wachstums der digitalen Wirtschaft. Es wird erwartet, dass beide ihren Anteil an der globalen digitalen…

C-Level mit Wissenslücken trifft auf CISOs mit Tunnelblick

Überzogene Zuversicht und eindimensionale Wahrnehmung von Cyberbedrohungen unterminieren firmenweites Risikomanagement.   C-Level-Entscheider außerhalb der IT haben teils deutliche Wissenslücken und ein mangelndes Bewusstsein, wenn es um Cyberrisiken geht. Aber auch CISOs neigen dazu, diese Risiken erstaunlich einseitig zu betrachten. Das zeigt eine aktuelle Studie des Technologieunternehmens Ivanti zum Cyber-Risikomanagement in Unternehmen [1].   Blickwinkel Risikobewusstsein…

WORM als einfachste und wirkungsvollste Antwort auf die Ransomware-Gefahr für Backups

Ransomware ist eine Bedrohung, mit der jedes Unternehmen und jede öffentliche Einrichtung rechnen muss. Ausgeklügelte Security-Maßnahmen und -Lösungen unter Einbindung von künstlicher Intelligenz bieten ein hohes Schutzniveau, können allergings kaum garantieren, dass jede neue Angriffsvariante zuverlässig erkannt und abgewehrt wird. Erschwerend kommt hinzu, dass viele Unternehmen aufgrund von Budget- und Fachkräftemangel nicht den maximal möglichen…

Hackerangriffe auf Anwendungen und APIs nehmen zu

Zwischen dem ersten Quartal 2023 und dem ersten Quartal 2024 erfolgte ein Anstieg der Webangriffe um 21 Prozent. Akamai Technologies stellt seinen neuen »State of the Internet«-Bericht (SOTI) vor. Aus dem Bericht »Digitale Festungen unter Beschuss: Bedrohungen für moderne Anwendungsarchitekturen« geht hervor, dass die Zahl der monatlichen Angriffe auf Webanwendungen und APIs in Europa, dem Nahen Osten und…

Die drei wichtigsten Konversationen, die jeder CISO beherrschen sollte

Eine aktuelle, internationale Studie von zeigt, dass es für Führungskräfte oftmals eine Herausforderung darstellt, Cyberrisiken zu verstehen [1]. Etwas mehr als ein Drittel (35 Prozent) der kleineren Unternehmen, die für die Studie befragt wurden, gibt an, dass Führungskräfte Cyberangriffe nicht als signifikantes Risiko ansehen – und ein Viertel der befragten Unternehmen ist der Meinung, dass…

IT-Sicherheit als zentrale Herausforderung

Unternehmen in Deutschland und weltweit stufen laut des Allianz Risk Barometer 2024 Cybervorfälle als ihr größtes Risiko ein. Managed Security Service Provider wie byon unterstützen mit Herstellern wie Fortinet gerade mittelständische Unternehmen dabei, dieses Risiko in den Griff zu bekommen.   Die IT-Sicherheit ist für mittelständische Unternehmen in Deutschland eine zentrale Herausforderung. Sie ist mit…

Neues EU-Lieferkettengesetz – neue Sorgfaltspflichten: Wie Unternehmen rechtzeitig reagieren

Am 5. Juli 2024 veröffentlichte die EU den finalen Gesetzestext zur EU-Lieferkettenrichtlinie, die sogenannte Corporate Sustainability Due Diligence Directive (CSDDD). Nun haben die Mitgliedstaaten zwei Jahre Zeit, die CSDDD in nationales Recht umzuwandeln. Betroffen sind Unternehmen mit mehr als 1.000 Mitarbeitern und einem weltweiten Nettoumsatz über 450 Mio. Euro. Für Deutschland bedeutet die neue Richtlinie…