Ein tiefer Einblick in die NIS2-Richtlinie für die Cyber-OT-Sicherheit

Die NIS2-Richtlinie ist eine Regulierung der Europäischen Union (EU), die darauf abzielt, kritische Infrastrukturen vor Cyberangriffen zu schützen und umfasst erweiterte Vorschriften für die OT Cyber Security und die IT/OT Integration [1] [9]. Sie verlangt von Betreibern wesentlicher Dienste und digitalen Diensteanbietern die Implementierung von Cybersicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen, was die Bedeutung von Cyber Security OT und OT Security unterstreicht [1].

Mit der Einfihrung der NIS2-Richtlinie ergeben sich signifikante Veranderungen fiir Unternehmen im Bereich Operational Technology (OT), da sie auf rund 25.000 bis 40.000 Unternehmen in
Deutschland anwendbar ist und sich auf diverse Sektoren, einschlieSlich OT-Netzwerke und OT-Cybersecurity, erstreckt ‘51 [9], Dadurch werden Unternehmen in der OT-Branche gezwungen,
umfangreichere Risikomanagementmafnahmen einzuftihren und eine hohere Transparenz beziiglich Sicherheitsvorfallen zu gewahrleisten

Wichtige Anderungen und ihre Auswirkungen auf OT

Die NIS2-Richtlinie fiihrt zu bedeutenden Anderungen und Herausforderungen fir Unternehmen im Bereich Operational Technology (OT), insbesondere:

1. Erweiterung des Anwendungsbereichs: Die Richtlinie deckt nun 18 Sektoren ab, die Mindeststandards für das Management von Cybersicherheitsrisiken und definierte Meldepflichten
erfüllen müssen
[12]. Dies umfasst sowohl kritische Sektoren (Anhang I und II) als auch Unternehmen unterschiedlicher Größe, von mittelgroßen bis zu großen Unternehmen, sowie
bestimmte Anbieter digitaler Infrastrukturen, unabhängig von ihrer Größe
[12]. 2. Strengere Vorschriften und Verantwortlichkeiten: 3. Unternehmen müssen angemessene technische, betriebliche und organisatorische Maßnahmen zur Risikomanagement und Minimierung der Auswirkungen von Sicherheitsvorfällen
implementieren
[12]. Zu den verstärkten Regulierungen gehören Risikoanalysen, Backups, Verschlüsselung, Zugangskontrollen, mehrstufige Authentifizierung, Schulungen für Mitarbeiter und die Bewertung der Cybersicherheit von OT-Systemen und Lieferketten
[3]. CEOs tragen persönliche Haftung für Cyber-Risiken und potenzielle Schäden, mit strengen Strafen und Bußgeldern für Verstöße
[14]. 3. Anpassung an neue Standards: 4. Die Herausforderung besteht darin, ein effektives organisatorisches Rahmenwerk für die Zusammenarbeit zwischen Management, IT und OT-Sicherheitsingenieuren zu schaffen
[15]. Unternehmen müssen grundlegende Cyberhygiene-Maßnahmen einschließlich Zero-Trust-Prinzipien, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement, Benutzerbewusstsein und Mitarbeiterschulungen einführen
[13]. Bis Oktober 2024 müssen betroffene Unternehmen ihre Operational Technology (OT) an die neuen Standards anpassen und diese mit IT-Sicherheitsmaßnahmen in Einklang bringen
[15].

Auswirkungen der NIS2-Richtlinie auf OT-Unternehmen

Die NIS2-Richtlinie markiert einen Wendepunkt in der Cyber-OT-Sicherheitslandschaft für Unternehmen, indem sie neue Anforderungen und Verantwortlichkeiten einführt, die eine umfassende Anpassung erfordern. Die Auswirkungen auf OT-Unternehmen lassen sich in drei Hauptbereiche gliedern:
Finanzielle und operationelle Konsequenzen: Cyberangriffe können erhebliche finanzielle Verluste verursachen, wobei 10% der Unternehmen Schäden von über einer Million Euro
erleiden
[3]. Zusätzlich führen 14% der Unternehmen operationelle Unterbrechungen von mehr als vier Wochen aufgrund von Ransomware-Angriffen an
[3]. Diese Zahlen unterstreichen die Dringlichkeit für OT-Unternehmen, robuste Cybersicherheitsmaßnahmen zu implementieren. Erweiterte Compliance-Anforderungen: Die NIS2-Richtlinie stellt erhöhte Anforderungen an das Management von Cybersicherheitsrisiken und die Berichterstattung von
Sicherheitsvorfällen
[14] [16] [17]. Unternehmen müssen nicht nur angemessene Sicherheitsmaßnahmen ergreifen, sondern auch signifikante Vorfälle den nationalen Behörden melden. Dies
erfordert eine sorgfältige Dokumentation und Compliance-Überprüfung, um potenzielle Strafen zu vermeiden
[16] [17]. Strategische Neuausrichtung der Cybersicherheit: Die Richtlinie betont die Wichtigkeit einer starken Cyberresilienz und fordert Unternehmen auf, ihre Sicherheitsstrategien neu zu
definieren
[14] [18]. Dies beinhaltet die Implementierung spezifischer Anforderungen wie Sicherheitsmaßnahmen zur Gewährleistung der Integrität, Verfügbarkeit, Vertraulichkeit und Robustheit ihrer Netzwerk- und Informationssysteme
[18]. Darüber hinaus müssen Unternehmen erhebliche Sicherheitsvorfälle an die nationalen Behörden melden
[18].
Diese Anforderungen und die damit verbundenen Herausforderungen verlangen von OT-Unternehmen eine proaktive Herangehensweise, um die Compliance sicherzustellen und sich gegen die wachsenden Cyberbedrohungen zu schützen.

Fallstudien: Anpassung an NIS2 in der OT-Branche

Die Anpassung an die NIS2-Richtlinie in der OT-Branche kann durch folgende Fallstudien verdeutlicht werden:
Implementierung der CER-Richtlinie: Die CER-Richtlinie zielt darauf ab, die physische und Cyber-Resilienz kritischer Infrastrukturen zu stärken, wobei sie 11 Sektoren abdeckt, die
größtenteils mit den NIS2-Sektoren übereinstimmen
[12]. Für die Umsetzung in nationales Recht wird das KRITIS Dachgesetz verwendet
[12]. Kritische Entitäten müssen alle 4 Jahre eine
Risikobewertung durchführen und angemessene Maßnahmen zur Vorbeugung und Bewältigung von Vorfällen implementieren, die technische, organisatorische und sicherheitsrelevante Aspekte umfassen
[12]. Nationale Risikobewertung: Bis zum 17. Januar 2026 müssen die Mitgliedstaaten Organisationen identifizieren, die der CER-Richtlinie unterliegen, durch eine nationale Risikobewertung
[12]. Eine kritische Entität wird als Organisation definiert, die wesentliche Dienstleistungen bereitstellt, bei denen ein Sicherheitsvorfall zu erheblichen Störungen dieser Dienste oder
abhängiger wesentlicher Dienste führen könnte
[12]. Unterstützung durch Insight: Insight bietet Managed Security Operations Services für aktives Monitoring und Reporting sowie eine NIS2-Bewertung an, um Kunden zu helfen, die Auswirkungen der NIS2 auf ihr Geschäft zu verstehen und sich auf die neuen Vorschriften vorzubereiten [20]. Ein Resilienzplan muss dokumentiert und von einer zuständigen Behörde
überwacht werden [12]

Schlussfolgerung und Handlungsempfehlungen

Die NIS2-Richtlinie stellt einen entscheidenden Schritt in der Evolution der Cyber-OT-Sicherheitslandschaft dar, indem sie umfassende Anforderungen und Herausforderungen für Unternehmen
in diesem Sektor einführt. Durch die Erweiterung des Anwendungsbereichs, die Einführung strengerer Vorschriften und die Notwendigkeit einer Anpassung an neue Standards werden Unternehmen gezwungen, ihre Cybersicherheitsmaßnahmen grundlegend zu überdenken und zu stärken. Dies ist essentiell, um die Integrität, Verfügbarkeit, Vertraulichkeit und Robustheit
ihrer Netzwerk- und Informationssysteme zu gewährleisten und sich gegen die wachsenden Cyberbedrohungen zu schützen.

Abschließend betrachtet, stellt die NIS2-Richtlinie eine wesentliche Herausforderung, aber auch eine Gelegenheit für Unternehmen im OT-Bereich dar. Sie zwingt zur strategischen Neuausrichtung der Cybersicherheitsansätze und fördert eine stärkere Cyberresilienz. Für die erfolgreiche Umsetzung dieser Vorgaben ist es von entscheidender Bedeutung, dass betroffene Unternehmen nicht nur die notwendigen technischen und organisatorischen Maßnahmen ergreifen, sondern auch in die Aufklärung und Schulung ihres Personals investieren. Langfristig
können diese Anstrengungen dazu beitragen, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken und die Gesellschaft als Ganzes vor den Auswirkungen schwerwiegender Cyberangriffe zu schützen.

FAQs

Wer ist verpflichtet, die NIS2-Richtlinie zu implementieren?

Bis Oktober 2024 müssen alle EU-Mitgliedsstaaten die NIS2-Richtlinie in ihr nationales Recht umsetzen. In Deutschland gibt es seit Juli 2023 einen Referentenentwurf des Bundesinnenministeriums für die Umsetzung, der als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) bekannt ist.

Wie weiß ich, ob die NIS2-Richtlinie auf mich zutrifft?

Sie sind von der NIS2-Richtlinie betroffen, wenn Ihr Unternehmen Dienstleistungen innerhalb der EU anbietet oder dort aktiv ist, mehr als 50 Mitarbeiter beschäftigt oder einen Jahresumsatz
sowie eine Bilanzsumme von mehr als 10 Millionen Euro aufweist und zu einem der kritischen Sektoren gehört.

Was umfasst der Begriff Cybersicherheit?

Cybersicherheit bezieht sich auf alle Maßnahmen, die darauf abzielen, kriminelle Angriffe gegen elektronische Systeme, Netzwerke, Daten und Endgeräte wie Computer und Smartphones zu
verhindern. Dies umfasst Prävention, Erkennung und Reaktion auf Sicherheitsbedrohungen.

Wer trägt die Verantwortung für Cybersicherheit?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), ansässig in Bonn, ist die zuständige Behörde für Cybersicherheitsfragen in Deutschland. Das BSI spielt eine zentrale Rolle bei der Gestaltung der Informationssicherheit im Zuge der Digitalisierung und ist für Prävention, Detektion und Reaktion auf Cyberbedrohungen zuständig.

Referenzen

[1] – https://waterfall-security.com/ot-insights-center/ot-cybersecurity-insights-center/nis2-and-its-impact-on-operational-technology-cybersecurity/
[2] – https://www.pwc.de/de/cyber-security/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html
[3] – https://www.ove.at/ove-news/details/cybersicherheit-fuer-unternehmen-umsetzung-der-nis2-richtlinie-steht-bevor/
[4] – https://www.trendmicro.com/de_de/research/23/g/verbesserungen-und-umsetzung-der-nis2-richtlinie.html
[5] – https://www.tuev-nord.de/de/unternehmen/bildung/wissen-kompakt/nis2-richtlinie/
[6] – https://mhl.de/de/wissen/nis2.php
[7] – https://www.nis.gv.at/nis-2-richtlinie.html
[8] – https://www.secjur.com/blog/fur-wen-gilt-nis2
[9] – https://www.pwc.at/de/dienstleistungen/wirtschaftspruefung/cybersecurity/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html
[10] – https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
[11] – https://www.aeroaccess.de/news/cybersecurity/nis-2-cybersicherheit-fuer-ihr-unternehmen-alles-was-sie-wissen-muessen/
[12] – https://www.sichere-industrie.de/eu-nis2-richtlinie-und-cer-fuer-kritis/
[13] – https://at.devoteam.com/nis-2-richtlinie-aenderungen-quaste-audit/
[14] – https://www.trendmicro.com/de_de/business/solutions/nis2.html
[15] – https://www.connect-professional.de/security/herausforderung-ot-sicherheit-meistern.329121.html
[16] – https://www.secjur.com/blog/nis2-deutschland
[17] – https://www.mightycare.de/nis2-richtlinie/
[18] – https://brekom.de/ratgeber-it-sicherheit/kurz-kompakt-nis2-ratgeber-fuer-geschaeftsfuehrer-und-it-leiter/
[19] – https://www.sailpoint.com/de/blog/foot-to-the-floor-ahead-of-2024-what-nis2-means-for-your-business/
[20] – https://de.insight.com/de_DE/content-and-resources/2024/articles/nis2-richtlinie-welche-konsequenz-fuer-ihr-unternehmen.html