Fünf Schritte zur NIS2-basierten OT-Cybersicherheit
Die Digitalisierung der Industrie macht kritische Infrastrukturen zu beliebten Zielen für Cyberangriffe, was sowohl Unternehmen als auch die Gesellschaft gefährdet. Daher gewinnt Cybersicherheit für Gesetzgeber an Bedeutung. Die NIS2-Richtlinie der EU zielt darauf ab, die allgemeine Cybersicherheit durch rechtliche Maßnahmen zu verbessern, mit Schwerpunkt auf Abwehrbereitschaft und Zusammenarbeit in kritischen Sektoren.
Die NIS2-Richtlinie verpflichtet Betreiber kritischer Dienstleistungen, angemessene Sicherheitsmaßnahmen zu ergreifen und schwerwiegende Vorfälle den nationalen Behörden zu melden. Sie müssen zudem die Sicherheitsrisiken in ihren Lieferketten verringern, indem sie die Cybersicherheitspraktiken von Lieferanten überprüfen. Die NIS2, ein überarbeiteter EU-Rechtsrahmen zur Cybersicherheit, trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten müssen sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Am 24. Juli 2024 beschloss das Bundeskabinett den Entwurf zur Umsetzung der NIS2-Richtlinie in Deutschland. Unternehmen riskieren bei Nichteinhaltung Bußgelder, Haftung des Managements und befristete Sperren für Verantwortliche.
Mit folgenden fünf Schritten können Unternehmen sich auf NIS2 und deren nationale Umsetzung vorbereiten, indem sie Programme und Verfahren einführen, die die wichtigsten Anforderungen abdecken:
Schritt 1: Führungsebene sensibilisieren
- Informieren Sie die oberste Führungsebene über die Risiken und Anforderungen der NIS2-Richtlinie.
- Arbeiten Sie mit Geschäftsleitung und Managementteams zusammen, um das Bewusstsein für Cybersicherheitsrisiken zu schärfen.
Schritt 2: Zusammenarbeit im Unternehmen
- Überprüfen Sie die in der NIS2-Richtlinie beschriebenen Maßnahmen mit internen Teams.
- Bestimmen Sie den aktuellen Reifegrad des Unternehmens in Bezug auf Cybersicherheitsmandate.
Schritt 3: Reaktionsfähigkeit und Berichterstattung
- Stellen Sie sicher, dass das Unternehmen über einen vollständigen und geübten Incident Response Plan verfügt.
- Entwickeln Sie einen Geschäftskontinuitäts- und Krisenmanagementplan, der alle Bereiche des Unternehmens abdeckt.
Schritt 4: Sicherheit der Lieferkette evaluieren
- Erstellen Sie eine Liste aller genutzten Assets und deren Anbieter, die Teil der Lieferkette sind.
- Bewerten Sie die Sicherheit aller verwendeten Hardware- und Softwarelösungen, insbesondere im Hinblick auf ihre Vernetzung.
Schritt 5: Roadmap für OT-Cybersicherheit erstellen
- Entwickeln Sie eine Roadmap, die den aktuellen Reifegrad und zeitgebundene Pläne zur Verbesserung der Cyberbereitschaft enthält.
- Berücksichtigen Sie dabei Technologieeinführung und Personalentwicklung, um den Fortschritt kontinuierlich messen zu können.
Führungskräfte müssen sich jetzt aktiv um die OT-Cybersicherheit kümmern. Ein koordinierter Ansatz hilft, die Cybersicherheitsrisiken besser zu managen und Lücken zwischen verschiedenen Sektoren zu schließen. So können Unternehmen ihre OT-Cybersicherheit verbessern und sich auf die NIS2-Richtlinie vorbereiten.
Kai Thomsen, Director of Global Incident Response Services bei Dragos