Home » News » KRITIS » Fünf Schritte zur NIS2-basierten OT-Cybersicherheit

Fünf Schritte zur NIS2-basierten OT-Cybersicherheit

Die Digitalisierung der Industrie macht kritische Infrastrukturen zu beliebten Zielen für Cyberangriffe, was sowohl Unternehmen als auch die Gesellschaft gefährdet. Daher gewinnt Cybersicherheit für Gesetzgeber an Bedeutung. Die NIS2-Richtlinie der EU zielt darauf ab, die allgemeine Cybersicherheit durch rechtliche Maßnahmen zu verbessern, mit Schwerpunkt auf Abwehrbereitschaft und Zusammenarbeit in kritischen Sektoren.

1 Min. Lesezeit
A virtual city shielded by a dome representing the NIS2 Directive and Cyber Resilience Act.
Foto: ©AdobeStock/ImageKing

Die NIS2-Richtlinie verpflichtet Betreiber kritischer Dienstleistungen, angemessene Sicherheitsmaßnahmen zu ergreifen und schwerwiegende Vorfälle den nationalen Behörden zu melden. Sie müssen zudem die Sicherheitsrisiken in ihren Lieferketten verringern, indem sie die Cybersicherheitspraktiken von Lieferanten überprüfen. Die NIS2, ein überarbeiteter EU-Rechtsrahmen zur Cybersicherheit, trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten müssen sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Am 24. Juli 2024 beschloss das Bundeskabinett den Entwurf zur Umsetzung der NIS2-Richtlinie in Deutschland. Unternehmen riskieren bei Nichteinhaltung Bußgelder, Haftung des Managements und befristete Sperren für Verantwortliche.

Mit folgenden fünf Schritten können Unternehmen sich auf NIS2 und deren nationale Umsetzung vorbereiten, indem sie Programme und Verfahren einführen, die die wichtigsten Anforderungen abdecken:

Schritt 1: Führungsebene sensibilisieren

  • Informieren Sie die oberste Führungsebene über die Risiken und Anforderungen der NIS2-Richtlinie.
  • Arbeiten Sie mit Geschäftsleitung und Managementteams zusammen, um das Bewusstsein für Cybersicherheitsrisiken zu schärfen.

Schritt 2: Zusammenarbeit im Unternehmen

  • Überprüfen Sie die in der NIS2-Richtlinie beschriebenen Maßnahmen mit internen Teams.
  • Bestimmen Sie den aktuellen Reifegrad des Unternehmens in Bezug auf Cybersicherheitsmandate.

Schritt 3: Reaktionsfähigkeit und Berichterstattung

  • Stellen Sie sicher, dass das Unternehmen über einen vollständigen und geübten Incident Response Plan verfügt.
  • Entwickeln Sie einen Geschäftskontinuitäts- und Krisenmanagementplan, der alle Bereiche des Unternehmens abdeckt.

Schritt 4: Sicherheit der Lieferkette evaluieren

  • Erstellen Sie eine Liste aller genutzten Assets und deren Anbieter, die Teil der Lieferkette sind.
  • Bewerten Sie die Sicherheit aller verwendeten Hardware- und Softwarelösungen, insbesondere im Hinblick auf ihre Vernetzung.

Schritt 5: Roadmap für OT-Cybersicherheit erstellen

  • Entwickeln Sie eine Roadmap, die den aktuellen Reifegrad und zeitgebundene Pläne zur Verbesserung der Cyberbereitschaft enthält.
  • Berücksichtigen Sie dabei Technologieeinführung und Personalentwicklung, um den Fortschritt kontinuierlich messen zu können.

Führungskräfte müssen sich jetzt aktiv um die OT-Cybersicherheit kümmern. Ein koordinierter Ansatz hilft, die Cybersicherheitsrisiken besser zu managen und Lücken zwischen verschiedenen Sektoren zu schließen. So können Unternehmen ihre OT-Cybersicherheit verbessern und sich auf die NIS2-Richtlinie vorbereiten.

Kai Thomsen, Director of Global Incident Response Services bei Dragos
Foto: Dragos

Kai Thomsen, Director of Global Incident Response Services bei Dragos

Andere interessante News

Gefahr im Rechenzentrum

Rekonvaleszenz nach einem Ransomware-Angriff langwierig

Die Dauer eines Ransomware-Angriffs und die anschließende Wiederherstellung variieren stark. Das liegt zum Teil daran, dass es keine einheitliche Quelle für alle Informationen gibt...

Warnung vor Ransomware

Real-Time-Detection als Joker im Kampf gegen Ransomware

Bei Ransomware-Angriffen ist oft nur eine geringe Datenmenge betroffen, im Durchschnitt 183 GB. Angreifer zielen jedoch auf wertvolle Daten wie personenbezogene Informationen oder ...

Mann vor gehacktem Rechner

Umfrage: Zu viele Unternehmen noch schlecht auf raffinierte Cyber-Angriffe vorbereitet

Eine aktuelle Umfrage zeigt, dass IT- und Unternehmensführungen oft zögerlich bei der Umsetzung wirksamer Maßnahmen gegen eskalierende Cyber-Bedrohungen sind. Mangels Unterstützung...