NIS2 tritt in Kraft – Welche Vorbereitungen industrielle Unternehmen treffen sollten

Ziel der NIS2-Richtlinie (EU) 2022/2555 ist es, auf das sich schnell veränderte Umfeld für Cyber-Operationen zu reagieren und das Sicherheitsniveau im europäischen Raum zu verbessern. Der Geltungsbereich der Richtlinie umfasst Akteure, deren Aktivitäten als kritisch für die Gesellschaft angesehen werden. Die Richtlinie fordert folglich nach Massnahmen in diversen industriellen Sektoren – oder verlangt zumindest eine genauere Betrachtung der Prozesse. Die NIS2 EU-Richtlinie ist im Januar 2023 in Kraft getreten. Die Mitgliedsstaaten haben nun bis Oktober 2024 Zeit, diese in ihr nationales Recht zu überführen. Bereits heute gibt es zahlreiche Informationen über die neue Richtlinie. Grund genug, umgehend mit den Vorbereitungen zu beginnen.

In diesem Artikel erfahren Sie, was unter der NIS2-Richtlinie zu verstehen ist, welche Branchen davon betroffen sind und welche Anforderungen an die Betreiber gestellt werden. Und wir informieren Sie mit welchen Lösungen Sie die Anforderungen einfacher erreichen können.

NIS2 ist eine Cybersicherheitsrichtlinie (EU 2022/2555), die darauf abzielt, das Niveau der Cybersicherheit in der EU und ihren Mitgliedstaaten zu verbessern. Die Richtlinie legt Mindestanforderungen fest, welche die unter die Richtlinie fallenden Betreiber, unter Androhung von Sanktionen, erfüllen müssen. Zu diesen Anforderungen gehören das Risikomanagement- und die Berichtspflicht, um die Cybersicherheit zu stärken. Die Frist für die Umsetzung der Richtlinie in nationales Recht der Mitgliedstaaten ist Oktober 2024. Sie löst die bisherige Netzwerk- und Informationssicherheitsrichtlinie NIS1 (NIS1-Richtlinie, 2016/1148) ab.

Der Umfang betroffener Industriezweige wurde unter NIS2 fast verdoppelt, gegenüber seines Vorgängers NIS1. So wurde der Geltungsbereich der Richtlinie neu in den Industriesektoren wie z.B. der Abfallwirtschaft und der Lebensmittelindustrie, erweitert. Ausgeweitet wurde NIS2 für den Energiesektor und Unternehmen, die im Gesundheitswesen tätig sind. Generell gilt die Verordnung für mittlere und grosse Unternehmen, wobei Ausnahmen bestehen (die Ausnahmen werden in Artikel 2 Absätze 3 und 4 der Richtlinie näher erläutert). Entscheidend ist, dass das Unternehmen für die Gesellschaft als kritisch eingestuft wird, und daher eine genauere Überwachung seiner Aktivitäten als angemessen gilt. Bei Nichteinhaltung der Richtlinie drohen Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Die Richtlinie unterteilt betroffene Unternehmen in zwei Kategorien: Unverzichtbar (Critical) und Wichtig (Important). Diese Aufteilung ist für das Kontroll- und Sanktionssystem relevant.

In NIS2 spielen Leitungsgremien und das Top-Management eine noch zentralere und aktivere Rolle bei der Verbesserung der Cybersicherheit. Es ist wichtig, dass das Sicherheitsniveau der Netz- und IT-Systeme in einem angemessenen Verhältnis zu den Risiken steht.

Darüber hinaus müssen sich die Unternehmer um die Meldepflicht kümmern. Das bedeutet beispielsweise, dass Unternehmen innerhalb von 24 Stunden die erste Meldung über allfällige Cyberbedrohungen, die zu einer erheblichen Gefahr hätten führen können, an die Aufsichtsbehörde übermitteln müssen. Die Nachmeldung muss innerhalb von 72 Stunden und der Abschlussbericht innerhalb von 1 Monat eingereicht werden (=dreistufige Meldepflicht).

octoplant ist eine modulare Softwareplattform, welche Versionskontrolle, Backup und Cyber Security von Automatisierungssoftware und OT-Geräten kombiniert. Lesen Sie In den folgenden Abschnitten, wie die verschiedenen Module von octoplant (im Bild) helfen, die Anforderungen aus NIS2 zu erfüllen.

Das Threat Protection-Modul ist ein leistungsstarkes Tool zur Durchführung von Risikoanalysen in der OT-Umgebung. Es hilft, Schwachstellen in der Produktionsumgebung zu identifizieren und bewertet sie entsprechend dem zu erwartenden Risiko. Auf diese Weise erhalten Unternehmen einen verlässlichen Überblick über Schwachstellen und können diese rechtzeitig priorisieren.

Das Threat Protection-Modul greift auf die internationalen Datenbanken für Cyber Risiken (CVE, CERT und CISA) zu, und meldet automatisch mögliche Bedrohungen anhand der installierten Basis. Zudem stellen automatische Backups und Komponentenabgleiche sicher, dass unbefugte Änderungen nicht unbemerkt bleiben und das letzte funktionsfähige Backup bei Bedarf schnell eingespielt werden kann. octoplant ist so in der Lage, die OP-Umgebung präventiv zu schützen und ermöglicht schnelle Reaktion bei Störungen und der Wiederherstellung des Betriebs.

Da Sie jederzeit über die komplette Historie aller Version und Backups verfügen, können Sie die letzte einwandfreie Version schnell ausfindig machen, im betroffenen System wiederherstellen und Ihre Produktion in kürzester Zeit wieder aufnehmen.

octoplant ist ein Change-Management-Tool, das Änderungen im OT-Umfeld pflegt und dokumentiert – unabhängig davon, ob Sie externe Lieferanten oder Dienstleister einsetzten. Das Reporting zu möglichen Schwachstellen erleichtern deren Verwaltung und die Kommunikation nach aussen wie z.B. bei der Erfüllung der NIS2-Meldepflicht.

In octoplant können Sie für jede einzelne Komponente eine Benutzersteuerung erstellen. Das bedeutet, dass Mitarbeiter, externe Berater oder andere Systemanwender nur Zugriff auf die für sie relevanten Komponenten oder Dateien haben. Die Benutzerverwaltung stellt ausserdem sicher, dass nicht jeder Informationen löschen oder dem System hinzufügen kann. Aus der Historie ist ersichtlich, dass die Änderungen wie vereinbart vorgenommen wurden. Das erhöht die Sicherheit der Lieferkette des Unternehmens und ermöglicht ein effizientes Arbeiten mit genau den Anlagen, die für die Kontinuität der Produktion relevant sind.

Mit octoplant wissen Sie, wer was, wann und warum gemacht hat. Änderungen, die ausserhalb des Systems passieren, werden ebenfalls durch die automatische Sicherungsfunktion gespeichert und versioniert. Mit Hilfe von octoplant lassen sich auf einfache Weise Betriebsmethoden implementieren, mit denen die Cyber-Security-Risiken des Unternehmens gesteuert und bewertet werden können.

Die NIS2-Richtlinie gilt für eine stetig wachsende Anzahl an Industrieunternehmen. Die Richtlinien zielen darauf ab, Cyber Security in der EU und ihrer Mitgliedstaaten zu verbessern, indem Mindestanforderungen an die Berichterstattung und das Risikomanagement definiert werden. Noch sind nicht alle Details bekannt, die NIS2-Richtlinie soll aber im Oktober 2024 bereits Teil der europäischen Gesetzgebung werden. Betroffene Unternehmen tun gut daran, bereits jetzt mit den Vorbereitungen zu beginnen. Den generell haben Bedrohungen im digitalen Umfeld in den letzten Jahren stark zugenommen, und auch ohne das Inkrafttreten der Richtlinie ist ein Schutz sehr empfehlenswert. 

Mit octoplant können Sie zuverlässige Risikoanalysen durchführen, erhalten Benachrichtigungen über verdächtige Änderungen und wissen, wer was getan hat und warum. Darüber hinaus sorgt ein automatisches Backup und deren Vergleich dafür, dass Produktionen mit den richtigen Projekten laufen und bei Unstimmigkeit jederzeit wieder in den vorherigen Arbeitszustand versetzen werden können.