Skip to main content
technology

NIS2-Konformität: Verwendung der IEC 62443-Standards zur Erhöhung der Cybersicherheit.

Ist Ihre Organisation bereit für die NIS2-Richtlinie? Mit ihr wird sicht die Cybersicherheit in ganz Europa verändern und der Kreis der Unternehmen erweitern, die sich an die Vorgaben halten müssen.
  • 02.10.2024
    Marius Burger
NIS2-Konformität: Verwendung der IEC 62443-Standards zur Erhöhung der Cybersicherheit.

Die NIS2-Richtlinie wird angesichts der sich wandelnden digitalen Bedrohungslage einen wichtigen Beitrag zur Förderung der Cybersicherheit in der EU darstellen. Die Richtlinie gilt als Werkzeug zur Bewältigung und Minderung von Herausforderungen und Bedrohungen, mit denen Unternehmen und Betreiber kritischer Infrastrukturen im digitalen Zeitalter konfrontiert sind. Sie stellt eine signifikante Erweiterung und Verbesserung der ursprünglichen Richtlinie über Netz- und Informationssysteme (NIS) dar. Zu den wichtigsten Neuerungen gehört die umfassendere Definition der unter NIS2 fallenden Einrichtungen. Allein in Deutschland fallen 30.000 zusätzliche Unternehmen in diesen Geltungsbereich. Darüber hinaus werden strengere Sicherheits- und Meldepflichten für Vorfälle sowie der Fokus auf die Sicherheit der Lieferkette behandelt.

Für Maschinenhersteller und -Betreiber kann die NIS2 ein starker Treiber für die Erreichung eines Wettbewerbsvorteils sein. Vorausgesetzt, diese Unternehmen sehen diese nicht als Belastung, sondern als Chance und setzen sich aktiv mit ihr auseinander. Warum? Neben der Erhöhung der Cybersicherheitsstandards mahnt die Richtlinie zur Resilienz gegen Störungen und an die Bedeutung sicherer Lieferketten. Gerade in diesem Segment weisen die Lieferketten eine enorme Komplexität auf. Die Richtlinie legt zwar fest, was erreicht werden muss, aber sie gibt nicht vor, wie diese Anforderungen erreicht werden müssen.

Für Betreiber kritischer Infrastrukturen und wichtige bzw. essenzielle Einrichtungen gemäß dem NIS2-Geltungsbereich, unterstützt die Norm IEC 62443 Anlagenbesitzer, Produktlieferanten und (Service)Dienstleister bei der Umsetzung geeigneter Kontrollmechanismen zur Sicherung ihrer Betriebsabläufe für die Operation Technology (OT). Dieses Dokument hilft Ihnen dabei, die NIS2-Anforderungen mit den Sicherheitsstandards der IEC 62443 zu verknüpfen.

Worum geht es bei NIS2?

Die Entwicklung der geopolitischen Lage hat uns gezeigt, dass diese jederzeit und sehr schnell eskalieren kann. Es gibt keine Garantie für geopolitische Stabilität und das „Prinzip Hoffnung“ ist nicht geeignet, die EU vor solchen Herausforderungen zu schützen. Aufbauend auf dem Fundament, das durch ihren Vorgänger, die ursprüngliche Richtlinie über Netz- und Informationssysteme (NIS), gelegt wurde, führt die NIS2 wichtige Änderungen und Erweiterungen ein, um der entstehenden Cybersicherheitslandschaft gerecht zu werden und die bei der Umsetzung der ersten Richtlinie festgestellten Lücken zu schließen.

Im Folgenden sind die maßgeblichen Änderungen der NIS2 aufgeführt und deren Auswirkungen auf relevante Unternehmen:

  • Erweiterte Definition relevanter Unternehmen
  • Verbesserte bzw. Höhere Anforderungen an die Sicherheits- und Vorfallberichterstattung
  • Strengere Anforderungen an die Rechenschaftspflicht der Geschäftsleitung
  • Harmonisierung der Regelungen innerhalb der Mitgliedstaaten
  • Stärkerer Fokus auf sichere Lieferketten inkl. Risikomanagement von Drittanbietern

Die europäische Verordnung setzt die Einhaltung der NIS2 nicht direkt durch. Jeder EU-Mitgliedstaat muss die Richtlinie in nationale Gesetzgebung umsetzen, wobei dieses in Deutschland durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) geleitet wird. Die Richtlinie wurde für alle 27 Mitgliedsstaaten ausgearbeitet, daher ist die Form sehr allgemein und teilweise unspezifisch gehalten, so dass sie universell angewendet werden kann.

Was sind die wichtigsten Vorteile für Maschinenhersteller und -betreiber?

Die NIS2-Richtlinie kann für die Maschinenbau- und Betreiberindustrie aus mehreren Gründen von entscheidender Bedeutung werden:

  • Verbesserte Cybersicherheitsstandards
    Die NIS2-Richtlinie legt die Messlatte für Cybersicherheits-Standards höher. Für Maschinenhersteller und -betreiber heißt das, dass sie strengere Cybersicherheits-Praktiken einführen müssen, um sich vor immer raffinierteren Cyber-Bedrohungen zu schützen. Angesichts der Abhängigkeit der Branche von digitalen Technologien und vernetzten Systemen für den Betrieb sind verbesserte Standards für den Schutz sensibler Daten und die Betriebskontinuität unerlässlich.

  • Widerstandsfähigkeit gegen Störungen
    Die Bereiche Maschinenbau und produzierende Industrie sind für die Wirtschaft und die Infrastruktur von essenzieller Bedeutung. Ein Cyberangriff in diesen Bereichen könnte zu erheblichen Störungen führen, nicht nur für das betroffene Unternehmen, sondern für ganze Lieferketten und die Wirtschaft insgesamt. NIS2 zielt darauf ab, dieses Risiko zu minimieren, indem sichergestellt wird, dass diese Branchen über robuste Mechanismen verfügen, um Cyberangriffe zu verhindern, zu erkennen und sich schnell davon zu erholen.

  • Sicherheit der Lieferkette
    Die NIS2 legt einen starken Schwerpunkt auf die Sicherheit der Lieferkette, was besonders relevant für den Maschinenbau und dessen Betreiber ist. In diesen Branchen gibt es oft komplexe Lieferketten mit zahlreichen Anbietern und Dienstleistern. Die Gewährleistung der Cybersicherheit über diese Kette hinweg ist substanziell, um Schwachstellen zu vermeiden, die von Angreifern ausgenutzt werden könnten.

  • Compliance und Wettbewerbsvorteil
    Durch die Einführung von NIS2 gewährleisten Unternehmen in der Maschinenbau- und Betreiberindustrie nicht nur die Einhaltung der europäischen Vorschriften, sondern verschaffen sich auch einen Wettbewerbsvorteil. Die Demonstration starker Cybersicherheits-Praktiken kann ein wichtiger Faktor für den Aufbau von Vertrauen bei Kunden und Partnern sein, was potenziell zu mehr Geschäftsabschlüssen führt.

  • Innovation und Digitales Unterstützung der Transformation
    Die Richtlinie unterstützt Innovation und digitale Transformation, indem sie eine sichere Umgebung für den Einsatz neuer Technologien schafft. Da im Maschinenbau und der Betreiberindustrie zunehmend IoT, KI und andere fortschrittliche Technologien zum Einsatz kommen, sorgt ein Rahmenwerk wie NIS2 dafür, dass solche Innovationen die Produktivität steigern, ohne die Sicherheit zu beeinträchtigen. 

Im Wesentlichen wird NIS2 eine wichtige Rolle für die Maschinenbau- und Betreiberindustrie spielen, da sie sicherstellt, dass die Unternehmen in diesem Sektor auch auf bestehende und künftige Herausforderungen im Bereich der Cybersicherheit vorbereitet sind. Durch die Förderung einer Kultur der kontinuierlichen Verbesserung der Cybersicherheits-Standards trägt NIS2 dazu bei, die Schüsselrolle der Industrie in der Wirtschaft zu sichern, ihre Widerstandsfähigkeit zu erhöhen und ihren Weg der digitalen Transformation zu unterstützen.

NIS2-Konformität durch IEC 62443-Zertifizierung

Die Bedeutung von länderübergreifenden Maßnahmen wie der NIS2 kann nicht genug betont werden. Die Bedrohung durch Cyberkriminalität steigt, ebenso wie die Fähigkeiten dieser Akteure, stetig und rasant an und macht vor Ländergrenzen natürlich keinen Halt, so dass die Notwendigkeit robuster, umfassender Cybersicherheits-Maßnahmen von größter Bedeutung ist. Hier kommen Normen wie die IEC 62443 ins Spiel, welche speziell für die Absicherung industrieller Kommunikationsnetze entwickelt wurde und Aspekte der Risikobewertung, Systementwicklung und -wartung mit einbezieht. Dieses Rahmenwerk unterstützt die Einhaltung der NIS2 nicht nur, sondern verbessert sie sogar, indem sie einen klaren, umsetzbaren Weg zur Implementierung der erforderlichen Cybersicherheits-Kontrollen und -Praktiken aufzeigt.

Die IEC 62443 bietet viele Hilfestellungen für die Umsetzung der von der NIS2 geforderten Maßnahmen zum Management von Cybersicherheits-Risiken. Im Folgenden wird gezeigt, wie Maßnahmen aus der IEC 62443 auf die entsprechenden Cybersicherheits-Basisanforderungen, wie sie in Artikel 21 der NIS definiert sind, einwirken:

NIS2 Anforderungen

IEC 62443 Maßnahmen

Risikoanalyse und Sicherheitsrichtlinien

Durchführung von Risikoanalysen und Entwicklung von Sicherheitsstrategien für Informationssysteme.

Die Abschnitte 2-1 und 3-3 sorgen für eine Risikoanalyse und Sicherheitsrichtlinien, einschließlich eines Cybersicherheits-Bedrohungsmodells und einer Cybersicherheits-Bewertung. Diese sind auch wesentliche Bestandteile einer 4-1 ML3-Zertifizierung.

Umgang mit Vorfällen

Aufbau und Aufrechterhaltung der Fähigkeit zur Behandlung von Sicherheitsvorfällen (Incidents).

In den Abschnitten 4-1 und 3-3 werden umfassende Verfahren zur Behandlung von Sicherheitsvorfällen, einschließlich Erkennungs-, Reaktions- und Wiederherstellungsmechanismen, bewertet und sichergestellt.

Betriebliches Kontinuitäts- und Krisenmanagement

Entwicklung von Plänen für Geschäftskontinuität und Krisenmanagement.

Gemäß den Abschnitten 4-1 und 3-3 muss eine Ausfallsicherheits- und Wiederherstellungsplanung durchgeführt werden, die die Kontinuität des Betriebs gewährleistet. In Abschnitt 3-3 werden die Anforderungen an die Systemsicherheit und die Sicherheitsstufen festgelegt.

Sicherheit der Lieferkette

Gewährleistung der Sicherheit der Netz- und Informationssysteme innerhalb der Lieferkette.

Die Risikobewertung für die Sicherheit der Lieferkette ist ein wesentlicher Bestandteil von Abschnitt 4-1 – Abschnitt 3-3 fordert technische Sicherheitsanforderungen für IACS-Komponenten in der Lieferkette.

Sicherheit in Netz- und Informationssystemen

Gewährleistung einer sicheren Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen.

Diese Anforderung beschreibt genau das, wofür die IEC-Norm gedacht ist, und wird daher in den entsprechenden Abschnitten direkt angesprochen.

Richtlinien und Verfahren zur Überprüfung der Maßnahmenwirksamkeit

Umsetzung von Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheits-Risiken.

Die kontinuierliche Bewertung anhand der IEC 62443-Normen, insbesondere der Abschnitte 4-1 und 3-3, zwingt zur Bewertung und Verbesserung der Wirksamkeit von Cybersicherheits-Maßnahmen..

Einsatz von Kryptographie und Verschlüsselung

Einsatz von Kryptographie und Verschlüsselung zum Schutz von Daten und Informationen, wo dies angebracht ist

In Abschnitt 3-3 wird die Vertraulichkeit und Integrität der Daten spezifiziert, einschließlich Bestimmungen für die Verwendung kryptographischer Maßnahmen in einem durchgängigen Ansatz.

Personalwesen, Sicherheitsbewusstsein und Schulung

Gewährleistung der Sicherheit des Personalwesens durch Aufklärung und Schulung

In Übereinstimmung mit den Abschnitten 4-2 und 3-3 untermauern umfassende Sicherheitsschulungen und Sensibilisierungsprogramme die Cybersicherheit mit einer gut ausgebildeten und vorbereiteten Belegschaft.

MFA- und kontinuierliche Authentifizierungslösungen

Verwenden Sie MFA, gesicherte Sprach-, Video- und Textkommunikation und gegebenenfalls gesicherte Notfallkommunikation.

Die IEC erfordert eine hochmoderne Zugangskontrolle und sichere Kommunikation, die wiederum durch MFA und eine kontinuierliche Authentifizierungslösung angemessen umgesetzt wird.

Zusammenfassung

Durch die Abbildung der IEC 62443 Maßnahmen auf die Anforderungen der NIS2-Richtlinie wird ein umfassender und robuster Rahmen für die Cybersicherheit im Bereich der industriellen Automatisierungs- und Steuerungssysteme (IACS) geschaffen. Während die NIS2-Richtlinie die übergreifenden Ziele für die Cybersicherheit und den Schutz kritischer Netzwerk- und Informationssysteme in der EU festlegt, schreibt sie keine spezifischen Methoden oder Technologien vor, um diese Anforderungen zu erfüllen. Diese Unklarheit stellt Unternehmen vor die Herausforderung, die Anforderungen der Richtlinie so zu interpretieren und umzusetzen, dass sie am besten zu ihrem betrieblichen Kontext und ihrer Risikolandschaft passen. Die IEC 62443 füllt diese Lücke, indem sie einen detaillierten, strukturierten Ansatz für die Cybersicherheit bietet, der die Erreichung der NIS2-Ziele für die Operative Technologie direkt unterstützt. Es ist jedoch wichtig zu beachten, dass die IEC 62443 auf die OT-Schicht abzielt und daher nicht alle Aspekte der IT-Schicht des Unternehmens abdeckt. Unternehmen müssen auch für diese Schicht geeignete Informationssicherheits-Maßnahmen umsetzen. Gängige Standards wie die ISO 27001 oder BSI IT-Grundschutz sind geeignete Ansätze, um die entsprechenden Maßnahmen in Koexistenz mit der IEC 62443 durchzuführen.

Dadurch wird sichergestellt, dass Unternehmen nicht nur die aktuellen Vorschriften einhalten, sondern auch optimal auf entstehende Bedrohungen der Cybersicherheit und künftige Gesetzesänderungen vorbereitet sind.


Möchten Sie wissen, wie IEC 62443 zertifizierte Produkte wie der symmedia Hub Ihre Organisation bei der NIS2-Konformität unterstützen? Dann nehmen Sie Kontakt mit uns auf:

sales@symmedia.de
+49 (0)521 9665 50

You might also enjoy: