In der Industrie wurde die Einhaltung gesetzlicher Vorschriften oft als eine Art Checkbox-Übung betrachtet. Oder um es prägnanter auszudrücken, eine Art Hürde für die IT, während die "eigentliche Arbeit" der Produktion auf der Werkstattbühne weiterläuft. Aber mit der vollständigen Umsetzung der NIS2-Richtlinie in ganz Europa ist es an der Zeit, über Checklisten hinauszuschauen, um eine nachweisbare Einhaltung zu ermöglichen, die über einen längeren Zeitraum aufrechterhalten werden kann.

Wenn Sie ein Betreiber von wesentlichen oder kritischen und öffentlich ausgerichteten Diensten sind, ist es nicht mehr ausreichend, lediglich eine zufriedenstellende Bewertung für OT-Sicherheit zu erzielen; Sie benötigen eine prüfbare, risikobasierte Resilienz. Wie viele von uns wissen, gibt es für die Umgebung der Operational Technology (OT) keinen besseren "How-To"-Leitfaden zur Erfüllung dieser gesetzlichen Anforderungen als die IEC 62443 Serien.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag „Beobachteter Rückgang chinesischer APT-Operationen im Zuge der PLA-Säuberung 2026“ hier zu lesen.

Das NIS2-Mandat vs. Der IEC 62443-Plan

NIS2 ist das Cybersicherheitsgesetz der Länder. Es gibt Ihnen vor, was Sie erreichen müssen: robustes Risikomanagement, Vorfallberichterstattung, Risikoeigentum und Sicherheit der Lieferkette. Obwohl es detaillierte Empfehlungen gibt, ist es bekanntlich vage in technischen Spezifikationen.

IEC 62443 ist der technische Plan für industrielle Cybersicherheit. Es bietet die detaillierten Kontrollen und Prozessanforderungen für Industrial Automation and Control Systems (IACS). Indem Sie Ihr OT-Sicherheitsprogramm an IEC 62443 ausrichten, folgen Sie nicht einfach nur einem Standard. Sie bauen tatsächlich ein starkes, risikobewusstes Fundament für die rechtliche Verteidigung auf, das beweist, dass Sie die "State-of-the-Art"-Anforderung in NIS2 erfüllt haben.

Die Kontrollen kartieren: Wie man konform wird

Um von Worten zu Taten zu schreiten, müssen wir uns Artikel 21 von NIS2 ansehen, der zehn spezifische Sicherheitsmaßnahmen vorschreibt. So bietet IEC 62443 das "How-To" für die wichtigsten Säulen:

1. Risikoanalyse und Informationssicherheitssystem

NIS2 erfordert einen proaktiven, risikobasierten Ansatz.

• Die IEC 62443-Lösung: IEC 62443-3-2 wird hier relevant. Es schreibt einen "Zonen- und Leitungsansatz" vor. Indem Sie Ihr Werk in Zonen basierend auf Risiko und Kritikalität unterteilen, können Sie einen höheren Sicherheitslevel (SL) auf Ihre wichtigsten Vermögenswerte oder Kronjuwelen (wie Sicherheitssteuerungen) anwenden, während für weniger kritische Systeme niedrigere Levels beibehalten werden. Ein solch detaillierter Ansatz hilft, die Sicherheitsanforderungen zu skizzieren und den Teams mehr Spielraum zu geben, um die spezifischen Bedürfnisse von Vermögenswerten als Teil einer Gruppe zu berücksichtigen.  

2. Sicherheit der Lieferkette

Dies ist leicht einer der schwierigsten Teile von NIS2. Sie sind jetzt auch für die Sicherheit Ihrer Lieferanten verantwortlich.

• Die IEC 62443-Lösung: Fordern Sie, dass Ihre Lieferanten nach IEC 62443-4-1 (Sichere Produktentwicklung) und 4-2 (Technische Komponentenanforderungen) zertifiziert sind. Dies verlagert die Beweislast auf den Hersteller und stellt sicher, dass die von Ihnen gekauften PLCs und HMIs "sicher durch Design" sind. Lieferanten sollten HBOMs und SBOMs pflegen, die den Ursprung der verschiedenen Komponenten und des Produkts selbst klar angeben.  

3. Vorfallmanagement und Planung der Geschäftskontinuität

Wenn etwas schief geht, verlangt NIS2 eine schnelle, strukturierte und dokumentierte Antwort.

• Die IEC 62443-Lösung: IEC 62443-2-1 bietet das Framework für ein OT-spezifisches Cybersecurity Management System (CSMS). Im Gegensatz zu Standard-IT-Reaktionsplänen konzentriert es sich darauf, hohe Verfügbarkeit und physische Sicherheit zu gewährleisten, ohne dabei ein Parameter zu gefährden.

4. Grundlegende Cyberhygiene und MFA

NIS2 erwähnt ausdrücklich Multi-Faktor-Authentifizierung (MFA) und Hygiene.

• Die IEC 62443-Lösung: Die grundlegende Anforderung 1 (FR1) in IEC 62443-3-3 gibt klar die technischen Kontrollen für Privilegien- und Zugangsmanagement einschließlich Identifikation und Authentifikation an. Es bietet die Roadmap zur Implementierung eines robusten Zugangsmanagements in Umgebungen, in denen traditionelle MFA vorhandene Echtzeitprozesse stören könnte. IEC 62443-3-3 behandelt diese Anforderung als grundlegende.

Umsetzbare Implementierung

Wenn Sie 2026 mit Ihrer NIS2-Konformität beginnen, versuchen Sie nicht, alles auf einmal zu erledigen. Stattdessen empfehlen wir Ihnen, die folgende Sequenz zu befolgen:

• Definieren Sie Ihr "System Under Consideration" (SuC): Verwenden Sie 2-1, um den Umfang festzulegen, was unter NIS2 fällt. Vergessen Sie nicht Ihre Fernzugriffsgateways und IIoT-Sensoren.

• Führen Sie Schulungen zu IEC 62443 und NIS2 durch, um das handlungsorientierte Bewusstsein der Mitarbeiter zu erhöhen

• Führen Sie eine Risiko- und Lückenbewertung auf hoher Ebene durch: Verwenden Sie 3-2, um Ihre "Kronjuwelen" zu identifizieren. Gruppieren Sie sie in Zonen.

• Ermitteln Sie die Ziel-Sicherheitsstufen (SL-T): Entscheiden Sie für jede Zone, ob Sie SL-2 (Schutz vor einfachen Hacks), SL-3 (Schutz vor vorsätzlichen Hackern) oder SL-4 (Schutz vor Nationalstaaten) benötigen.

• Führen Sie eine Gap-Analyse durch: Vergleichen Sie Ihre aktuellen Fähigkeiten (SL-A) mit Ihren Zielen (SL-T) unter Verwendung der technischen Anforderungen in 3-3. Diese Liste der Lücken wird zu Ihrer NIS2-Investitionsroadmap.

NIS2 trägt erhebliche Strafen für die Nichteinhaltung, einschließlich persönlicher Haftung für Führungskräfte auf C-Ebene. In den Augen einer Regulierungsbehörde reicht ein "Best-Effort"-Ansatz nicht mehr aus. Durch die Übernahme von IEC 62443 bewegen Sie sich von einem "vagen Hoffnung" auf Sicherheit zu einer quantifizierbaren, prüfbaren Haltung, die sowohl Ihre Produktionslinie als auch Ihre rechtliche Stellung schützt.

Benötigen Sie Hilfe bei Ihren regulatorischen Compliance-Anforderungen? Sprechen Sie mit unserem Experten.

Mehr über unsere NIS2-Konformitätsdienste.

Erfahren Sie mehr über die Incident-Response-Dienste von Shieldworkz

Testen Sie unsere OT-Sicherheitsplattform hier.

Laden Sie unsere Checkliste für die vor-Ort-Wartung der OT-Sicherheit herunter, hier.