Die Europäische Kommission hat ein neues Paket von Vorschlägen zur Überarbeitung des EU-Cybersicherheitsgesetzes vorgestellt, das grundlegend neu gestaltet, wie Betreiber von Betriebsinformatikinfrastruktur und Unternehmen im gesamten Rechtsbereich der Europäischen Union mit Cybersicherheit umgehen müssen. Dies kann nicht einfach als eine bloße regulatorische Anpassung angesehen werden. Stattdessen ist es eine strategische Neuausrichtung, die sich an den sich wandelnden Realitäten orientiert, die durch die Bedrohungsumgebung, die den EU-Cyberraum umgibt, ausgestrahlt werden.  

Für einige von uns, die Jahrzehnte in den tiefen Gräben der industriellen Cybersicherheit verbracht haben und SCADA-Systeme von isolierten Inseln hin zu hypervernetzten Angriffsflächen beobachten, stellt diese Gesetzgebung eine neue regulatorische Dimension dar, die eine tiefgründige Analyse erfordert. Die neue Überarbeitung führt verpflichtendes Supply-Chain-Risiko-Management, beschleunigte Zertifizierungsrahmen für Compliance und erheblich erweiterte Durchsetzungsmechanismen ein, die Organisationen zwingen werden, ihre Sicherheitsarchitekturen grundlegend neu zu überdenken.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag "Entschlüsselung der OT-Konnektivitätshinweise von NCSC-UK, FBI und CISA: Strategische Implikationen" hier zu lesen.

Kernpfeiler des überarbeiteten Cybersicherheitsgesetzes

ICT-Supply-Chain-Sicherheitsrahmen: Die geopolitische Dimension

Vielleicht ist der bedeutendste Aspekt der Überarbeitung die Einrichtung eines horizontalen Rahmens für die vertrauenswürdige ICT-Supply-Chain-Sicherheit über alle 18 kritischen Sektoren hinweg. Dieser Rahmen funktioniert auf einer risikobasierten Herangehensweise, die technische Schwachstellen berücksichtigt und was die Gesetzgebung als "nicht-technische Risiken" bezeichnet - ein Euphemismus für geopolitische Abhängigkeiten und ausländische Einmischung.

Die praktischen Auswirkungen sind mehr als klar. Aufbauend auf vorhandener Arbeit im Rahmen des EU-5G-Sicherheitstoolbox wird die überarbeitete Gesetzgebung verpflichtende Risikominderungsmaßnahmen ermöglichen, wenn Lieferanten signifikante Cybersicherheitsbedenken darstellen. Für OT-Betreiber bedeutet dies, dass Ihre Lieferantenbeziehungen nicht mehr als bloße Beschaffungsentscheidungen behandelt werden können. Stattdessen müssen sie nun strategische Prüfungen und Bewertungen durchführen, die Folgendes berücksichtigen müssen:

• Lieferantenland und ausländischer Einfluss: Unterliegt der SCADA-Anbieter rechtlichen Rahmenbedingungen, die ihn dazu zwingen könnten, die Integrität des Systems zu beeinträchtigen oder Informationen offenzulegen?

• Kritische Abhängigkeiten: Haben Sie alternative Lieferanten, falls ein Hochrisiko-Anbieter plötzlich vom Markt ausgeschlossen wird?

• Rückwirkende Compliance: Der Vorschlag enthält Bestimmungen, um möglicherweise Produkte, die bereits in der EU-Infrastruktur eingesetzt werden, zurückzurufen und aus der Anwendung zu nehmen, wenn Lieferanten später als Hochrisiko eingestuft werden.

Diese rückwirkende Durchsetzungsfähigkeit ist beispiellos. Organisationen, die Multi-Millionen-Euro-Industriesteuerungssysteme betreiben, könnten mit Infrastrukturüberholungen konfrontiert werden, wenn ihre Lieferanten später als Hochrisiko eingestuft werden.  

Vereinfachter europäischer Cybersicherheitszertifizierungsrahmen (ECCF)

Der ursprüngliche Zertifizierungsrahmen war ein rechtlicher Dschungel. Seit der ursprünglichen CSA vor sieben Jahren erlassen wurde, wurde nur ein EU-Zertifizierungsschema angenommen. Der überarbeitete Akt ermöglicht eine gewisse Vereinfachung:

• 12-monatiger Entwicklungszeitraum: Zertifizierungsschemata müssen standardmäßig innerhalb eines Jahres entwickelt werden

• Zertifizierung der organisatorischen Cyber-Posture: Über Produkte und Dienstleistungen hinaus können Organisationen nun ihre Gesamt-Cybersecurity-Haltung zertifizieren

• Konformitätsvermutung: ECCF-Zertifizierung wird Konformität mit NIS2 und anderen EU-Gesetzgebungen vermuten lassen

Die Geschäftsmodellauswirkungen sind erheblich. Organisationen, die schnell eine Zertifizierung erreichen, werden einen erheblichen Wettbewerbsvorteil auf dem EU-Markt erlangen.  

Erweitertes ENISA-Mandat: Von Koordination zu operativer Reaktion

Seit dem ersten Cybersicherheitsgesetz im Jahr 2019 ist ENISA zu einem Eckpfeiler des EU-Cybersicherheitsökosystems geworden. Der überarbeitete Akt erweitert seine operationellen Fähigkeiten und seinen Umfang:

• Frühwarnsysteme für aufkommende Bedrohungen

• Direkte Unterstützung für Ransomware-Antworten in Zusammenarbeit mit Europol und nationalen CSIRTs

• Koordination des unionsweiten Sicherheitsmanagements

• Einzigartiger Zugangspunkt für Incident-Berichterstattung in der gesamten EU

• Cybersecurity Skills Academy zur Schließung der Kompetenzlücke

Für multinationale OT-Betreiber bietet die erweiterte Rolle von ENISA eine potenzielle Lösung für die fragmentierte Compliance-Landschaft, die durch unterschiedlich starke nationale Umsetzungen von NIS2 geschaffen wurde. Anstatt 27 verschiedene regulatorische Regime zu navigieren, gewinnen Organisationen einen zentralisierten Koordinierungspunkt.   

NIS2-Änderungen:

Das Paket des Cybersicherheitsgesetzes enthält gezielte Änderungen an NIS2, die direkte Auswirkungen auf OT-Betreiber haben:

Vereinfachung der Compliance

Die Änderungen zielen darauf ab, die Verhältnismäßigkeit bei der Umsetzung der NIS2-Richtlinie in Sektoren wie Strom oder Chemie zu gewährleisten, wo präzisere rechtliche Formulierungen erforderlich sind, um den Umfang der Richtlinie angemessen zu bestimmen. Dies adressiert eine der anhaltendsten Beschwerden aus der Industrie: die ursprüngliche NIS2-Sprache war oft zu breit oder mehrdeutig für spezifische industrielle Kontexte.

Die Änderungen werden die Compliance-Belastungen für ungefähr 28,700 Unternehmen, einschließlich über 6,000 KMU, erleichtern. Eine neue Kategorie von "kleinen mid-cap-Unternehmen" bietet einigen Erleichterung für zusätzliche 22,500 Organisationen.

Erweiterte Abdeckung kritischer Infrastrukturen

Die Änderungen sichern, dass submarine Datenkabel-Infrastruktur, als eine zunehmend kritische Art von Infrastruktur, umfassender durch den Umfang der Richtlinie abgedeckt wird. Diese Erweiterung erkennt an, dass kritische Infrastruktur über traditionelle Sektoren hinausgeht und das Kommunikationsrückgrat umfasst, das die digitale Gesellschaft zugrunde liegt.

Datenerfassung bei Ransomware

Vereinfachte Mechanismen zur Erfassung und Analyse von Ransomware-Angriffsdaten ermöglichen einen besseren Bedrohungsinformationsaustausch zwischen den Mitgliedstaaten. Für OT-Betreiber könnte dies zu früheren Warnungen über Ransomware-Varianten führen, die speziell auf industrielle Steuerungssysteme abzielen. Dazu gehören Varianten wie EKANS, die die Fähigkeit demonstriert haben, ICS-Prozesse zu stoppen.

Die einzigartige Herausforderung der OT-Sicherheit

Hier prallen Theorie und betriebliche Realität aufeinander. Legacy-OT-Systeme wurden für Verfügbarkeit gebaut, nicht für Logging oder Alarmierung. Die grundlegende Designphilosophie von industriellen Steuerungssystemen priorisierte Betriebszeit, deterministisches Verhalten und physische Prozesssteuerung, aber nicht Cybersicherheitstelemetrie, Patch-Management oder Bedrohungserkennung.

Im Gegensatz zur Informationstechnologie (IT), die sich auf Datenverarbeitung und Kommunikation konzentriert, befasst sich OT mit den physischen Operationen von Maschinen und Prozessen. Diese Unterscheidung schafft einzigartige Herausforderungen:

Verschiedene Risikoprofile: Ein IT-Systemkompromiss könnte Daten aufdecken oder Geschäftsprozesse stören. Ein OT-Kompromiss kann physische Schäden, Umweltkatastrophen oder den Verlust von Menschenleben verursachen. Die Risikoeinschätzung ist grundlegend anders.

Unvereinbare Sicherheitskontrollen: Viele Standard-IT-Sicherheitskontrollen lassen sich nicht gut auf OT-Umgebungen übertragen. Während Verschlüsselung in IT-Netzwerken effektiv ist, kann ihre Implementierung in OT-Umgebungen Herausforderungen darstellen und eine geringere Investitionsrendite bieten aufgrund unterschiedlicher Risikoflächen. Die Latenz, die durch Verschlüsselung eingeführt wird, kann für Echtzeit-Steuerungssysteme inakzeptabel sein. MFA kann Reibung schaffen, die mit Sicherheitsanforderungen in Konflikt steht.

Verlängerte Asset-Lebenszyklen: IT-Assets werden typischerweise alle 3-5 Jahre erneuert. OT-Assets können 20-30 Jahre in Produktion bleiben. Ein 2005 in Betrieb genommene SCADA-System könnte 2025 immer noch kritische Infrastruktur steuern - unter Windows XP, ohne grundlegende Sicherheitsfunktionen und unmöglich zu patchen ohne verlängerte Ausfälle.

Die fünf kritischen Kontrollen von SANS für ICS

Dean Parsons vom SANS Institute hat fünf ICS-spezifische Kontrollen identifiziert, die die Grundlage für die Einhaltung von NIS2 für OT-Betreiber bilden sollten:

• ICS-spezifische Incident-Response: Allgemeine IT-Incident-Response-Playbooks berücksichtigen keine physischen Sicherheitsüberlegungen, Prozesssteuerungsanforderungen oder die Notwendigkeit zur Aufrechterhaltung der Systemverfügbarkeit während der Eindämmung.

• Verteidigungsfähige Netzwerkarchitektur: Netzwerktransparenz und -überwachung unter Verwendung spezieller Tools und Analysemöglichkeiten zur Identifizierung potenzieller Risiken für Steuerungssysteme und Operationen. Dies bedeutet die Implementierung einer ordnungsgemäßen Netzwerktrennung, DMZs zwischen IT- und OT-Netzwerken und auf tiefen Strategien zugeschnittene Verteidigungsstrategien.

• Netzwerktransparenz und -überwachung: Sie können nicht schützen, was Sie nicht sehen können. Eine wichtige ICS-spezifische Kontrolle zur Sicherstellung der Fähigkeit zur Bedrohungserkennung und Datenerfassung zur Protokollierung und Reaktion ist die proaktive Maßnahme der ICS-Netzwerktransparenz. Dies erfordert passive Überwachungslösungen, die industrielle Protokolle (Modbus, DNP3, PROFINET, etc.) dekodieren können, ohne Latenz oder Zuverlässigkeitsrisiken einzuführen.

• Sicherer Fernzugriff: Die COVID-Pandemie hat die Anforderungen an den Fernzugriff für OT-Umgebungen beschleunigt. Allerdings bieten traditionelle VPNs oft keine angemessene Netzwerktrennung oder Überwachung für industrielle Netzwerke. Lösungen müssen granulare Zugriffskontrolle, Sitzungsaufzeichnung und die Fähigkeit bieten, den Zugriff auf spezifische HMIs oder PLCs zu beschränken.

• Risiko-basierte Schwachstellenmanagement: Da es unmöglich ist, viele Legacy-OT-Systeme zu patchen, müssen Organisationen kompensierende Kontrollen implementieren: Netzwerksegmentierung, Anwendungs-Whitelisting und Verhaltensanomalieerkennung, die Ausnutzungsversuche erkennen kann, selbst wenn Systeme technisch verletzlich bleiben.

Incident-Berichterstattung: Die 24-Stunden-Realitätsprüfung

NIS2 führt restriktivere Anforderungen an die Incident-Berichterstattung ein, die Unternehmen verpflichten, signifikante Cybersicherheitsvorfälle innerhalb von 24 Stunden zu melden. Für OT-Umgebungen stellt dieser Zeitplan erhebliche praktische Herausforderungen dar.

Betrachten Sie ein typisches OT-Incident-Szenario:

Stunde 0-4: Erste Erkennung - oft durch Prozessanomalien statt durch Cybersicherheitstelemetrie. OT-Betreiber bemerken unerwartetes Verhalten in Steuerungssystemen.

Stunde 4-12: Untersuchung - Bestimmung, ob die Anomalie ein Cybersicherheitsvorfall, ein Gerätefehler oder ein Bedienfehler ist. Dies erfordert Koordination zwischen OT-Ingenieuren, IT-Sicherheitsteams und gegebenenfalls externen ICS-Sicherheitsspezialisten.

Stunde 12-20: Eindämmungsentscheidungen - In OT-Umgebungen könnte Eindämmung bedeuten, die Produktion zu stoppen, auf manuelle Steuerung umzuschalten oder kritische Systeme zu isolieren. Jede Option hat bedeutende operationelle und sicherheitstechnische Auswirkungen, die bewertet werden müssen.

Stunde 20-24: Formale Benachrichtigung - Vorbereitung der regulatorischen Benachrichtigung, während immer noch auf den Vorfall reagiert wird.

Dieser komprimierte Zeitrahmen verlangt vorab festgelegte Incident-Response-Frameworks, die speziell für OT-Überlegungen geachtet werden. Organisationen benötigen:

• Klare Eskalationswege, die nicht erfordern, dass man durch die Unternehmensbürokratie navigiert, während aktive Vorfälle

• Vorautorisierte Entscheidungsbefugnis für OT-Personal, um Systeme zu isolieren oder den Betrieb zu stoppen

• Vorlagen für Benachrichtigungen, die schnell angepasst statt von Grund auf erstellt werden können

• Regelmäßige Tischübungen, die spezifisch die 24-Stunden-Berichterstattungszeit mit realistischen OT-Szenarien testen

Supply-Chain-Sicherheit: Die versteckte Angriffsfläche

Viele Organisationen verlassen sich auf ein komplexes Netzwerk von Lieferanten, um zu arbeiten. Diese komplexe Lieferkette ist ein attraktives Ziel für Angreifer, da diese Lieferkette möglicherweise einen Einstiegspunkt in das industrielle Netzwerk bieten kann.

Die SolarWinds- und Kaseya-Vorfälle haben gezeigt, wie Software-Supply-Chain-Kompromisse tausende von Organisationen erfassen können. Für OT-Betreiber geht das Supply-Chain-Risiko über Software hinaus und umfasst:

Hardwarekomponenten: PLCs, RTUs und andere Feldgeräte von Herstellern, die geopolitischem Druck ausgesetzt sein könnten oder Backdoors für "Remote-Diagnosen" besitzen

Systemintegratoren: Drittfirmen mit tiefem Zugriff auf Steuerungssystemkonfigurationen, Netzwerkarchitekturen und Sicherheitskontrollen

Managed Service Provider: Organisationen, die Fernüberwachung, -wartung oder -optimierungsdienste anbieten und einen dauerhaften Zugang zu OT-Netzwerken haben

Ingenieur- und Designfirmen: Partner, die HMI-Oberflächen erstellen, SCADA-Systeme konfigurieren oder Steuerungslogik entwerfen - oft behalten sie Zugangsdaten lange nach Abschluss des Projekts

Die Supply-Chain-Anforderungen von NIS2 verpflichten Organisationen dazu:

• Sicherheitsbewertungen von kritischen Lieferanten durchzuführen

• Cybersicherheitsanforderungen in Beschaffungsverträgen einzubeziehen

• Lieferantenkonformität durch Audits oder Zertifizierungen zu überwachen

• Notfallpläne für Lieferantenkompromittierung oder -nichtverfügbarkeit zu haben

Der Supply-Chain-Rahmen des Cybersicherheitsgesetzes fügt eine weitere Ebene hinzu: Organisationen müssen das geopolitische Risikoprofil ihrer Lieferanten berücksichtigen, nicht nur die technische Sicherheitslage. Ein technisch sicherer Lieferant, der sich in einem Gerichtsstand mit Anforderungen an ausländischen Einfluss befindet, könnte nun als Hochrisiko eingestuft werden.

Governance und Verantwortung: Cybersicherheit im Vorstand

Verwaltungsgremien sind ausdrücklich für die Einhaltung verantwortlich, einschließlich Genehmigung und Überwachung der Cybersicherheitsstrategie. Dies stellt einen grundlegenden Wandel in der Verantwortung dar.

Zuvor wurde Cybersicherheit oft IT- oder Sicherheitsteams mit begrenzter Vorstandssichtbarkeit überlassen. NIS2 und das überarbeitete Cybersicherheitsgesetz machen Führungskräfte persönlich verantwortlich. Managementversagen können zu vorübergehenden Sperren oder Disqualifikation von Einzelpersonen von Führungspositionen führen.

Für OT-Organisationen schafft dies sowohl Risiko als auch Gelegenheit:

Das Risiko: Vorstand und Führungskräfte verfügen oft nicht über ein tiefes Verständnis der Herausforderungen der OT-Sicherheit. Sie könnten IT-Sicherheitsmentalmodelle auf OT-Umgebungen anwenden, wo sie nicht passen oder Compliance-Budgets genehmigen, die den erforderlichen Aufwand dramatisch unterschätzen.

Die Gelegenheit: Verbindliche Verantwortlichkeit auf Vorstandsebene schafft Hebel für CISOs und OT-Sicherheitsleiter, notwendige Ressourcen zu sichern, Sicherheitsarchitekturentscheidungen zu priorisieren und Cybersicherheit in die strategische Planung einzubinden, anstatt sie als Kostenstelle zu behandeln.

Organisationen sollten etablieren:

• Regelmäßige Vorstandserörterungen zur OT-Cybersicherheitslage mit Metriken, die Führungskräfte verstehen können (nicht nur technische Indikatoren)

• Klar definierte Rollen und Verantwortlichkeiten zwischen IT-Sicherheit, OT-Engineering und Unternehmensführung

• Cyber-Risiko-Ausschüsse auf Vorstandsebene mit Vertretung aus sowohl IT- als auch OT-Perspektiven

• Tischübungen, die Vorstandsmitglieder einbeziehen um sicherzustellen, dass sie die Entscheidungsfindung bei der Incident-Response nicht nur in den Richtliniendokumenten verstehen

Durchsetzung: Wirkliche Strafen

Lassen Sie uns nun darüber sprechen, was Compliance-Offiziere nachts wach hält. Anders als die ursprüngliche NIS-Richtlinie führt NIS2 stärkere Durchsetzungsbefugnisse für nationale Behörden ein, einschließlich regelmäßiger Audits, Sicherheitsinspektionen, bindender Anweisungen und insbesondere Verwaltungsgeldstrafen von bis zu 10 Millionen € oder 2 % des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Zur Orientierung, 2 Prozent des globalen Umsatzes für ein großes europäisches Versorgungsunternehmen oder Hersteller könnten Hunderte von Millionen Euro erreichen. Dies sind keine symbolischen Strafen, sondern sie sind existenzbedrohende finanzielle Konsequenzen.

Wesentliche Einheiten stehen unter proaktiver Überwachung, was bedeutet, dass Behörden Sie jederzeit auditieren können. Keine Vorwarnung, keine Vorbereitungszeit. Regulierungsbehörden können erscheinen, Zugang zu Ihren OT-Netzwerken verlangen, Ihre Sicherheitskontrollen überprüfen und Ihre Incident-Response-Fähigkeiten bewerten.

Die Durchsetzungsbefugnisse gehen über Geldbußen hinaus:

• Bindende Anweisungen: Behörden können die Implementierung spezifischer Sicherheitsmaßnahmen innerhalb definierten Zeiträumen anordnen

• Zugangsrestriktionen zum Markt: Nicht-konforme Produkte können vom EU-Markt ausgeschlossen werden

• Öffentliche Bekanntmachung: Schwere Verstöße können öffentlich angekündigt werden, was Rufschäden verursacht

• Disqualifikation von Direktoren: In schwerwiegenden Fällen von Fahrlässigkeit können Behörden Unternehmensleiter disqualifizieren.

Der Umsetzungszeitplan: Was zu erwarten ist

Das überarbeitete Cybersicherheitsgesetz wird sofort gelten, wenn es vom Europäischen Parlament und dem Rat genehmigt wird. Allerdings folgt die praktische Umsetzung einem gestaffelten Zeitrahmen:

Sofort (2026):

• Organisationen sollten mit Lieferketten-Risiko-Bewertungen beginnen, insbesondere die Überprüfung von Lieferantrisikoprofilen

• Zertifizierungsrahmen steht zur Verfügung - frühe Anwender können einen Wettbewerbsvorteil erlangen

• ENISA beginnt mit erweiterten Koordinierungs- und Unterstützungsfunktionen

Kurzfristig (2026-2027):

• Mitgliedstaaten haben ein Jahr Zeit, um die Änderungsanträge von NIS2 in nationales Recht umzusetzen

• Nationale Cybersicherheitsbehörden etablieren proaktive Überwachungsmechanismen

• Erste Durchsetzungsmaßnahmen werden wahrscheinlich die gröbsten Nichtkonformitäten anvisieren

Mittelfristig (2027-2028):

• Harmonisierte Zertifizierungsstandards reifen und werden Markterwartungen

• Supply-Chain-Risikominderungsmaßnahmen werden vollständig durchgesetzt, was möglicherweise Infrastrukturänderungen erfordert

• Branchenspezifische Leitdokumente von ENISA bieten Klarheit über sektorspezifische Anforderungen

Praktische Empfehlungen für OT-Betreiber

Angesichts der regulatorischen Landschaft und der operativen Realität, hier sind konkrete Schritte, die OT-Infrastrukturbetreiber ergreifen sollten:

Führen Sie eine umfassende Asset-Inventarisierung durch

Sie können nicht schützen, was Sie nicht wissen, dass es existiert. Stellen Sie sicher, dass Sie einen vollständigen Überblick über Ihre OT-Geräte haben, damit Sie den OT-Lebenszyklus besser verwalten können und Ausfallzeiten minimieren. Dies beinhaltet:

• Vollständige Inventarisierung aller Feldgeräte (PLCs, RTUs, Sensoren, Aktuatoren)

• Netzwerktopologiedokumentation, die alle Verbindungen zeigt

• Tracking von Software- und Firmware-Versionen

• Lieferanten- und Anbieterbeziehungen, die bestimmten Assets zugeordnet sind

Implementieren Sie ICS-spezifische Netzwerktransparenz

Setzen Sie passive Überwachungslösungen ein, die industrielle Protokolle dekodieren können, ohne die Systemleistung zu beeinträchtigen. Dies bietet die Protokollierungs- und Alarmierungsfähigkeiten, die Legacy-OT-Systeme von Design aus fehlen, ohne Änderungen an Produktionssystemen zu erfordern.

Bewerten und dokumentieren Sie das Supply-Chain-Risiko

Erstellen Sie eine gestufte Lieferantenrisikobewertung, die berücksichtigt:

• Technische Sicherheitslage (Zertifizierungen, Auditergebnisse, Schwachstellenmanagement)

• Geopolitisches Risikoprofil (Amt, Anforderungen an ausländischen Einfluss, Vorschriften für Dual-Use-Technologie)

• Kritikalität für Betrieb (Verfügbarkeit von Alternativen, Austauschkosten, Umfragetiefe)

• Vertragliche Sicherheitsanforderungen und Durchsetzungsmechanismen

Entwickeln Sie OT-spezifische Incident-Response-Playbooks

Standard-IT-Incident-Response-Pläne berücksichtigen keine physischen Sicherheitsüberlegungen, Prozesssteuerungsanforderungen oder die Notwendigkeit zur Koordination mit Operational-Technologie-Ingenieuren. Ihre Playbooks sollten enthalten:

• Sicherheitsentscheidungsbäume, die die menschliche Sicherheit und den Umweltschutz priorisieren

• Klare Befugnis, Systeme herunterzufahren ohne langwierige Genehmigungsketten

• Vorformulierte Kommunikationstemplates für die 24-Stunden-Berichterstattung

• Koordinierungsprotokolle zwischen IT-Sicherheit, OT-Engineering und Betriebsteams

Establish Governance auf Vorstandsebene

Cybersicherheit ist nicht mehr nur die Aufgabe des CISO. Vorstände und Unternehmensführung sind aufgefordert, Cyber-Risiken als Governance-Thema zu verstehen und zu verwalten. Schaffen Sie:

• Vierteljährliche Vorstandserörterungen mit unternehmensfreundlichen Metriken

• Cyber-Risiko-Ausschüsse mit cross-funktionaler Vertretung

• Regelmäßige Tischübungen, die C-Suite-Teilnehmer einbeziehen

• Klare Eskalations- und Entscheidungsbefugnis für Cybersicherheitsvorfälle

Planen Sie die Migration von Legacy-Systemen

Viele Hersteller sind auf veraltete Legacy-Systeme angewiesen, die schwer zu sichern sind und möglicherweise nicht den NIS2-Standards entsprechen. Nehmen Sie einen stufenweisen Ansatz:

• Priorisieren Sie Systeme basierend auf Kritikalität und Exposition

• Implementieren Sie kompensierende Kontrollen (Netzwerksegmentierung, Anwendungs-Whitelisting) für Systeme, die nicht aktualisiert werden können

• Budgetieren Sie für mehrjährige Migrationsprogramme und erkennen an, dass ein vollständiger Austausch nicht möglich ist

• Nutzen Sie APIs und moderne Integrationsmuster, um Legacy-Systeme zu isolieren, während die Funktionalität erhalten bleibt

Investieren Sie in die Entwicklung von Arbeitskräften

Die Cybersicherheitsfähigkeitenlücke ist akut in OT-Umgebungen, in denen Expertise sowohl IT-Sicherheitswissen als auch Verständnis der Operational Technology erfordert. ENISAs Cybersecurity Skills Academy wird helfen, aber Organisationen benötigen interne Fähigkeitsentwicklung:

• Cross-Training zwischen IT-Sicherheit und OT-Engineering-Teams

• ICS-spezifische Sicherheitszertifizierungen (GICSP, GRID, ICS515)

• Regelmäßige Teilnahme an Informationsaustauschgruppen in der Industrie

• Bindungsstrategien für den knappen Talentpool von OT-Sicherheitsspezialisten

Die Konvergenz von Compliance-Rahmen

Ein Silberstreifen in dieser regulatorischen Entwicklung: Durch die Identifizierung gemeinsamer Anforderungen in NIS2, CRA und anderen Rahmen wie GDPR können Unternehmen Kontrollen implementieren, die mehrere regulatorische Verpflichtungen gleichzeitig erfüllen, wodurch effizientere Compliance-Programme entstehen.

Organisationen, die bereits Rahmen wie IEC 62443 für industrielle Cybersicherheit oder NIST CSF umsetzen, werden erhebliche Überschneidungen mit NIS2-Anforderungen feststellen. Der Schlüssel besteht darin, einen integrierten Compliance-Ansatz zu entwickeln, anstatt jede Regulierung als separates Initiative zu behandeln:

• Bestehende Sicherheitskontrollen auf NIS2, CRA und GDPR-Anforderungen abbilden

• Lücken identifizieren, die neue Kontrollen gegenüber Dokumentationsverbesserungen erfordern

• Die ECCF-Zertifizierung nutzen, um Konformität über mehrere Rahmen darzulegen

• Einheitliche Governance-Strukturen schaffen, die alle Cyber-Risiken und Compliance-Verpflichtungen überwachen

Das überarbeitete EU-Cybersicherheitsgesetz repräsentiert den bisher ehrgeizigsten Versuch, Europas digitale Infrastruktur gegen sich entwickelnde Bedrohungen zu sichern. Für OT-Betreiber und Unternehmen in kritischen Sektoren fordert es eine grundlegende Neuausrichtung der Sicherheitsarchitekturen, Lieferantenbeziehungen und Governance-Strukturen.

Aber hier ist der strategische Einblick, der die Führungskräfte von Nachzüglern trennt: Organisationen sollten NIS2-Konformität als natürliche Folge einer starken Cybersicherheitslage betrachten. Die Unternehmen, die gedeihen werden, sind nicht diejenigen, die sich bemühen, minimale Compliance zu erreichen, sondern diejenigen, die robustes OT-Sicherheit als Wettbewerbsvorteil und betriebliche Notwendigkeit erkennen.

Die Organisationen, die dies als ein Compliance-Abhaken-Übung betrachten, werden kämpfen. Diejenigen, die Sicherheit in ihre Betriebskultur einbetten, die in Sichtbarkeit und Widerstandsfähigkeit investieren, die Kulturen schaffen, in denen Cybersicherheit jeder Verantwortung ist - diese Organisationen werden nicht nur die regulären Anforderungen erfüllen, sondern besser positioniert sein, um:

• Vorfälle zu verhindern und darauf zu reagieren, die Konkurrenten lahmlegen

• Verträge zu gewinnen, die dokumentierte Sicherheitsreife erfordern

• Talente in wettbewerbsfähigen Arbeitsmärkten anzuziehen und zu halten

• Premium-Marktbewertungen zu erzielen, die geringere Cyber-Risikoprofile widerspiegeln

Die Bedrohungslandschaft wird nicht einfacher. Staatliche Akteure entwickeln zunehmend raffinierte Fähigkeiten, die auf industrielle Steuerungssysteme abzielen. Ransomware-Gruppen haben die wirtschaftliche Rentabilität des Ziels kritischer Infrastrukturen unter Beweis gestellt. Die Konvergenz von IT- und OT-Netzwerken erweitert weiterhin Angriffsflächen.

Das überarbeitete Cybersicherheitsgesetz bietet einen Rahmen, Ressourcen durch ENISA und Durchsetzungsmechanismen, um notwendige Verbesserungen voranzutreiben. Aber im Grunde erfordert die Sicherung der Infrastruktur operativer Technologie Organisationen, architektonische Sicherheitsentscheidungen zu treffen, Ressourcenzuweisungen zu machen und kulturelle Verpflichtungen einzugehen, die die regulatorische Compliance überschreiten.

Die Frage ist nicht, ob Ihre Organisation sich leisten kann, diese Maßnahmen umzusetzen. Die Frage ist, ob Sie es sich leisten können, dies nicht zu tun, gemessen nicht nur an regulatorischen Strafen, sondern an operativer Widerstandsfähigkeit, Wettbewerbspositionierung und letztendlich in der kontinuierlichen Fähigkeit, die wesentlichen Dienste zu liefern, die die moderne Gesellschaft untermauern.

Die regulatorischen Implikationen kommen. Aber Organisationen, die proaktiv handeln, werden entdecken, dass der Weg zur Compliance auch der Weg zur Betriebsexzellenz ist.

Benötigen Sie Hilfe bei Ihren Anforderungen zur Regulatoren-Compliance? Sprechen Sie mit unserem Experten.

Mehr über unsere NIS2-Compliance-Services.

Erfahren Sie mehr über Shieldworkz’ Services zur Vorfall-Reaktion

Testen Sie unsere OT-Sicherheitsplattform hier.