site-logo
site-logo
site-logo
Hero-Hintergrund

Leitfaden zur Behebung

ANSSI OT/ICS Security
Nachweisbasierte, quantifizierbare Prüfliste für die Bewertung 

Weiß Ihre OT-Umgebung tatsächlich, wo sie steht? 

Die meisten Industrieunternehmen verfügen über irgendeine Form von Cybersecurity-Richtlinie. Doch wenn eine Aufsichtsbehörde vor Ort erscheint oder sich ein PLC um 2 Uhr morgens unerwartet verhält, lautet die eigentliche Frage nicht, ob Unterlagen existieren – sondern ob davon irgendetwas einer Prüfung standhalten würde. 

OT- und ICS-Umgebungen sind mit einem Maß an betrieblichen Auswirkungen verbunden, das IT-Umgebungen schlicht nicht aufweisen. Eine falsch konfigurierte Firewall-Regel, ein nicht gepatchtes HMI oder eine unbeaufsichtigte Fernwartungssitzung eines Lieferanten kann sich zu physischen Schäden, Produktionsausfällen und Sicherheitsvorfällen ausweiten. Die Einsätze sind hoch genug, dass „wir glauben, compliant zu sein“ für keinen CISO, Betriebsleiter oder Werksicherheitsleiter mehr eine akzeptable Antwort ist. 

Genau deshalb hat Shieldworkz diese ANSSI OT/ICS Security Evidence-Based Assessment Checklist entwickelt – ein strukturiertes, quantifizierbares Instrument, das Annahmen durch Nachweise ersetzt. 

Warum dieser Leitfaden für Abhilfemaßnahmen wichtig ist 

Das ANSSI (Agence nationale de la sécurité des systèmes d'information)-Framework gehört heute zu den strengsten und praxisnah strukturierten Ansätzen für industrielle Cybersicherheit. Mit der Veröffentlichung der ANSSI Industrial Systems Cybersecurity Detailed Measures v2.0 im November 2025 und der ANSSI Industrial Systems Classification Method v2.0 im März 2025 richtet sich das Framework nun ausdrücklich an die Security Levels der IEC 62443 (SL-1 bis SL-4) aus – und ist damit nicht nur eine europäische regulatorische Anforderung, sondern ein weltweit relevanter Maßstab. 

Was ANSSI von einer allgemeinen Compliance-Checkliste unterscheidet, ist der klassifizierungsorientierte Ansatz. Jedes Industriesystem muss zunächst einer von vier Cybersicherheitsklassen zugeordnet werden – C1 (Basic) bis C4 (Vital) – bevor irgendeine Maßnahme angewendet wird. Das bedeutet, dass die Anforderungen dem tatsächlichen Risiko angemessen sind. Eine Wasseraufbereitungsanlage, die als C3 klassifiziert ist, unterliegt anderen Verpflichtungen als ein C1-System mit geringer Auswirkung, und die auf jeder Stufe durchgesetzten Kontrollen spiegeln diesen Unterschied wider. 

Für Organisationen, die unter NIS2 operieren, geht die Ausrichtung noch weiter. Die zehn Sicherheitsdomänen in dieser Checkliste lassen sich direkt den Risikomanagementmaßnahmen gemäß Artikel 21 der NIS2-Richtlinie zuordnen, sodass eine einzige Bewertung beide regulatorischen Verpflichtungen erfüllen kann.

Warum es wichtig ist, diesen Remediation-Leitfaden herunterzuladen 

Cyber-Bedrohungen, die auf OT-Infrastrukturen abzielen, haben sich erheblich weiterentwickelt. Staatlich gesteuerte Bedrohungsakteure zielen inzwischen aktiv auf industrielle Steuerungssysteme in den Sektoren Energie, Wasser, Fertigung und Transport ab. Angreifer, die sich früher auf IT-Umgebungen konzentrierten, haben OT-spezifische Toolkits entwickelt, die in der Lage sind, PLCs zu beeinträchtigen, Prozesswerte zu manipulieren und Versuche der Netzwerkisolation zu überstehen. 

Gleichzeitig hat sich der regulatorische Druck beschleunigt. NIS2 ist nun in nationales Recht umgesetzt und in den EU-Mitgliedstaaten durchsetzbar. Betreiber wesentlicher Dienste, die keine strukturierte Cybersicherheitsposition nachweisen können, sind erheblichen Risiken ausgesetzt - sowohl finanziell als auch operativ. 

Diese Checkliste bietet Sicherheitsverantwortlichen und Compliance-Teams eine belastbare, evidenzbasierte Methodik, um exakt zu belegen, wo sie stehen - bevor eine Aufsichtsbehörde oder ein Angreifer die Frage stellt.

Wesentliche Erkenntnisse aus der ANSSI-Checkliste für die OT/ICS-Sicherheitsbewertung 

Zehn Sicherheitsdomänen durchgängig abgedeckt, von Governance und Asset-Inventar bis hin zu Physischer Sicherheit, Vorfallreaktion und Lieferkettenrisiko – jeweils mit spezifischen Checklistenpunkten, erforderlichen Nachweisarten und Auditmethoden. 

Eine Fünf-Punkte-Bewertungsskala, direkt an die Cybersicherheitsklassen des ANSSI gekoppelt, sodass jede Bewertung in ein aussagekräftiges Compliance-Niveau (C1 bis C4) und ein entsprechendes IEC-62443-Sicherheitslevel übersetzt wird. 

Evidenz-zuerst-Methodik: Ein Score über 3 darf nicht vergeben werden, ohne dass ein greifbares, datiertes Artefakt vorliegt. Mündliche Zusicherungen und informelle Beobachtungen zählen nicht - denn sie würden einer regulatorischen Prüfung nicht standhalten. 

OT-spezifische Kontrollen, die reale industrielle Rahmenbedingungen berücksichtigen: ausschließlich passives Schwachstellenscanning, um PLCs nicht zu beeinträchtigen, Prozesse zur Patch-Zurückstellung mit Dokumentation kompensierender Kontrollen sowie JIT-Fernzugriffsrahmenwerke, die die Realitäten von Hersteller-Wartungsarbeiten berücksichtigen. 

Regulatorische Doppelnutzung: Die zehn Domänen lassen sich direkt dem NIS2-Artikel 21 zuordnen und ermöglichen es Organisationen, die ANSSI-Klassenanforderungen sowie die NIS2-Meldepflichten in einem einzigen Bewertungszyklus zu erfüllen. 

Ein strukturierter Maßnahmenfahrplan mit Prioritätskennzeichnung – P1 (innerhalb von 30 Tagen zu beheben) bis P4 (12 Monate) – der Sicherheitsteams einen klaren, sequenzierten Maßnahmenplan statt einer undifferenzierten Liste von Lücken bietet. 

Leitfaden für die CISO-Vorlage vor dem Vorstand ist im Leitfaden enthalten, einschließlich wie Sie zusammengesetzte Scores einordnen, die Exposition in finanziellen Kennzahlen quantifizieren und eine belastbare Roadmap präsentieren, auf deren Grundlage die Führungsebene handeln kann. 

Kontrollen für Lieferkette und Drittparteien einschließlich SBOM-Anforderungen für C3/C4-Systeme, Management des physischen Zugangs von Auftragnehmern und Verfahren zur Verifizierung der Softwareintegrität – entsprechend der Realität, dass OT-Lieferketten langfristig bestehen und komplex sind. 

Wie Shieldworkz Sie auf Ihrem OT/ICS-Sicherheitsweg unterstützt 

Shieldworkz bringt tiefgehende, praxisnahe OT-Sicherheitskompetenz in globalen Industrieumgebungen ein – von Energie und Versorgungswirtschaft über Fertigung sowie Öl und Gas bis hin zu kritischer Infrastruktur. Wir gehen über die reine Dokumentation hinaus. Unser Team betreibt ein branchenspezifisches Security Operations Center (ISOC) und unterhält eines der weltweit umfangreichsten OT- und IoT-Bedrohungsinformationsnetzwerke. Dadurch erhalten unsere Assessments einen realen Bedrohungskontext, den ein auf Tabellenkalkulationen basierendes Audit nicht liefern kann. So unterstützt Shieldworkz Organisationen dabei, diese Bewertung in die Praxis umzusetzen:

Strukturierte, an ANSSI ausgerichtete OT-Sicherheitsbewertungen durchgeführt von zertifizierten OT-Sicherheitsspezialisten, unter Verwendung passiver Erkennungsmethoden, die den laufenden industriellen Betrieb nicht beeinträchtigen 

Planung zur Lückenschließung mit priorisierten Roadmaps, interimistischen kompensierenden Kontrollen und den verantwortlichen zugewiesenen Maßnahmenpunkten, berichtsfähig für die Vorstandsebene 

OT-native SOC-Integration, die Ihre IDS/NDR-Alerts, SIEM-Logquellen und Prozessanomalieerkennung in eine überwachte Sicherheitsbetriebsfunktion mit OT-geschulten Analysten integriert 

NIS2-Dual-Compliance-Unterstützung, die Unternehmen dabei unterstützt, sowohl die ANSSI-Klassifizierungsanforderungen als auch die Meldepflichten gemäß Artikel 21 durch ein einziges, effizientes Prüfprogramm zu erfüllen 

Beratungsleistung zur Ausrichtung an IEC 62443, unterstützt Organisationen auf dem Weg zu einer formalen Zertifizierung nach SL-2, SL-3 oder SL-4 

Supply-Chain-Security-Prüfungen, einschließlich Lieferantenrisikobewertungen, SBOM-Analysen und Entwicklung vertraglicher Sicherheitsklauseln 

Tabletop-Übungen und Planung der forensischen Einsatzbereitschaft speziell für OT-Umgebungen konzipiert, bei denen Eindämmungsmaßnahmen die Betriebssicherheit ebenso wahren müssen wie die Sicherheitsziele 

Fordern Sie Ihr kostenloses Exemplar an & sprechen Sie mit unseren Experten 

Die ANSSI OT/ICS Security Evidence-Based Assessment Checklist steht OT-Sicherheitsverantwortlichen, CISOs, Compliance-Managern und Betriebsleitern, die genau wissen wollen – und belegen müssen –, wie ihre industrielle Cybersicherheitslage tatsächlich aussieht, als kostenloser Download zur Verfügung. 

Füllen Sie das Formular aus , um die vollständige ANSSI OT/ICS Security Assessment Checklist herunterzuladen (an ANSSI Detailed Measures v2.0 ausgerichtet). Vereinbaren Sie eine kostenlose Beratung mit einem Shieldworkz OT-Sicherheitsspezialisten. Erhalten Sie auf Grundlage Ihrer ANSSI-Klasse eine vorläufige Bereitschaftsprüfung für Ihre Umgebung. 

Laden Sie noch heute Ihre Kopie herunter!

Holen Sie sich unsere kostenlose ANSSI OT/ICS Security Evidence-Based Quantifiable Assessment Checklist und stellen Sie sicher, dass Sie alle kritischen Sicherheitskontrollen in Ihrem industriellen Netzwerk abdecken