Thought Leadership
Die NIS2-Richtlinie verschärft die Anforderungen an die Cybersicherheit in kritischen Infrastrukturen – und das aus gutem Grund.
Mit zunehmender Digitalisierung und Vernetzung industrieller Organisationen reichen die Auswirkungen von Cybervorfällen weit über klassische Datenverluste hinaus. Sie können essenzielle Dienste beeinträchtigen, die öffentliche Sicherheit gefährden und sich entlang ganzer Lieferketten auswirken.
Viele Organisationen machen dabei jedoch denselben Fehler. Sie setzen auf technische Lösungen, ohne vorher geeignete Strukturen und Prozesse zu etablieren. Gerade in industriellen Umgebungen greift dieser Ansatz zu kurz. Wer die Gründe dafür versteht, erkennt auch den wirksameren Weg zu NIS2-Konformität und robuster OT-Sicherheit.
Menschen, Prozesse, Technologie
In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) konkrete Hinweise zur Umsetzung der NIS2 Richtlinie veröffentlicht. In der Praxis zeigt sich, dass Aufsichtsbehörden organisatorische Strukturen und klar festgelegte Verantwortlichkeiten als Grundlage der Umsetzung betrachten. Darauf aufbauend gewinnen dokumentierte Prozesse an Bedeutung. Technische Maßnahmen entfalten ihre Wirksamkeit erst im Zusammenspiel mit diesen organisatorischen und prozessualen Voraussetzungen.
Das ist entscheidend, weil NIS2 Prüfungen nicht bei einzelnen technischen Maßnahmen ansetzen. Im Mittelpunkt der Bewertung stehen zunächst Organisation und Abläufe. Zuständigkeiten müssen klar geregelt sein, Verfahren müssen dokumentiert vorliegen und das Unternehmen muss nachvollziehbar darstellen, wie es Risiken im Bereich der Betriebstechnologie steuert.
Dabei wird eine grundlegende Realität oft unterschätzt. IT- und OT-Systeme sind unterschiedliche Bereiche, die unterschiedliche Expertise, unterschiedliche Ansätze und unterschiedliche organisatorische Strukturen erfordern. Beide Bereiche unterscheiden sich deutlich in Anforderungen, Arbeitsweisen und Fachwissen. Man kann dies an Bürocomputern im Vergleich zu industriellen Steuerungssystemen und den damit verbundenen Cyber-Bedrohungen und Risiken für das Unternehmen erkennen. Ein Sicherheitsvorfall in einer Produktionsanlage erfordert unmittelbares operatives Verständnis, das IT-Sicherheitsteams in dieser Form nicht haben. Umgekehrt gilt das ebenso.
Der Aufbau einer geeigneten Organisationsstruktur umfasst u.a.:
- dedizierte OT-Sicherheitsfunktionen mit ausgewiesener Expertise in operativer Technologie
- klar abgegrenzte Zuständigkeiten für IT- und OT-Sicherheit
- definierte Eskalationswege, die sowohl Cyberrisiken als auch operative Auswirkungen berücksichtigen
- eine enge, funktionsübergreifende Abstimmung zwischen Sicherheits- und Betriebsteams
Sobald diese organisatorische Basis geschaffen ist, lassen sich darauf wirksame Prozesse aufbauen:
- Verfahren zur Risikoanalyse, die sich an realistischen OT-Bedrohungsszenarien orientieren
- Incident Response Abläufe, die Sicherheitsaspekte ebenso wie Arbeitssicherheit und Produktionskontinuität berücksichtigen
- Bewertungen der Lieferkettensicherheit, insbesondere im Hinblick auf den Fernzugriff von Dienstleistern
- Workflows für das Schwachstellenmanagement, bei denen operative Auswirkungen priorisiert werden
Erst dann entfaltet Technologie ihre volle Wirkung. Sind die richtigen Menschen und Prozesse etabliert, lassen sich technische Lösungen so einsetzen, dass sie die Sicherheitslage tatsächlich stärken und nicht nur formale Compliance Anforderungen erfüllen.
Warum IT-Sicherheit nicht ausreicht
Artikel 21 der NIS2-Richtlinie verpflichtet Organisationen dazu, Cybersicherheitsmaßnahmen umzusetzen, die ihrem jeweiligen Risikoniveau angemessen sind. Dazu zählen u.a. Richtlinien zur Risikoanalyse, Incident-Response-Pläne, Maßnahmen zur Absicherung der Lieferkette, ein wirksames Schwachstellenmanagement sowie grundlegende Cyberhygiene. Artikel 23 ergänzt diese Anforderungen um ein gestuftes Melderegime für Sicherheitsvorfälle: Innerhalb von 24 Stunden ist eine erste Frühwarnmeldung abzugeben, nach 72 Stunden eine weitergehende Meldung mit zusätzlichen Details und spätestens innerhalb eines Monats ein Abschlussbericht.
Kommt es zu einem Sicherheitsvorfall im OT-Umfeld, zählt vor allem sofortige Transparenz. Es muss klar sein, ob sicherheitskritische Systeme beeinträchtigt wurden, ob Angreifer auf operative Störungen hinarbeiten, welche industriellen Protokolle betroffen sind und welche betrieblichen sowie potenziell physischen Auswirkungen zu erwarten sind. Klassische IT-Sicherheitswerkzeuge sind für diese Fragestellungen in der Regel nicht ausgelegt. Sie können industrielle Protokolle nur eingeschränkt interpretieren, bilden den operativen Kontext von Änderungen an speicherprogrammierbaren Steuerungen (SPS) nicht ab und liefern keine belastbaren Erkenntnisse zu Bedrohungsakteuren, die gezielt industrielle Steuerungssysteme angreifen.
Genau deshalb sind organisatorische Strukturen und Prozesse so entscheidend. Erforderlich sind klar verankerte Verantwortlichkeiten und Kompetenzen mit spezifischem OT-Fachwissen, dokumentierte Abläufe, die operative Rahmenbedingungen berücksichtigen, sowie Risikobewertungen, die die industrielle Realität widerspiegeln und nicht auf generischen IT-Sicherheitsmodellen beruhen.
Mehr als Compliance: NIS2 richtig verstehen
Bei der Umsetzung von NIS2 geht es um mehr als reine Compliance. Es geht um strategische Entscheidungen zur OT-Sicherheit. Werden Organisationsstrukturen und Prozesse sauber definiert, entsteht eine tragfähige Grundlage, auf der technische Maßnahmen wirksam umgesetzt werden können.
