Fünf Schritte führen zu mehr OT-Cyber-Sicherheit und einer Basis für NIS2Allgemeine Cyber-Sicherheit in der EU stärken
8. August 2024Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyber-Angriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen, als auch für die Gesellschaft machen das Thema Cyber-Sicherheit für Gesetzgeber immer relevanter.
Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cyber-Sicherheit in der EU vorsieht, wobei der Schwerpunkt auf der Abwehrbereitschaft und der Zusammenarbeit in kritischen Sektoren liegt. Die Richtlinie verpflichtet die Betreiber kritischer Dienstleistungen, angemessene Sicherheitsmaßnahmen zu ergreifen. Sie müssen die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren und die Sicherheitsrisiken in ihren Lieferketten verringern, indem sie die Produktqualität und die Cyber-Sicherheitspraktiken von Lieferanten und Dienstleistern überprüfen.
Bei der Verordnung NIS2 handelt es sich um einen überarbeiteten Rechtsrahmen basierend auf dem ersten EU-weiten Rechtsakt zur Cyber-Sicherheit. Sie trat am 16. Januar 2023 in Kraft und Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen.
Am 24. Juli 2024 hat das Bundeskabinett den vorgelegten Entwurf des Gesetzes zur Stärkung der Cyber-Sicherheit in Deutschland beschlossen, der die Umsetzung der EU-Richtlinie NIS2 regelt. Unternehmen riskieren bei Nichteinhaltung der Vorschriften Bußgelder, die Haftung des Managements, befristete Sperren für Verantwortliche und mehr.
Mit den folgenden Schritten können Unternehmen bereits jetzt eine Grundlage für NIS2 bzw. die nationale Umsetzung von NIS2 schaffen, indem sie Programme und Verfahren einführen, die einige der wichtigsten Anforderungen adressiert:
- Schritt 1: Die oberste Führungsebene sensibilisieren. Die oberste Führungsebene sollte über das Risikomanagement im Bereich der Cyber-Sicherheit, die NIS2-Anforderungen und die möglichen Auswirkungen der Beibehaltung des Status sensibilisiert werden. In diesem Zusammenhang empfiehlt es sich, mit der Geschäftsleitung und den Managementteams zusammenzuarbeiten, damit alle Beteiligten in die Diskussion über die NIS2-Anforderungen einbezogen werden.
- Schritt 2: Zusammenarbeit im Unternehmen. Die in der NIS2-Richtlinie beschriebenen Maßnahmen zum Management von Cyber-Sicherheitsrisiken sollten in Zusammenarbeit mit internen Teams überprüft werden. Eine Bestimmung des Reifegrads in Bezug auf die einzelnen Mandate ist zu empfehlen
- Schritt 3: Reaktionsfähigkeit und Berichterstattung. Verfügt das Unternehmen über einen vollständig ausgearbeiteten, vereinbarten und geübten Incident Response Plan bei Vorfällen? Ist bekannt, was die Reaktion auf einen Vorfall auslöst? Verfügt das Unternehmen über einen Geschäftskontinuitäts- und Krisenmanagementplan, der alle Bereiche des Unternehmens umfasst?
- Schritt 4: Evaluation der Sicherheit der Lieferkette. Zu diesem Zweck wird eine Liste aller Assets, die in der Umgebung des Unternehmens im Einsatz sind, benötigt – jeder dieser Assets-Anbieter ist Teil der Lieferkette. Welche Softwarelösungen werden in welchem Prozess eingesetzt? Alle diese Anbieter müssen bewertet werden. Das Gleiche gilt für die Hardware- und Softwarelösungen auf Unternehmensebene, da sie über Netzwerke mit anderen Werken und Betrieben des Unternehmens verbunden sind.
- Schritt 5: Erstellung einer Roadmap für die OT-Cyber-Sicherheit. Eine Roadmap sollte den aktuellen Reifegrad in den wichtigsten Bereichen sowie zeitgebundene Pläne zur Verbesserung und Optimierung enthalten. Von der Technologieeinführung bis hin zur Personalentwicklung sollte eine langfristige Übersicht über Cyberbereitschaft erstellt werden, damit Fortschritt konsequent gemessen werden kann.
Führungskräfte müssen jetzt eine aktive Rolle bei der Überwachung und Umsetzung der OT-Cyber-Sicherheit übernehmen. Ein besser koordinierter Ansatz für die Cyber-Sicherheit regelt das Management von Netzwerk- und Informationssicherheitsrisiken und kann die Lücken in der Cyber-Sicherheits-Resilienz zwischen verschiedenen Sektoren schließen. So können Unternehmen ihre OT-Cyber-Sicherheit auf den neuesten Stand bringen und eine Basis für die NIS2-Richtlinie schaffen.
Kai Thomsen ist Director of Global Incident Response Services bei Dragos.