Neue EU-Richtlinie ‚Netzwerk- und IT-Sicherheit‘

Tipps zur NIS2-Konformität

Bis zum 17. Oktober 2024 haben die EU-Mitgliedsstaaten Zeit, die NIS2-Direktive in nationales Recht umzusetzen. Was im Zusammenhang mit der IT-Sicherheitsrichtlinie zu beachten ist, erläutert Tim Berghoff von G Data CyberDefense.

(Bild: G DATA CyberDefense AG)

Die EU-Direktive für die Netzwerk- und IT-Sicherheit (NIS2) hat das Ziel, die Resilienz kritischer Infrastrukturen sowie deren Liefer- und Wertschöpfungsketten europaweit zu stärken und zu vereinheitlichen. Dabei wurde der Geltungsbereich dessen, was unter die Definition ‚kritisch‘ fällt, im Vergleich zum ursprünglichen NIS1-Cyber-Gesetz ausgedehnt. So ist die Direktive nun auch auf Unternehmen und Dienstleistungsbetriebe anwendbar, die bisher nicht unter die Regelungen für kritische Infrastrukturen fielen. Daraus ergeben sich für Industrie und Mittelstand einige Neuentwicklungen.

Wann greift NIS2

Ist ein Unternehmen in einem der insgesamt 18 Sektoren tätig (oder greift eine der Sonderregelungen), so ist die NIS2 anwendbar. Hinzu kommt: Wenn das Gesetz im Oktober 2024 in Kraft tritt – derzeit ohne Übergangsfristen. Je spezialisierter ein Industriezweig ist, desto gravierender können die Folgen eines vermeintlich lokal begrenzten Angriffs sein. Vor allem dann, wenn ein Unternehmen Komponenten fertigt, die für KRITIS-Unternehmen überlebenswichtig sind, etwa für die Wasserversorgung oder Energieerzeugung. Handelt es sich um das bundesweit einzige Unternehmen, das diese Bauteile herstellt, unterliegt es potenziell den Anforderungen der NIS2 – unabhängig vom Umsatz oder der Größe der Belegschaft.

Bestandsaufnahme

Der erste Schritt Richtung NIS2-Compliance ist eine Bestandsaufnahme der aktuellen Sicherheitsmaßnahmen. Oft lassen sich so Versäumnisse aufdecken und beheben – sei es das Installieren eines Updates zur Behebung einer alten Sicherheitslücke oder die Außerbetriebnahme eines nicht mehr benötigten aber zum Internet hin exponierten Systems.

ANZEIGE

MES-Integrator und 360-Grad-Partner für optimierte Fertigung

Das Manufacturing Execution System (MES) HYDRA optimiert Produktionsprozesse für Fertigungsunternehmen, um Wettbewerbsvorteile zu erzielen.‣ weiterlesen

Regelmäßige Prüfung

Ein oft vernachlässigter Teilbereich ist die Überwachung von Netzwerkaktivitäten. Diese kann jedoch frühzeitig Aufschluss über laufende Angriffe geben. Auch die regelmäßige Prüfung bestehender Sicherheitskonzepte gehört zu den Forderungen der NIS2. Überprüfungen sind nun in regelmäßigen Abständen vorgeschrieben. Teil dieser Überprüfungen können auch Penetrationstests sein, bei denen Dienstleister helfen können.

Herausforderung OT

Für Industrieunternehmen ist neben der IT auch die Operational Technology ein wichtiger Punkt. Das Hauptaugenmerk liegt dort auf Verfügbarkeit und Zuverlässigkeit. Da es aus verschiedenen Gründen Netzwerkverbindungen zwischen der OT und der IT gibt, besteht hier eine besondere Herausforderung. Ausfälle in der OT bedeuten oft finanzielle Schäden. Eine unkontrolliert heruntergefahrene Anlage bedeutet Wartungs- und Reparaturarbeiten und kann auch Vertragsstrafen nach sich ziehen. Es gilt also auch hier die Sicherheit nicht zu vernachlässigen.

Kein rein technisches Problem

IT-Sicherheit ist kein technisches Problem. Der Markt hält Produkte für zahlreiche Szenarien bereit. Allerdings fehlt es in Unternehmen oft an Knowhow in Sachen IT-Sicherheit sowie an definierten Prozessen. Der Fehlschluss, dem Unternehmen auch außerhalb der NIS2-Regeln oft aufsitzen, ist, dass etwa ein Produkt wie ein Security Information and Event Management (SIEM) inhärent die Sicherheit erhöht. Ohne qualifiziertes Personal aggregiert ein SIEM-System lediglich Daten, die niemand auswertet.

ANZEIGE

Breitbandausbau: Smartes Update für die Industrie

Der deutsche Glasfaserausbau treibt die Industrie der Zukunft voran. Mit vernetzten Maschinen im Internet der Dinge laufen Prozesse effizient und automatisiert ab.‣ weiterlesen

Besser heute als morgen

Bis zum 17. Oktober 2024 müssen die EU-Staaten die NIS2-Vorgaben in nationales Recht umsetzen. Die Direktive definiert Mindeststandards. Diese darf ein Unternehmen auch übererfüllen. n Evangelist bei G DATA CyberDefense.

Das könnte Sie auch interessieren:

IT-Sicherheit für industrielle Automatisierungssysteme
Entwicklungsprozess zertifiziert

Der Mannheimer Automatisierungsspezialist Pepperl+Fuchs ist jetzt entsprechend IEC62443-4-1 zertifiziert. Im Rahmen einer Übergabefeierlichkeit erhielten die Experten für industrielle Sensorik und elektrischen Explosionsschutz auf der Fachmesse SPS in Nürnberg aus den Händen des prüfenden TÜV Süd die Zertifizierungsurkunde.‣ weiterlesen

Auf dem Prüfstand
ChatGPTs Potenzial bei der Malware-Erstellung

Trend Micro hat die von OpenAI implementierten Sicherheitsfilter gegen schädliche Codegenerierung zur Entwicklung von Malware mit ChatGPT untersucht. Getestet wurden die Fähigkeiten von ChatGPT 3.5, automatisch und ohne menschliche Interaktion gebrauchsfertige Malware zu generieren.‣ weiterlesen

Hürden aufbauen, Faulheit ausnutzen
Jahresrückblick auf Cyberkriminalität

Ein Statement von Chester Wisniewski, Director, Global Field CTO bei Sophos, zur Cyberkriminalität im Jahr 2023.‣ weiterlesen

Gesetz zu künstlicher Intelligenz
EU einigt sich auf AI Act

Die europäischen Gesetzgeber, das Europäische Parlament und der Rat der EU haben sich auf das Gesetz über die künstliche Intelligenz geeinigt. „Künstliche Intelligenz verändert schon heute unseren Alltag. Und das ist erst der Anfang. Klug und breit eingesetzt, verspricht KI enorme Vorteile für unsere Wirtschaft und Gesellschaft. Daher begrüße ich die heutige politische Einigung des Europäischen Parlaments und des Rates über den Rechtsakt zur Künstlichen Intelligenz sehr“, sagte Ursula von der Leyen, Präsidentin der Europäischen Kommission.‣ weiterlesen

Electronic Data Interchange aus der Cloud
EDI-Onboarding in wenigen Tagen

Automobilzulieferer können neue Partner kaum lange warten lassen, bis die EDI-Verbindung steht und das Geschäft losgehen kann. Daher hat der Magnetventil-Spezialist Rapa die eigene EDI-Systemlandschaft von Aimtec gründlich modernisieren lassen. Heute dauert das Onboarding neuer Partner nur ein paar Tage. ‣ weiterlesen

Schulung, virtuelle Fertigung, Echtzeit-Simulation
Ein zweites Leben für Simulationsmodelle

Die Virtuelle Inbetriebnahme (VIBN) hilft, Steuerungssoftware funktionstechnisch abzusichern. Etwaige Anwendungen beschränken sich jedoch oft auf den Zeitraum vor dem Produktionsstart. Wie die Modelle der VIBN weiterverwendet werden können, beleuchtet dieser Artikel. ‣ weiterlesen

Customer Experience modellieren
Mit Produktnutzungsdaten zu neuen Geschäftsmodellen

Die IT-Systeme sollen Transparenz und Synergien bei Produkt- und Kundenlebenszyklen schaffen, um eine zukunftsweisende Produktion als Werttreiber zu etablieren. Dazu tragen das Customer Relationship Management und Produktnutzungsdaten bei. ‣ weiterlesen

Bitkom zum EU AI Act
„Ein regulatorischer Klotz am Bein“

Nach langen Verhandlungen haben sich Europäisches Parlament, der Rat der Europäischen Union und die Europäische Kommission auf einen Kompromiss zum EU AI Act geeinigt. Dieser muss nun noch formell beschlossen werden. Nach Ansicht Branchenverbands Bitkom schießt der Kompromiss jedoch über das Ziel hinaus.‣ weiterlesen

Fertigungsindustrie und kritische Infrastrukturen betroffen
Fehlendes Budget führt zu Cybersicherheitsvorfällen

Ein nicht unerheblicher Teil der Cybersicherheitsvorfälle in Deutschland (18%) sind auf fehlende Cybersicherheitsinvestitionen zurückzuführen, wie eine aktuelle Kaspersky-Umfrage zeigt. Dennoch hält hierzulande die große Mehrheit (79%) das vorhandene Etat für ausreichend. Im Europa-Vergleich wird deutlich, dass vor allem die Fertigungsindustrie und kritische Infrastrukturen deswegen mit Sicherheitsvorfällen zu kämpfen haben.‣ weiterlesen

Verwaltung einer Distributed Multicloud
Cloud Services am Würfelmodell analysieren

Analytik-Dashboards, Datenplattformen, IoT-Hubs, Machine-Learning-Services und natürlich Systeme für PLM, ERP und MES – fast jede Software für Produzenten lässt sich heute aus der Cloud beziehen. Die so entstehenden Distributed Multiclouds lassen sich anschaulich in einem Würfel-Modell analysieren. ‣ weiterlesen

Azure OpenAI in der Praxis
Wie KI bei der Produktbeschreibung hilft

Generative KI bietet sich für Bereiche wie Marketing und Produktmanagement in der Konsumgüterindustrie gerade zu an, sind hier doch oft große Sortimente in unterschiedlichen Sprachen zu beschreiben. Wie das funktionieren kann, zeigen der Sportartikelhersteller O’Neal und der Datenspezialist Pmone – die menschliche Kontrolle bleibt dabei unerlässlich. ‣ weiterlesen