Tato stránka poskytuje pouze obecné informace a nepředstavuje právní poradenství. Ohledně klasifikace a povinností shody platných pro vaši organizaci se poraďte s kvalifikovaným právním poradcem.

Soulad s NIS2 pro průmyslové OT: analýza mezer IEC 62443 a nápravná opatření

NIS2 ukládá povinnosti kybernetické bezpečnosti organizacím s provozní technologií. PLC, systémy SCADA a průmyslové sítě jsou výslovně v rozsahu. Pomáháme pochopit, co je požadováno, a technicky to realizujeme.

Nebo volejte přímo: +31 299 705 078 · Žádná prodejní řeč

Přístup certifikovaný IEC 62443Auditní zpráva do 12 týdnůTechnická i dokumentační nápravaZkušenosti v potravinářském, námořním a procesním průmyslu
Sektory

Váš sektor a NIS2

Každý průmyslový sektor má vlastní OT prostředí, starší systémy a rizikový profil. Působíme v následujících sektorech:

Specializace

Hloubkové ponory podle domény

Soulad NIS2 pro OT zahrnuje více technických domén. Každá má vlastní standardy, rizika a cestu implementace.

Směrnice

Co je NIS2?

NIS2 (směrnice EU 2022/2555) je nástupce původní směrnice NIS z roku 2016. Vstoupila v platnost 16. ledna 2023. Členské státy ji musely transponovat do vnitrostátního práva do 17. října 2024.

Směrnice výrazně rozšiřuje rozsah svého předchůdce: více sektorů, nižší prahové hodnoty a přísnější požadavky na řízení rizik, bezpečnost dodavatelského řetězce a hlášení incidentů.

Článek 21 výslovně požaduje, aby pokryté subjekty zabezpečily "sítě a informační systémy, včetně výrobní technologie". Vaše OT pracoviště je tedy v rozsahu, nejen kancelářská síť.

Klíčová data
Dec 2022
NIS2 zveřejněna v Úředním věstníku EU
16 jan 2023
Vstup v platnost
17 okt 2024
Lhůta pro transpozici: vnitrostátní zákony v platnosti
2026+
Očekávány první cykly vymáhání
Rozsah

Na koho se NIS2 vztahuje?

Základní subjekty (příloha I)
  • ·Energie (elektřina, ropa, plyn, dálkové teplo)
  • ·Doprava (letecká, železniční, vodní, silniční)
  • ·Bankovnictví a infrastruktura finančních trhů
  • ·Zdravotní péče
  • ·Pitná voda a odpadní vody
  • ·Digitální infrastruktura (DNS, IXP, cloud)
  • ·Správa ICT služeb (B2B)
  • ·Veřejná správa
  • ·Vesmír
Důležité subjekty (příloha II)
  • ·Poštovní a kurýrní služby
  • ·Odpadové hospodářství
  • ·Chemická výroba a distribuce
  • ·Výroba, zpracování a distribuce potravin
  • ·Výroba (zdravotnické prostředky, elektronika, stroje, vozidla)
  • ·Digitální poskytovatelé (online tržiště, vyhledávání, sociální média)
  • ·Výzkumné organizace
Prahová hodnota: Obecně se vztahuje na organizace s ≥50 zaměstnanci nebo >10 mil. € obratu nebo poskytovatele kritických služeb bez ohledu na velikost. Klasifikaci by měl potvrdit váš právní poradce.
Kontext OT

Proč OT není totéž jako IT

Dlouhé životní cykly

Zařízení OT funguje 20–30 let. Záplatování není vždy možné. Aktualizace firmwaru mohou zrušit záruky a prostoje výroby nejsou IT-style servisní okno.

Požadavky na reálný čas

PLC pracují na deterministických skenovacích cyklech 1–10 ms. Bezpečnostní opatření přidávající latenci nebo nepředvídatelnost mohou přímo narušit řízení procesu.

Starší protokoly

Modbus, Profibus, OPC-DA: navrženy pro spolehlivost, nikoli bezpečnost. Žádná autentizace, žádné šifrování. Postaveny s předpokladem fyzické izolace.

Air gap již neexistuje

Vzdálená diagnostika, konektivita MES/ERP, cloudoví historici: každá integrace je potenciálním vstupním bodem. Většina OT sítí již v praxi není izolována.

Fyzické důsledky

Kompromitovaný PLC může způsobit poškození zařízení, ztráty výroby, ekologické incidenty nebo osobní zranění. Dosah není jen data: je to celý závod.

Článek 21 výslovně pokrývá OT

NIS2 vyžaduje ochranu "výrobní technologie", nejen kancelářského IT. Regulátoři očekávají řízení rizik specifické pro OT, nikoli kopírování IT bezpečnostních politik.

Náš přístup

IEC 62443 jako technický rámec

IEC 62443 je mezinárodní standard pro průmyslovou kybernetickou bezpečnost. Dobře se shoduje s požadavky čl. 21 NIS2 a je rámcem, který GCG používá ke strukturování práce v oblasti bezpečnosti OT.

01

Segmentace sítě

Zóny a kanály v souladu s IEC 62443-3-3 a Purdue Reference Model. Segmentace L2–L3.5 s firewally a DMZ mezi IT a OT. Laterální pohyb omezen.

02

Zpevnění PLC a SCADA

Aktualizace firmwaru kde je to možné, správa uživatelů na základě rolí, odstranění nepoužívaných služeb, zakázání starších protokolů kde jsou nahraditelné, a seznamy řízení přístupu SCADA.

03

Zabezpečený vzdálený přístup

Průmyslová VPN s MFA, NAC a architekturami jump serverů. Tosibox, Ewon a Siemens SINEMA RC pro přístup na úrovni stroje. Auditní protokolování každé relace.

04

Bezpečnost OPC UA

Správa certifikátů, šifrované kanály a přístup na základě rolí v serverech OPC UA. Migrace z OPC-DA kde je technicky proveditelná bez narušení výkonu v reálném čase.

05

Audit trail a monitorování

Protokolování změn inženýrských systémů, událostí přístupu HMI a historie alarmů. Předávání syslog do SIEM kde je to vhodné. NIS2 vyžaduje detekci incidentů. Pasivní monitorování OT může pomoci.

06

Bezpečnost dodavatelského řetězce

Čl. 21 odst. 2 písm. d) NIS2 vyžaduje řízení rizik od dodavatelů a poskytovatelů služeb. Přezkoumáváme ujednání o vzdáleném přístupu OEM a přístupové body údržby třetích stran.

Co dodáváme

Od vymezení rozsahu po nápravu

1
Stanovení rozsahu
Jste v rozsahu? Který režim, základní nebo důležitý? Která místa a systémy jsou pokryta?
2
Analýza mezer
Aktuální stav vs. požadavky čl. 21 NIS2, namapované na bezpečnostní úrovně IEC 62443 1 a 2.
3
Technická realizace
Segmentace, zpevnění, vzdálený přístup, bezpečnost OPC UA, realizováno OT inženýry, nikoli generalistickými IT konzultanty.
4
Dokumentace a reporting
Registr rizik, bezpečnostní politika, síťové diagramy a důkazní balíček, který očekává regulátor nebo auditor.
5
Pravidelný přezkum
Soulad s NIS2 je průběžnou povinností, nikoli jednorázovým projektem. Roční nebo půlroční přezkumy vás udržují aktuální.

Nejčastěji kladené otázky

Připraveni zahájit hodnocení NIS2?

Analýza mezer začíná technickým přijímacím pohovorem. Žádné závazky. Upřímně vám řekneme, jaké jsou mezery.