Tato stránka poskytuje pouze obecné informace a nepředstavuje právní poradenství. Ohledně klasifikace a povinností shody platných pro vaši organizaci se poraďte s kvalifikovaným právním poradcem.
Soulad s NIS2 pro průmyslové OT: analýza mezer IEC 62443 a nápravná opatření
NIS2 ukládá povinnosti kybernetické bezpečnosti organizacím s provozní technologií. PLC, systémy SCADA a průmyslové sítě jsou výslovně v rozsahu. Pomáháme pochopit, co je požadováno, a technicky to realizujeme.
Nebo volejte přímo: +31 299 705 078 · Žádná prodejní řeč
Váš sektor a NIS2
Každý průmyslový sektor má vlastní OT prostředí, starší systémy a rizikový profil. Působíme v následujících sektorech:
Hloubkové ponory podle domény
Soulad NIS2 pro OT zahrnuje více technických domén. Každá má vlastní standardy, rizika a cestu implementace.
Mezinárodní rámec pro zabezpečení průmyslových automatizačních a řídicích systémů. Úrovně zabezpečení, zóny, kanály.
IACS Unified Requirements E26 a E27 aplikují kybernetickou bezpečnost v souladu s NIS2 na lodní systémy a offshore instalace.
Kritická infrastruktura pod přílohou II. Dávkové řízení, dávkovací systémy, HACCP integrovaná SCADA v rozsahu.
Diskrétní a procesní výroba pod přílohou II. Zpevnění PLC, segmentace MES/ERP, vzdálený přístup pro údržbu.
Co je NIS2?
NIS2 (směrnice EU 2022/2555) je nástupce původní směrnice NIS z roku 2016. Vstoupila v platnost 16. ledna 2023. Členské státy ji musely transponovat do vnitrostátního práva do 17. října 2024.
Směrnice výrazně rozšiřuje rozsah svého předchůdce: více sektorů, nižší prahové hodnoty a přísnější požadavky na řízení rizik, bezpečnost dodavatelského řetězce a hlášení incidentů.
Článek 21 výslovně požaduje, aby pokryté subjekty zabezpečily "sítě a informační systémy, včetně výrobní technologie". Vaše OT pracoviště je tedy v rozsahu, nejen kancelářská síť.
Na koho se NIS2 vztahuje?
- ·Energie (elektřina, ropa, plyn, dálkové teplo)
- ·Doprava (letecká, železniční, vodní, silniční)
- ·Bankovnictví a infrastruktura finančních trhů
- ·Zdravotní péče
- ·Pitná voda a odpadní vody
- ·Digitální infrastruktura (DNS, IXP, cloud)
- ·Správa ICT služeb (B2B)
- ·Veřejná správa
- ·Vesmír
- ·Poštovní a kurýrní služby
- ·Odpadové hospodářství
- ·Chemická výroba a distribuce
- ·Výroba, zpracování a distribuce potravin
- ·Výroba (zdravotnické prostředky, elektronika, stroje, vozidla)
- ·Digitální poskytovatelé (online tržiště, vyhledávání, sociální média)
- ·Výzkumné organizace
Proč OT není totéž jako IT
Dlouhé životní cykly
Zařízení OT funguje 20–30 let. Záplatování není vždy možné. Aktualizace firmwaru mohou zrušit záruky a prostoje výroby nejsou IT-style servisní okno.
Požadavky na reálný čas
PLC pracují na deterministických skenovacích cyklech 1–10 ms. Bezpečnostní opatření přidávající latenci nebo nepředvídatelnost mohou přímo narušit řízení procesu.
Starší protokoly
Modbus, Profibus, OPC-DA: navrženy pro spolehlivost, nikoli bezpečnost. Žádná autentizace, žádné šifrování. Postaveny s předpokladem fyzické izolace.
Air gap již neexistuje
Vzdálená diagnostika, konektivita MES/ERP, cloudoví historici: každá integrace je potenciálním vstupním bodem. Většina OT sítí již v praxi není izolována.
Fyzické důsledky
Kompromitovaný PLC může způsobit poškození zařízení, ztráty výroby, ekologické incidenty nebo osobní zranění. Dosah není jen data: je to celý závod.
Článek 21 výslovně pokrývá OT
NIS2 vyžaduje ochranu "výrobní technologie", nejen kancelářského IT. Regulátoři očekávají řízení rizik specifické pro OT, nikoli kopírování IT bezpečnostních politik.
IEC 62443 jako technický rámec
IEC 62443 je mezinárodní standard pro průmyslovou kybernetickou bezpečnost. Dobře se shoduje s požadavky čl. 21 NIS2 a je rámcem, který GCG používá ke strukturování práce v oblasti bezpečnosti OT.
Segmentace sítě
Zóny a kanály v souladu s IEC 62443-3-3 a Purdue Reference Model. Segmentace L2–L3.5 s firewally a DMZ mezi IT a OT. Laterální pohyb omezen.
Zpevnění PLC a SCADA
Aktualizace firmwaru kde je to možné, správa uživatelů na základě rolí, odstranění nepoužívaných služeb, zakázání starších protokolů kde jsou nahraditelné, a seznamy řízení přístupu SCADA.
Zabezpečený vzdálený přístup
Průmyslová VPN s MFA, NAC a architekturami jump serverů. Tosibox, Ewon a Siemens SINEMA RC pro přístup na úrovni stroje. Auditní protokolování každé relace.
Bezpečnost OPC UA
Správa certifikátů, šifrované kanály a přístup na základě rolí v serverech OPC UA. Migrace z OPC-DA kde je technicky proveditelná bez narušení výkonu v reálném čase.
Audit trail a monitorování
Protokolování změn inženýrských systémů, událostí přístupu HMI a historie alarmů. Předávání syslog do SIEM kde je to vhodné. NIS2 vyžaduje detekci incidentů. Pasivní monitorování OT může pomoci.
Bezpečnost dodavatelského řetězce
Čl. 21 odst. 2 písm. d) NIS2 vyžaduje řízení rizik od dodavatelů a poskytovatelů služeb. Přezkoumáváme ujednání o vzdáleném přístupu OEM a přístupové body údržby třetích stran.
Od vymezení rozsahu po nápravu
Nejčastěji kladené otázky
Připraveni zahájit hodnocení NIS2?
Analýza mezer začíná technickým přijímacím pohovorem. Žádné závazky. Upřímně vám řekneme, jaké jsou mezery.