Diese Seite bietet ausschließlich allgemeine Informationen und stellt keine Rechtsberatung dar. Wenden Sie sich an qualifizierte Rechtsberater für die Klassifizierung und Compliance-Verpflichtungen, die auf Ihre Organisation zutreffen.
NIS2-Compliance für industrielle OT: IEC 62443-Lückenanalyse und Maßnahmen
NIS2 legt Cybersicherheitspflichten für Organisationen mit operativer Technologie fest. SPSen, SCADA-Systeme und industrielle Netzwerke fallen explizit darunter. Wir helfen Ihnen zu verstehen, was erforderlich ist, und setzen es technisch um.
Oder direkt anrufen: +31 299 705 078 · Kein Verkaufsgespräch
Ihr Sektor und NIS2
Jeder Industriesektor hat seine eigene OT-Landschaft, Legacy-Systeme und sein eigenes Risikoprofil. Wir sind in folgenden Sektoren tätig:
Vertiefung nach Bereich
NIS2-Compliance für OT umfasst mehrere technische Bereiche. Jeder hat seine eigenen Standards, Risiken und Implementierungswege.
Der internationale Rahmen zur Sicherung industrieller Automatisierungs- und Leitsysteme. Sicherheitsstufen, Zonen, Kanäle.
IACS Unified Requirements E26 und E27 wenden NIS2-konforme Cybersicherheit auf Schiffssysteme und Offshore-Anlagen an.
Kritische Infrastruktur unter Anhang II. Chargensteuerung, Dosiersysteme, HACCP-integrierte SCADA im Geltungsbereich.
Diskrete und Prozessproduktion unter Anhang II. SPS-Härtung, MES/ERP-Segmentierung, Fernwartungszugang.
Was ist NIS2?
NIS2 (EU-Richtlinie 2022/2555) ist der Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Sie trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen.
Die Richtlinie erweitert den Anwendungsbereich ihres Vorgängers erheblich: mehr Sektoren, niedrigere Schwellenwerte und strengere Anforderungen an Risikomanagement, Lieferkettensicherheit und Vorfallsmeldung.
Artikel 21 verpflichtet erfasste Einrichtungen ausdrücklich, "Netz- und Informationssysteme, einschließlich Produktionstechnologie" zu sichern. Ihr OT-Bereich ist also im Anwendungsbereich, nicht nur das Büronetzwerk.
Für wen gilt NIS2?
- ·Energie (Strom, Öl, Gas, Fernwärme)
- ·Transport (Luft, Schiene, Wasser, Straße)
- ·Bankwesen und Finanzmarktinfrastruktur
- ·Gesundheitsversorgung
- ·Trinkwasser und Abwasser
- ·Digitale Infrastruktur (DNS, IXPs, Cloud)
- ·IKT-Dienstverwaltung (B2B)
- ·Öffentliche Verwaltung
- ·Raumfahrt
- ·Post- und Kurierdienste
- ·Abfallwirtschaft
- ·Chemische Produktion und Vertrieb
- ·Lebensmittelproduktion, -verarbeitung und -vertrieb
- ·Produktion (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge)
- ·Digitale Anbieter (Online-Marktplätze, Suche, soziale Medien)
- ·Forschungsorganisationen
Warum OT anders ist als IT
Lange Lebenszyklen
OT-Geräte laufen 20 bis 30 Jahre. Patchen ist nicht immer möglich. Firmware-Updates können Garantien ungültig machen, und Produktionsausfallzeiten sind kein IT-Wartungsfenster.
Echtzeitanforderungen
SPSen arbeiten auf deterministischen Scanzyklen von 1–10 ms. Sicherheitskontrollen, die Latenz oder Unvorhersehbarkeit hinzufügen, können die Prozesssteuerung direkt stören.
Legacy-Protokolle
Modbus, Profibus, OPC-DA: für Zuverlässigkeit konzipiert, nicht für Sicherheit. Keine Authentifizierung, keine Verschlüsselung. Gebaut unter der Annahme physischer Isolation.
Die Air Gap existiert nicht mehr
Ferndiagnose, MES/ERP-Anbindung, Cloud-Historiker: jede Integration ist ein potenzieller Einstiegspunkt. Die meisten OT-Netzwerke sind in der Praxis nicht mehr isoliert.
Physische Folgen
Eine kompromittierte SPS kann Geräteschäden, Produktionsverluste, Umweltvorfälle oder Personenschäden verursachen. Der Explosionsradius ist nicht nur Daten: es ist die Anlage selbst.
Artikel 21 deckt OT explizit ab
NIS2 erfordert den Schutz von "Produktionstechnologie", nicht nur Büro-IT. Regulatoren erwarten OT-spezifisches Risikomanagement, kein Copy-Paste von IT-Sicherheitsrichtlinien.
IEC 62443 als technischer Rahmen
IEC 62443 ist der internationale Standard für industrielle Cybersicherheit. Er passt gut zu den NIS2-Artikel-21-Anforderungen und ist das Rahmenwerk, das GCG zur Strukturierung von OT-Sicherheitsarbeiten verwendet.
Netzwerksegmentierung
Zonen und Kanäle gemäß IEC 62443-3-3 und dem Purdue-Referenzmodell. L2–L3.5-Segmentierung mit Firewalls und einer DMZ zwischen IT und OT. Laterale Bewegung eingedämmt.
SPS- und SCADA-Härtung
Firmware-Updates wo möglich, rollenbasiertes Benutzermanagement, Entfernung ungenutzter Dienste, Deaktivierung von Legacy-Protokollen wo ersetzbar, und SCADA-Zugriffskontrolllisten.
Sicherer Fernzugriff
Industrielles VPN mit MFA, NAC und Jump-Server-Architekturen. Tosibox, Ewon und Siemens SINEMA RC für Zugang auf Maschinenebene. Audit-Protokollierung bei jeder Sitzung.
OPC-UA-Sicherheit
Zertifikatsverwaltung, verschlüsselte Kanäle und rollenbasierter Zugang in OPC-UA-Servern. Migration von OPC-DA wo technisch machbar ohne Störung der Echtzeitleistung.
Audit-Trails und Überwachung
Protokollierung von Engineering-Änderungen, HMI-Zugriffsereignissen und Alarmhistorie. Syslog-Weiterleitung an SIEM wo zutreffend. NIS2 erfordert Vorfallserkennung. Passive OT-Überwachung kann dabei helfen.
Lieferkettensicherheit
NIS2 Artikel 21 Abs. 2 lit. d erfordert das Management von Risiken durch Lieferanten und Dienstleister. Wir überprüfen OEM-Fernzugriffsregelungen und Wartungszugänge durch Dritte.
Von der Scoping bis zur Behebung
Häufig gestellte Fragen
Bereit, Ihre NIS2-Bewertung zu starten?
Eine Lückenanalyse beginnt mit einer technischen Aufnahme. Keine Verpflichtungen. Wir sagen Ihnen ehrlich, was die Lücken sind.