Diese Seite bietet ausschließlich allgemeine Informationen und stellt keine Rechtsberatung dar. Wenden Sie sich an qualifizierte Rechtsberater für die Klassifizierung und Compliance-Verpflichtungen, die auf Ihre Organisation zutreffen.

NIS2-Compliance für industrielle OT: IEC 62443-Lückenanalyse und Maßnahmen

NIS2 legt Cybersicherheitspflichten für Organisationen mit operativer Technologie fest. SPSen, SCADA-Systeme und industrielle Netzwerke fallen explizit darunter. Wir helfen Ihnen zu verstehen, was erforderlich ist, und setzen es technisch um.

Oder direkt anrufen: +31 299 705 078 · Kein Verkaufsgespräch

IEC 62443-zertifizierter AnsatzPrüfbericht innerhalb von 12 WochenTechnische und dokumentarische MaßnahmenErfahrung in Lebensmittel-, Marine- und Prozessindustrie
Sektoren

Ihr Sektor und NIS2

Jeder Industriesektor hat seine eigene OT-Landschaft, Legacy-Systeme und sein eigenes Risikoprofil. Wir sind in folgenden Sektoren tätig:

Spezialisierungen

Vertiefung nach Bereich

NIS2-Compliance für OT umfasst mehrere technische Bereiche. Jeder hat seine eigenen Standards, Risiken und Implementierungswege.

Die Richtlinie

Was ist NIS2?

NIS2 (EU-Richtlinie 2022/2555) ist der Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Sie trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

Die Richtlinie erweitert den Anwendungsbereich ihres Vorgängers erheblich: mehr Sektoren, niedrigere Schwellenwerte und strengere Anforderungen an Risikomanagement, Lieferkettensicherheit und Vorfallsmeldung.

Artikel 21 verpflichtet erfasste Einrichtungen ausdrücklich, "Netz- und Informationssysteme, einschließlich Produktionstechnologie" zu sichern. Ihr OT-Bereich ist also im Anwendungsbereich, nicht nur das Büronetzwerk.

Wichtige Termine
Dec 2022
NIS2 im EU-Amtsblatt veröffentlicht
16 jan 2023
Inkrafttreten
17 okt 2024
Umsetzungsfrist: nationales Recht in Kraft
2026+
Erste Durchsetzungszyklen erwartet
Anwendungsbereich

Für wen gilt NIS2?

Wesentliche Einrichtungen (Anhang I)
  • ·Energie (Strom, Öl, Gas, Fernwärme)
  • ·Transport (Luft, Schiene, Wasser, Straße)
  • ·Bankwesen und Finanzmarktinfrastruktur
  • ·Gesundheitsversorgung
  • ·Trinkwasser und Abwasser
  • ·Digitale Infrastruktur (DNS, IXPs, Cloud)
  • ·IKT-Dienstverwaltung (B2B)
  • ·Öffentliche Verwaltung
  • ·Raumfahrt
Wichtige Einrichtungen (Anhang II)
  • ·Post- und Kurierdienste
  • ·Abfallwirtschaft
  • ·Chemische Produktion und Vertrieb
  • ·Lebensmittelproduktion, -verarbeitung und -vertrieb
  • ·Produktion (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge)
  • ·Digitale Anbieter (Online-Marktplätze, Suche, soziale Medien)
  • ·Forschungsorganisationen
Schwellenwert: Gilt in der Regel für Organisationen mit ≥50 Mitarbeitern oder >10 Mio. € Umsatz oder Anbieter kritischer Dienste unabhängig von der Größe. Ihr Rechtsberater sollte Ihre Einstufung bestätigen.
OT-Kontext

Warum OT anders ist als IT

Lange Lebenszyklen

OT-Geräte laufen 20 bis 30 Jahre. Patchen ist nicht immer möglich. Firmware-Updates können Garantien ungültig machen, und Produktionsausfallzeiten sind kein IT-Wartungsfenster.

Echtzeitanforderungen

SPSen arbeiten auf deterministischen Scanzyklen von 1–10 ms. Sicherheitskontrollen, die Latenz oder Unvorhersehbarkeit hinzufügen, können die Prozesssteuerung direkt stören.

Legacy-Protokolle

Modbus, Profibus, OPC-DA: für Zuverlässigkeit konzipiert, nicht für Sicherheit. Keine Authentifizierung, keine Verschlüsselung. Gebaut unter der Annahme physischer Isolation.

Die Air Gap existiert nicht mehr

Ferndiagnose, MES/ERP-Anbindung, Cloud-Historiker: jede Integration ist ein potenzieller Einstiegspunkt. Die meisten OT-Netzwerke sind in der Praxis nicht mehr isoliert.

Physische Folgen

Eine kompromittierte SPS kann Geräteschäden, Produktionsverluste, Umweltvorfälle oder Personenschäden verursachen. Der Explosionsradius ist nicht nur Daten: es ist die Anlage selbst.

Artikel 21 deckt OT explizit ab

NIS2 erfordert den Schutz von "Produktionstechnologie", nicht nur Büro-IT. Regulatoren erwarten OT-spezifisches Risikomanagement, kein Copy-Paste von IT-Sicherheitsrichtlinien.

Unser Ansatz

IEC 62443 als technischer Rahmen

IEC 62443 ist der internationale Standard für industrielle Cybersicherheit. Er passt gut zu den NIS2-Artikel-21-Anforderungen und ist das Rahmenwerk, das GCG zur Strukturierung von OT-Sicherheitsarbeiten verwendet.

01

Netzwerksegmentierung

Zonen und Kanäle gemäß IEC 62443-3-3 und dem Purdue-Referenzmodell. L2–L3.5-Segmentierung mit Firewalls und einer DMZ zwischen IT und OT. Laterale Bewegung eingedämmt.

02

SPS- und SCADA-Härtung

Firmware-Updates wo möglich, rollenbasiertes Benutzermanagement, Entfernung ungenutzter Dienste, Deaktivierung von Legacy-Protokollen wo ersetzbar, und SCADA-Zugriffskontrolllisten.

03

Sicherer Fernzugriff

Industrielles VPN mit MFA, NAC und Jump-Server-Architekturen. Tosibox, Ewon und Siemens SINEMA RC für Zugang auf Maschinenebene. Audit-Protokollierung bei jeder Sitzung.

04

OPC-UA-Sicherheit

Zertifikatsverwaltung, verschlüsselte Kanäle und rollenbasierter Zugang in OPC-UA-Servern. Migration von OPC-DA wo technisch machbar ohne Störung der Echtzeitleistung.

05

Audit-Trails und Überwachung

Protokollierung von Engineering-Änderungen, HMI-Zugriffsereignissen und Alarmhistorie. Syslog-Weiterleitung an SIEM wo zutreffend. NIS2 erfordert Vorfallserkennung. Passive OT-Überwachung kann dabei helfen.

06

Lieferkettensicherheit

NIS2 Artikel 21 Abs. 2 lit. d erfordert das Management von Risiken durch Lieferanten und Dienstleister. Wir überprüfen OEM-Fernzugriffsregelungen und Wartungszugänge durch Dritte.

Leistungen

Von der Scoping bis zur Behebung

1
Scope-Bestimmung
Fallen Sie in den Anwendungsbereich? Welches Regime, wesentlich oder wichtig? Welche Standorte und Systeme sind betroffen?
2
Lückenanalyse
Ist-Zustand vs. NIS2-Artikel-21-Anforderungen, abgebildet auf IEC 62443 Sicherheitsstufen 1 und 2.
3
Technische Umsetzung
Segmentierung, Härtung, Fernzugriff, OPC-UA-Sicherheit, ausgeführt von OT-Ingenieuren, nicht von generalistischen IT-Beratern.
4
Dokumentation und Berichterstattung
Risikoregister, Sicherheitsrichtlinie, Netzwerkdiagramme und das Nachweispaket, das ein Regulierer oder Prüfer erwartet.
5
Regelmäßige Überprüfung
NIS2-Compliance ist eine kontinuierliche Verpflichtung, kein einmaliges Projekt. Jährliche oder halbjährliche Reviews halten Sie auf dem neuesten Stand.

Häufig gestellte Fragen

Bereit, Ihre NIS2-Bewertung zu starten?

Eine Lückenanalyse beginnt mit einer technischen Aufnahme. Keine Verpflichtungen. Wir sagen Ihnen ehrlich, was die Lücken sind.