NIS2 für die Fertigungsindustrie
Industrielle Hersteller fallen als wichtige oder wesentliche Einrichtungen unter NIS2. Legacy Win98-IPCs, NUM-Steuerungen und nicht patchbare SPSen sind das Kernproblem. Kompensierende Maßnahmen oder Refit sind erforderlich.
Fällt Ihre Fabrik unter NIS2?
Die Größe Ihres Unternehmens und die Art der Produkte bestimmen Ihre NIS2-Klassifizierung. Die meisten Industrieproduzenten fallen als "wichtige Einrichtungen" unter Anhang II.
Verarbeitendes Gewerbe, Anhang II (wichtige Einrichtungen)
Die meisten Industrieproduzenten fallen unter Anhang II, wenn sie ≥50 Mitarbeiter oder >10 Mio. € Umsatz haben. Die Aufsicht ist reaktiv, aber die technischen Pflichten (Artikel 21) sind identisch.
Kritisches verarbeitendes Gewerbe, Anhang I (wesentliche Einrichtungen)
Hersteller kritischer Produkte (Medizingeräte, verteidigungsbezogen) oder Anbieter wesentlicher Dienste können als wesentliche Einrichtungen mit proaktiver Aufsicht eingestuft werden.
OT-Systeme, die unter NIS2 fallen
Die spezifischen NIS2-Herausforderungen in der Fertigung
Legacy Win98-IPCs und NUM-Steuerungen
Viele Materialverarbeitungsfabriken laufen auf Industrie-PCs mit Windows 98 oder frühen XP-Versionen. Diese Systeme erhalten keine Patches und sind direkt mit Produktionsnetzwerken verbunden: ein NIS2-Risiko.
OEM-Fernzugriff ohne Kontrolle
Maschinenhersteller verbinden sich direkt über Modem oder RDP für Wartung. Jede unkontrollierte Verbindung ist ein Angriffsweg gemäß NIS2 Artikel 21(2)(d).
Refit-Notwendigkeit für NIS2-Compliance
Kompensierende Maßnahmen können die Risiken legacy Steuerungen handhabbar machen. Aber für vollständig nicht patchbare Maschinen ist ein Refit die einzige nachhaltige Lösung.
Drei Schritte zur NIS2-Konformität
OT-Asset-Inventarisierung
Vollständige Inventarisierung aller SPSen, IPCs, Steuerungen und Netzwerkverbindungen. Pro System: OS-Version, Firmware-Version, Patch-Status und Kommunikationsprotokoll.
Segmentierung und kompensierende Maßnahmen
Legacy-Maschinen in eigene Netzwerk-VLANs segmentieren. Passives OT-Monitoring (kein aktives Scannen, das kann Legacy-Steuerungen stören) zum Erkennen abnormalen Verhaltens.
Refit-Planung für nicht patchbare Systeme
Für Win98-IPCs und andere vollständig nicht patchbare Steuerungen: Migrationsroute zu moderner Hardware. GCG kombiniert NIS2-Compliance und PLC-Migration in einem Projekt.
Die internationale Norm für industrielle Cybersicherheit. GCG wendet IEC 62443 als technischen Rahmen für NIS2-Compliance in der Fertigung an.
Siemens S5, Allen-Bradley PLC-5, NUM: Migration zu modernen Steuerungen. Einschließlich NIS2-Compliance als Teil des Migrationsprojekts.
Starten Sie Ihre NIS2-Bewertung für die Fertigungsindustrie
Eine Lückenanalyse beginnt mit einer technischen Aufnahme spezifisch für Ihre Produktionsumgebung, Ihr Legacy-Umfeld und Ihre Refit-Pläne.