Ta strona dostarcza wyłącznie informacji ogólnych i nie stanowi porady prawnej. Skonsultuj się z wykwalifikowanym prawnikiem w sprawie klasyfikacji i obowiązków compliance mających zastosowanie do Twojej organizacji.
Zgodność z NIS2 dla przemysłowego OT: analiza luk IEC 62443 i remediacja
NIS2 nakłada obowiązki cyberbezpieczeństwa na organizacje posiadające technologię operacyjną. PLC, systemy SCADA i sieci przemysłowe są wyraźnie objęte zakresem. Pomagamy zrozumieć, czego wymaga prawo, i wdrażamy to technicznie.
Lub zadzwoń bezpośrednio: +31 299 705 078 · Bez sprzedaży
Wasz sektor i NIS2
Każdy sektor przemysłowy ma własny krajobraz OT, starsze systemy i profil ryzyka. Działamy w następujących sektorach:
Pogłębienie według domeny
Zgodność NIS2 dla OT obejmuje wiele domen technicznych. Każda ma własne standardy, ryzyka i ścieżkę wdrożenia.
Międzynarodowe ramy zabezpieczania przemysłowych systemów automatyki i sterowania. Poziomy bezpieczeństwa, strefy, kanały.
IACS Unified Requirements E26 i E27 stosują cyberbezpieczeństwo zgodne z NIS2 do systemów okrętowych i instalacji offshore.
Infrastruktura krytyczna w ramach załącznika II. Sterowanie partiami, systemy dozowania, SCADA zintegrowane z HACCP w zakresie.
Produkcja dyskretna i procesowa w ramach załącznika II. Hardening na poziomie PLC, segmentacja MES/ERP, zdalny dostęp serwisowy.
Co to jest NIS2?
NIS2 (dyrektywa UE 2022/2555) to następca oryginalnej dyrektywy NIS z 2016 roku. Weszła w życie 16 stycznia 2023 roku. Państwa członkowskie były zobowiązane do jej transponowania do prawa krajowego do 17 października 2024 roku.
Dyrektywa znacznie poszerza zakres swojego poprzednika: więcej sektorów, niższe progi i surowsze wymagania dotyczące zarządzania ryzykiem, bezpieczeństwa łańcucha dostaw i zgłaszania incydentów.
Artykuł 21 wyraźnie wymaga od objętych podmiotów zabezpieczenia "sieci i systemów informatycznych, w tym technologii produkcji". Oznacza to, że wasza hala OT jest w zakresie, a nie tylko sieć biurowa.
Kogo obowiązuje NIS2?
- ·Energia (elektryczność, ropa, gaz, ciepło miejskie)
- ·Transport (lotniczy, kolejowy, wodny, drogowy)
- ·Bankowość i infrastruktura rynku finansowego
- ·Ochrona zdrowia
- ·Woda pitna i ścieki
- ·Infrastruktura cyfrowa (DNS, IXP, chmura)
- ·Zarządzanie usługami ICT (B2B)
- ·Administracja publiczna
- ·Przestrzeń kosmiczna
- ·Usługi pocztowe i kurierskie
- ·Gospodarka odpadami
- ·Produkcja i dystrybucja chemiczna
- ·Produkcja, przetwarzanie i dystrybucja żywności
- ·Przemysł wytwórczy (wyroby medyczne, elektronika, maszyny, pojazdy)
- ·Dostawcy cyfrowi (rynki internetowe, wyszukiwarki, media społecznościowe)
- ·Organizacje badawcze
Dlaczego OT różni się od IT
Długi cykl życia
Sprzęt OT działa przez 20–30 lat. Patchowanie nie zawsze jest możliwe. Aktualizacje firmware mogą unieważniać gwarancje, a przestoje produkcyjne to nie okno serwisowe IT.
Ograniczenia czasu rzeczywistego
PLC pracują na deterministycznych cyklach skanowania 1–10 ms. Środki bezpieczeństwa dodające opóźnienia lub nieprzewidywalność mogą bezpośrednio zakłócić sterowanie procesem.
Starsze protokoły
Modbus, Profibus, OPC-DA: zaprojektowane pod kątem niezawodności, nie bezpieczeństwa. Brak uwierzytelniania, brak szyfrowania. Zbudowane przy założeniu fizycznej izolacji.
Szczelina powietrzna już nie istnieje
Zdalna diagnostyka, połączenia MES/ERP, historycy chmurowi: każda integracja jest potencjalnym punktem wejścia. Większość sieci OT nie jest już w praktyce izolowana.
Fizyczne konsekwencje
Skompromitowany PLC może spowodować uszkodzenie sprzętu, straty produkcyjne, incydenty środowiskowe lub obrażenia ciała. Promień rażenia to nie tylko dane: to sama instalacja.
Artykuł 21 wyraźnie obejmuje OT
NIS2 wymaga ochrony "technologii produkcji", nie tylko biurowego IT. Regulatorzy oczekują zarządzania ryzykiem specyficznego dla OT, a nie kopiowania polityk bezpieczeństwa IT.
IEC 62443 jako ramy techniczne
IEC 62443 to międzynarodowy standard przemysłowego cyberbezpieczeństwa. Dobrze wpisuje się w wymagania art. 21 NIS2 i jest ramami, które GCG wykorzystuje do strukturyzowania prac w zakresie bezpieczeństwa OT.
Segmentacja sieci
Strefy i kanały zgodnie z IEC 62443-3-3 i Purdue Reference Model. Segmentacja L2–L3.5 z zaporami sieciowymi i DMZ między IT a OT. Ruch boczny ograniczony.
Hardening PLC i SCADA
Aktualizacje firmware tam, gdzie to możliwe, zarządzanie użytkownikami oparte na rolach, usunięcie nieużywanych usług, wyłączenie starszych protokołów tam, gdzie są zastępowalne, i listy kontroli dostępu SCADA.
Bezpieczny zdalny dostęp
Przemysłowy VPN z MFA, NAC i architekturami serwerów pośredniczących. Tosibox, Ewon i Siemens SINEMA RC dla dostępu na poziomie maszyny. Rejestrowanie audytu każdej sesji.
Bezpieczeństwo OPC UA
Zarządzanie certyfikatami, szyfrowane kanały i dostęp oparty na rolach w serwerach OPC UA. Migracja z OPC-DA tam, gdzie jest to technicznie wykonalne bez zakłócania wydajności w czasie rzeczywistym.
Ścieżki audytu i monitorowanie
Rejestrowanie zmian inżynieryjnych, zdarzeń dostępu HMI i historii alarmów. Przekazywanie syslog do SIEM tam, gdzie dotyczy. NIS2 wymaga wykrywania incydentów. Pasywne monitorowanie OT może w tym pomóc.
Bezpieczeństwo łańcucha dostaw
Art. 21 ust. 2 lit. d NIS2 wymaga zarządzania ryzykiem ze strony dostawców i usługodawców. Przeglądamy umowy zdalnego dostępu OEM i punkty dostępu serwisowego stron trzecich.
Od określenia zakresu do remediacji
Często zadawane pytania
Gotowi do rozpoczęcia oceny NIS2?
Analiza luk rozpoczyna się od technicznego wywiadu. Bez zobowiązań. Powiemy wam uczciwie, jakie są luki.