Ta strona dostarcza wyłącznie informacji ogólnych i nie stanowi porady prawnej. Skonsultuj się z wykwalifikowanym prawnikiem w sprawie klasyfikacji i obowiązków compliance mających zastosowanie do Twojej organizacji.

Zgodność z NIS2 dla przemysłowego OT: analiza luk IEC 62443 i remediacja

NIS2 nakłada obowiązki cyberbezpieczeństwa na organizacje posiadające technologię operacyjną. PLC, systemy SCADA i sieci przemysłowe są wyraźnie objęte zakresem. Pomagamy zrozumieć, czego wymaga prawo, i wdrażamy to technicznie.

Lub zadzwoń bezpośrednio: +31 299 705 078 · Bez sprzedaży

Podejście certyfikowane IEC 62443Raport audytu w ciągu 12 tygodniRemediacja techniczna i dokumentacyjnaDoświadczenie w przemyśle spożywczym, morskim i procesowym
Sektory

Wasz sektor i NIS2

Każdy sektor przemysłowy ma własny krajobraz OT, starsze systemy i profil ryzyka. Działamy w następujących sektorach:

Specjalizacje

Pogłębienie według domeny

Zgodność NIS2 dla OT obejmuje wiele domen technicznych. Każda ma własne standardy, ryzyka i ścieżkę wdrożenia.

Dyrektywa

Co to jest NIS2?

NIS2 (dyrektywa UE 2022/2555) to następca oryginalnej dyrektywy NIS z 2016 roku. Weszła w życie 16 stycznia 2023 roku. Państwa członkowskie były zobowiązane do jej transponowania do prawa krajowego do 17 października 2024 roku.

Dyrektywa znacznie poszerza zakres swojego poprzednika: więcej sektorów, niższe progi i surowsze wymagania dotyczące zarządzania ryzykiem, bezpieczeństwa łańcucha dostaw i zgłaszania incydentów.

Artykuł 21 wyraźnie wymaga od objętych podmiotów zabezpieczenia "sieci i systemów informatycznych, w tym technologii produkcji". Oznacza to, że wasza hala OT jest w zakresie, a nie tylko sieć biurowa.

Ważne daty
Dec 2022
NIS2 opublikowana w Dzienniku Urzędowym UE
16 jan 2023
Wejście w życie
17 okt 2024
Termin transpozycji: prawo krajowe obowiązuje
2026+
Pierwsze cykle egzekwowania przewidywane
Zakres

Kogo obowiązuje NIS2?

Podmioty kluczowe (załącznik I)
  • ·Energia (elektryczność, ropa, gaz, ciepło miejskie)
  • ·Transport (lotniczy, kolejowy, wodny, drogowy)
  • ·Bankowość i infrastruktura rynku finansowego
  • ·Ochrona zdrowia
  • ·Woda pitna i ścieki
  • ·Infrastruktura cyfrowa (DNS, IXP, chmura)
  • ·Zarządzanie usługami ICT (B2B)
  • ·Administracja publiczna
  • ·Przestrzeń kosmiczna
Podmioty ważne (załącznik II)
  • ·Usługi pocztowe i kurierskie
  • ·Gospodarka odpadami
  • ·Produkcja i dystrybucja chemiczna
  • ·Produkcja, przetwarzanie i dystrybucja żywności
  • ·Przemysł wytwórczy (wyroby medyczne, elektronika, maszyny, pojazdy)
  • ·Dostawcy cyfrowi (rynki internetowe, wyszukiwarki, media społecznościowe)
  • ·Organizacje badawcze
Próg wielkości: Dotyczy zazwyczaj organizacji z ≥50 pracownikami lub >10 mln € obrotów lub dostawców usług krytycznych niezależnie od wielkości. Klasyfikację powinien potwierdzić wasz doradca prawny.
Kontekst OT

Dlaczego OT różni się od IT

Długi cykl życia

Sprzęt OT działa przez 20–30 lat. Patchowanie nie zawsze jest możliwe. Aktualizacje firmware mogą unieważniać gwarancje, a przestoje produkcyjne to nie okno serwisowe IT.

Ograniczenia czasu rzeczywistego

PLC pracują na deterministycznych cyklach skanowania 1–10 ms. Środki bezpieczeństwa dodające opóźnienia lub nieprzewidywalność mogą bezpośrednio zakłócić sterowanie procesem.

Starsze protokoły

Modbus, Profibus, OPC-DA: zaprojektowane pod kątem niezawodności, nie bezpieczeństwa. Brak uwierzytelniania, brak szyfrowania. Zbudowane przy założeniu fizycznej izolacji.

Szczelina powietrzna już nie istnieje

Zdalna diagnostyka, połączenia MES/ERP, historycy chmurowi: każda integracja jest potencjalnym punktem wejścia. Większość sieci OT nie jest już w praktyce izolowana.

Fizyczne konsekwencje

Skompromitowany PLC może spowodować uszkodzenie sprzętu, straty produkcyjne, incydenty środowiskowe lub obrażenia ciała. Promień rażenia to nie tylko dane: to sama instalacja.

Artykuł 21 wyraźnie obejmuje OT

NIS2 wymaga ochrony "technologii produkcji", nie tylko biurowego IT. Regulatorzy oczekują zarządzania ryzykiem specyficznego dla OT, a nie kopiowania polityk bezpieczeństwa IT.

Nasze podejście

IEC 62443 jako ramy techniczne

IEC 62443 to międzynarodowy standard przemysłowego cyberbezpieczeństwa. Dobrze wpisuje się w wymagania art. 21 NIS2 i jest ramami, które GCG wykorzystuje do strukturyzowania prac w zakresie bezpieczeństwa OT.

01

Segmentacja sieci

Strefy i kanały zgodnie z IEC 62443-3-3 i Purdue Reference Model. Segmentacja L2–L3.5 z zaporami sieciowymi i DMZ między IT a OT. Ruch boczny ograniczony.

02

Hardening PLC i SCADA

Aktualizacje firmware tam, gdzie to możliwe, zarządzanie użytkownikami oparte na rolach, usunięcie nieużywanych usług, wyłączenie starszych protokołów tam, gdzie są zastępowalne, i listy kontroli dostępu SCADA.

03

Bezpieczny zdalny dostęp

Przemysłowy VPN z MFA, NAC i architekturami serwerów pośredniczących. Tosibox, Ewon i Siemens SINEMA RC dla dostępu na poziomie maszyny. Rejestrowanie audytu każdej sesji.

04

Bezpieczeństwo OPC UA

Zarządzanie certyfikatami, szyfrowane kanały i dostęp oparty na rolach w serwerach OPC UA. Migracja z OPC-DA tam, gdzie jest to technicznie wykonalne bez zakłócania wydajności w czasie rzeczywistym.

05

Ścieżki audytu i monitorowanie

Rejestrowanie zmian inżynieryjnych, zdarzeń dostępu HMI i historii alarmów. Przekazywanie syslog do SIEM tam, gdzie dotyczy. NIS2 wymaga wykrywania incydentów. Pasywne monitorowanie OT może w tym pomóc.

06

Bezpieczeństwo łańcucha dostaw

Art. 21 ust. 2 lit. d NIS2 wymaga zarządzania ryzykiem ze strony dostawców i usługodawców. Przeglądamy umowy zdalnego dostępu OEM i punkty dostępu serwisowego stron trzecich.

Co dostarczamy

Od określenia zakresu do remediacji

1
Określenie zakresu
Czy jesteście w zakresie? Który reżim, kluczowy czy ważny? Które lokalizacje i systemy są objęte?
2
Analiza luk
Stan obecny vs. wymagania art. 21 NIS2, zmapowane względem poziomów bezpieczeństwa IEC 62443 1 i 2.
3
Wdrożenie techniczne
Segmentacja, hardening, zdalny dostęp, bezpieczeństwo OPC UA, realizowane przez inżynierów OT, nie generalistycznych konsultantów IT.
4
Dokumentacja i raportowanie
Rejestr ryzyka, polityka bezpieczeństwa, diagramy sieci i pakiet dowodowy, którego oczekuje regulator lub audytor.
5
Okresowy przegląd
Zgodność z NIS2 to ciągłe zobowiązanie, a nie jednorazowy projekt. Roczne lub półroczne przeglądy utrzymują was na bieżąco.

Często zadawane pytania

Gotowi do rozpoczęcia oceny NIS2?

Analiza luk rozpoczyna się od technicznego wywiadu. Bez zobowiązań. Powiemy wam uczciwie, jakie są luki.