NIS 2: Was bedeutet die neue Direktive für OT Betreiber und Hersteller?

Es ist kein Geheimnis, dass sich die Cyber-Bedrohungslage in Europa dramatisch verändert hat. In den letzten zehn Jahren haben wir erlebt, wie Ransomware Produktionslinien lahmgelegt hat, staatlich geförderte Gruppen nationale Stromnetze ins Visier genommen haben und mehr als einmal spät in der Nacht Systeme gepatcht werden mussten, die eigentlich gar nicht für eine Verbindung mit dem Internet vorgesehen waren. Einige Beispiele sind:

• Volt Typhoon-Kampagne (laufend seit 2023–2024) – waterfall-security.com > Top 10 der OT-Angriffe (2024)
  Die USA und verbündete Behörden haben wiederholt Warnungen zu Volt Typhoon herausgegeben, einer mit China verbundenen Gruppe, die OT/ICS-Infrastrukturen (einschließlich Energie- und Wasserversorgungsunternehmen) mit heimlichen „Living-off-the-Land”-Taktiken angreift. Ihre Aktivitäten wurden in mehreren CISA-Warnungen erwähnt.
• Ransomware-Angriff auf Colonial Pipeline (Mai 2021) – time.com
  Ein Ransomware-Angriff der Gruppe DarkSide zwang Colonial Pipeline zur Einstellung des Betriebs, was zu Benzinknappheit und Preisanstiegen führte. Der Vorfall löste sogar eine nationale Notfallreaktion aus.
• Hack der Wasseraufbereitungsanlage in Oldsmar, Florida (Februar 2021) – wired.com
  Fast eine Minute lang erhöhte ein Angreifer aus der Ferne den Natriumhydroxidgehalt (Lauge) in der Wasserversorgung von 100 ppm auf über 11.000 ppm. Dies wurde erst gestoppt, als ein Bediener bemerkte, dass sich sein Cursor bewegte, und die Änderung verhinderte.
• Cyberangriffe auf das ukrainische Stromnetz (Dezember 2015 und Dezember 2016) – wikipedia.org
  In zwei koordinierten Angriffen drangen mit Russland verbundene Hacker (bekannt als „Sandworm“) mithilfe der Malware BlackEnergy und Industroyer in ukrainische Stromversorgungsunternehmen ein, um Sicherungen auszulösen und Systemdaten zu löschen – was zu stundenlangen Ausfällen führte.

In diesem Zusammenhang ist die NIS-2-Richtlinie der EU nicht nur eine Aktualisierung der Politik, sondern ein Weckruf.

Eine kurze Auffrischung: Was ist NIS 2?

NIS 2 (kurz für „Netz- und Informationssicherheitsrichtlinie 2“) trat im Januar 2023 in Kraft, wobei die Mitgliedstaaten verpflichtet sind, sie bis zum 17. Oktober 2024 umzusetzen. Ihr Ziel ist klar: die Cybersicherheitsstandards für alle wesentlichen Dienste in der EU anzuheben.

Wenn Sie mit NIS 1 gearbeitet haben, werden Sie sich daran erinnern, dass der Schwerpunkt auf digitalen Diensten und Betreibern wesentlicher Dienste (OES) lag. Aber es gab Einschränkungen. OT wurde nicht direkt erwähnt. Die Branchenlisten variierten je nach Land. Die Durchsetzung durch die Aufsichtsbehörden war oft zahnlos.

NIS 2 zielt darauf ab, diese Lücken zu schließen. Mehr dazu, sowie praktisch Umsetzungsdetails in unserem NIS 2 Trainingsprogramm.

Verwandte Vorschriften auf einen Blick

Bei der Vorbereitung auf NIS 2 ist es hilfreich zu verstehen, wie es sich in die allgemeine Cybersicherheitslandschaft einfügt:

• IEC 62443: Weit verbreiteter Standard zur Sicherung industrieller Automatisierungs- und Steuerungssysteme. Er überschneidet sich mit vielen technischen Anforderungen von NIS 2, insbesondere in OT-Umgebungen.
• ISO/IEC 27001: Ein anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). NIS 2 erwartet Governance, die durch ISO 27001 abgedeckt werden kann, wobei der Schwerpunkt eher auf der Systemebene als auf der OT-Sicherheit auf Produktebene liegt.
• Cyber Resilience Act (CRA): Eine separate, in Kürze in Kraft tretende EU-Verordnung, die sich auf die Sicherheit digitaler Hardware und Software auf Produktebene konzentriert. CRA und NIS 2 verfolgen zwar gemeinsame Ziele, CRA gilt jedoch in erster Linie für Hersteller, muss aber auch von Integratoren und Betreibern berücksichtigt werden, da nach dem 11.12.2027 nur noch Produkte implementiert werden dürfen, die CRA-Maßnahmen erfüllen.

Jede Verordnung/Norm spielt eine Rolle, aber NIS 2 ist die übergeordnete Richtlinie für die Cybersicherheit kritischer Infrastrukturen.

Umsetzung in Deutschland

Deutschland hat die Frist im Oktober 2024 verpasst. Das Umsetzungsgesetz – das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – wurde durch die Bundestagswahl verzögert und muss nun vom neuen Bundestag erneut verabschiedet werden. Aktuellen Prognosen zufolge wird die endgültige Verabschiedung in der zweiten Hälfte des Jahres 2025 erwartet, wobei die nationale Gesetzgebung dann wahrscheinlich in Kraft treten wird. (openkritis.de).

Bis zum Inkrafttreten des deutschen Gesetzes gilt die EU-Richtlinie selbst noch nicht direkt in Deutschland. Unternehmen sollten dies jedoch als Gelegenheit betrachten, sich proaktiv auf die Rechtsverbindlichkeit von NIS 2 in den kommenden Monaten vorzubereiten.

Was ist eigentlich neu?

Hier sind die wichtigsten Punkte:

• Größerer Anwendungsbereich: NIS 2 umfasst ausdrücklich mehr Sektoren, insbesondere Energie, Wasser, Verkehr, Fertigung und digitale Infrastruktur.
• Bessere Angleichung: Die Mitgliedstaaten sind nun verpflichtet, einheitliche Vorschriften einzuhalten (es liegt also nicht mehr im Ermessen jedes einzelnen Landes, die Vorschriften unterschiedlich auszulegen).
• Strengere Konsequenzen: Die Behörden können nun Audits durchführen, Geldbußen verhängen und sogar die Geschäftsleitung persönlich zur Verantwortung ziehen.
• Klarere Anforderungen: Unternehmen müssen nun technische und organisatorische Maßnahmen umsetzen, die weit über die bloße Erfüllung von Checklisten hinausgehen.

Was kommt als Nächstes – die drei Kernmaßnahmen

NIS 2 führt eine Vielzahl von Verpflichtungen ein, von denen einige jedoch grundlegender sind als andere – insbesondere für OT-intensive Sektoren. In den kommenden Artikeln werden wir die Kernmaßnahmen untersuchen, auf die sich jedes wesentliche oder wichtige Unternehmen konzentrieren sollte. Hier sind die drei wichtigsten grundlegenden Maßnahmen:

1. Risikomanagement und technische Maßnahmen
   Unternehmen müssen umfassende risikobasierte Kontrollen implementieren, die sowohl auf IT- als auch auf OT-Umgebungen zugeschnitten sind. Dazu gehören Patch-Management, Zugriffskontrolle, Verschlüsselung und Sicherheit in der Lieferkette.
2. Erkennung und Meldung von Vorfällen
   NIS 2 legt strenge Fristen für die Meldung von Verstößen fest – in der Regel innerhalb von 24 Stunden nach Bekanntwerden. Noch wichtiger ist jedoch, dass Unternehmen über Systeme und Prozesse verfügen müssen, um Vorfälle überhaupt erst zu erkennen.
3. Governance und Rechenschaftspflicht
   Cybersicherheit ist heute eine Aufgabe auf Vorstandsebene. Die Geschäftsleitung muss sicherstellen, dass Governance-Strukturen vorhanden sind und kann für schwerwiegende Versäumnisse haftbar gemacht werden. Dazu gehören regelmäßige Schulungen, Überwachung und Überprüfung der Richtlinien.

In den nächsten Artikeln werden wir diese Punkte einzeln aufschlüsseln – was sie in der Praxis bedeuten, wie sich OT darauf auswirkt und wo Unternehmen den erforderlichen Aufwand oft unterschätzen.

OT steht nicht mehr im Schatten

Wenn Sie im Bereich Operational Technology (OT) tätig sind, sei es in einer Wasseraufbereitungsanlage, einer Eisenbahnleitstelle oder einer Chemiefabrik, dann ist dies der Ort, an dem sich die Dinge zu entwickeln beginnen.

OT war früher luftisoliert. Abgeschottet. Sicher. Aber diese Zeiten sind vorbei.

Durch die digitale Transformation, den Fernzugriff und die Vernetzung der Lieferkette sind OT-Systeme nun direkt Cyber-Bedrohungen ausgesetzt. In einigen Fällen haben wir gesehen, dass 30 Jahre alte SPSen (speicherprogrammierbare Steuerungen) plötzlich über hastig eingerichtete Schnittstellen mit Cloud-Plattformen verbunden wurden. Das ist keine Resilienz – das ist Risiko.

NIS 2 erkennt diese Realität endlich an. Zum ersten Mal werden OT-Systeme vollständig in den Geltungsbereich aufgenommen. Das bedeutet:

• Ihre ICS/SCADA-Systeme müssen als Teil Ihrer gesamten Cybersicherheitsstrategie betrachtet werden.
• IT/OT-Grenzen schützen Sie rechtlich nicht mehr.
• Vorfälle in der OT-Umgebung können Meldepflichten und Strafen nach sich ziehen.

Wesentlich vs. wichtig – Sind Sie betroffen?

NIS 2 führt zwei rechtliche Kategorien ein:

• Wesentliche Einrichtungen – Dazu gehören Energieversorger, Wasserversorger, Eisenbahn- und Flugverkehrsbetreiber, Gesundheitsdienstleister und Finanzdienstleister.
• Wichtige Einrichtungen – Dazu gehört eine Vielzahl von Unternehmen wie Lebensmittelhersteller, Postdienste und digitale Dienstleister.

Wenn Sie sich nicht sicher sind, zu welcher Kategorie Sie gehören, gilt folgende Faustregel: Wenn Ihre OT-Systeme zu Störungen in der Gesellschaft oder Wirtschaft führen könnten, sind Sie wahrscheinlich betroffen

Und der Unterschied ist nicht nur semantischer Natur. Wesentliche Unternehmen unterliegen einer proaktiven Aufsicht, was bedeutet, dass die Behörden Sie jederzeit überprüfen können. Wichtige Unternehmen werden reaktiv beaufsichtigt, was jedoch nicht bedeutet, dass die Vorschriften weniger streng sind. Beide Kategorien unterliegen denselben grundlegenden Cybersicherheitsverpflichtungen.

Während NIS 2 im Allgemeinen für mittlere und große Unternehmen gilt, können auch kleinere Unternehmen (KMU) unter die Richtlinie fallen – insbesondere, wenn sie der einzige Anbieter einer Dienstleistung sind oder eine wichtige Rolle in einer Lieferkette spielen.

Die nationale Umsetzung in Deutschland wird sich voraussichtlich an den Kritikalitätskriterien des BSI orientieren, die nicht nur die Größe, sondern auch die gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigen (Lesen Sie hier mehr dazu).

Die Durchsetzung wird ernst

Das sind nicht nur Worte – die Konsequenzen sind klar.

Gemäß NIS 2 haben die Regulierungsbehörden die Befugnis,

• Nachweise für Ihre Risikobewertungen und -kontrollen zu verlangen.
• Vor-Ort-Inspektionen (auch in der OT-Umgebung) durchzuführen.
• Geldstrafen von bis zu 10 Millionen Euro oder 2 % Ihres weltweiten Umsatzes zu verhängen.
• In schweren Fällen von Fahrlässigkeit Unternehmensleiter zu disqualifizieren.

Dies markiert einen kulturellen Wandel: Cybersicherheit ist nicht mehr nur Aufgabe des CISO. Von Vorständen und Führungskräften wird erwartet, dass sie Cyberrisiken als Teil der Unternehmensführung verstehen und managen.

Abschließende Gedanken: Von der Compliance zur Kultur

Für viele Unternehmen, die in OT-intensiven Branchen tätig sind, bringt die NIS 2 notwendige (aber anspruchsvolle) Veränderungen mit sich. Sie formalisiert, was viele in der Branche bereits wissen: Cybersicherheit ist heute ein operatives Anliegen und nicht mehr nur eine IT-Angelegenheit.

Unabhängig davon, ob Sie sich gerade in der Anfangsphase der Identifizierung der betroffenen Systeme befinden oder bereits Ihre Richtlinien an die Richtlinie anpassen, ist dies eine wertvolle Gelegenheit, interne Prozesse zu stärken und langjährige Lücken zu schließen.

Die Umsetzung der Anforderungen der Richtlinie in konkrete, OT-bewusste Praktiken ist nicht immer einfach. In vielen Fällen ist es hilfreich, auf externes Fachwissen zurückzugreifen – nicht nur zur Einhaltung der Vorschriften, sondern auch, um sicherzustellen, dass die getroffenen Maßnahmen tatsächlich wirksam und verhältnismäßig sind.

Wenn Ihr Team einen klaren Ausgangspunkt oder eine Überprüfung Ihres aktuellen Ansatzes gebrauchen könnte, ist jetzt ein guter Zeitpunkt, um das Gespräch zu beginnen oder unser NIS 2 Trainingsprogramm zu buchen.