Überspringen
Aufmacher

Phoenix Contact GmbH & Co. KG

NIS-2-Richtlinie der EU in Kraft getreten - Time to act

24.10.2023

Seit Anfang 2023 löst die NIS-2-Richtlinie die Vorgängerversion ab. Welche Auswirkungen haben die neuen Bestimmungen auf die betroffenen Organisationen? Welche Unternehmen fallen unter NIS 2? Und was gilt es zu beachten?

Um die NIS-2-Richtlinie einzuhalten, sollten Organisationen mehrere Schritte durchführen. Auf diese Weise ist dafür gesorgt, dass ihre Systeme angemessen vor Cyberangriffen geschützt sind. Zu den Schritten gehören die Verabschiedung einer formellen Richtlinie, die sich mit den Risiken von Cyberattacken befasst, sowie die Realisierung regelmäßiger Risikobewertungen, die Schulung der Mitarbeitenden in puncto Zugriffssicherheit, die Einführung von Sicherheitsmaßnahmen – zum Beispiel Firewalls und Verschlüsselungen – und die wiederkehrende Überprüfung der Sicherheit ihrer Systeme. Darüber hinaus sollten Unternehmen den Einsatz einer sicheren Automatisierungsplattform – etwa auf Basis der PLCnext-Steuerungen – in Betracht ziehen, die gemäß der internationalen Norm IEC 62443 zertifiziert ist. Solche Maßnahmen tragen dazu bei, dass die Netzwerke der Unternehmen die NIS-2-Richtlinie der EU erfüllen sowie adäquat vor Cyberangriffen geschützt sind. 

Schnelle Umsetzung in nationales Recht

Bei NIS 2 (Netz- und Informationssicherheit) handelt es sich um eine EU-Richtlinie, die sicherstellen soll, dass Betreiber öffentlicher oder privater Einrichtungen über passende Sicherheitsinstrumente verfügen, um ihre Systeme gegen Cyberattacken abzusichern. NIS 2 fungiert als Nachfolger der 2016 in Kraft getretenen NIS-Richtlinie. Diese definiert eine stärkere Harmonisierung der Maßnahmen zur Cybersicherheit in den EU-Staaten, sieht eine zentrale EU-Aufsicht vor und weitet ihre Vorschriften auf mittelgroße Unternehmen mit mehr als 50 Mitarbeitenden und über zehn Millionen Euro Umsatz aus. Die NIS-2-Richtlinie, die am 16. Januar 2023 in Kraft trat, definiert, dass die EU-Staaten sie bis zum 18. Oktober 2024 in nationales Recht umsetzen müssen. Sie gilt für wesentliche (essential) und wichtige (important) Einrichtungen in der EU. 

Phoenix-contact-Bild1

NIS 2 verpflichtet Organisationen, geeignete technische und organisatorische Aktivitäten zu ergreifen, damit sie den Risiken von Cyberangriffen begegnen können. Unter den Begriff „essential Unternehmen“ fallen Organisationen, die in kritischen Infrastrukturen tätig sind, beispielsweise den Bereichen Strom-/Gaserzeugung, -speicherung und -übertragung, Transport auf dem Wasser sowie der Straße und Schiene, Trinkwasser- und Abwasseranlagen sowie der digitalen Infrastruktur. Wichtige (important) Einrichtungen werden aus einer Liste von sieben Sektoren auf der Grundlage ihrer Kritikalität für ihren Geschäftsbereich und die Art der Dienstleistung ausgewählt. Als Beispiel seien die Herstellung und der Vertrieb von Lebensmitteln und Chemikalien sowie die Produktion von elektrischen Geräten, Maschinen und Fahrzeugen genannt.   

Verschiedene Maßnahmen zu Eingrenzung der Bedrohungen

Die EU-Mitgliedsstaaten haben die Verpflichtung, der EU bis zum 17. April 2025 eine eigene Liste mit den Namen wesentlicher Unternehmen vorzulegen, die in einem zweijährigen Turnus überprüft wird. Die hier aufgeführten Unternehmen müssen die Anforderungen des Kapitels IV der NIS-2-Richtlinie erfüllen, etwa die in Artikel 21 festgeschriebenen „Maßnahmen für das Management von Cybersicherheitsrisiken“ oder die in Artikel 23 definierten „Meldepflichten“. Die Maßnahmen zum Management von Cybersicherheitsrisiken beschreiben die angemessenen technischen, betrieblichen und organisatorischen Rahmenbedingungen zur Beherrschung von Risiken hinsichtlich der Sicherheit von Netzwerk- und Informationssystemen. Ihr Ziel ist die Verhinderung oder Minimierung der Auswirkungen von Sicherheitsvorfällen.

Alle Bedrohungen, welche die Netz- und Informationssysteme sowie deren physische Umgebung gefährden, lassen sich durch die nachfolgenden Aktivitäten eingrenzen:

  • Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
  • Behandlung von Zwischenfällen
  • Weiterführung der Geschäftstätigkeit - beispielsweise durch ein Backup-Management oder die Wiederherstellung nach einem Notfall – sowie Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsrelevanter Aspekte in den Beziehungen zwischen jeder Einheit und ihren direkten Lieferanten oder Dienstleistern
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen inklusive des Umgangs mit und der Offenlegung von Schwachstellen
  • Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
  • grundlegende Praktiken der Cyberhygiene und Cybersicherheitsschulungen
  • Richtlinien und Verfahren in Bezug auf den Einsatz von Kryptografie und Verschlüsselung, soweit erforderlich
  • Sicherheitssystem für Mitarbeitende, Zugangskontroll-Richtlinien und ein Asset Managementsystem
  • Nutzung von Multifaktor- oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-/Video-/Textkommunikation sowie eines internen Notfall-Kommunikationssystems.

Hohe Geldbuße bei Nichteinhaltung von Meldepflichten und Anforderungen

In der Meldepflicht ist festgelegt, wann und wie die Organisationen bedeutende Sicherheitsvorfälle an ein nationales Computer Security Incident Response Team (CSIRT) melden müssen. Spätestens nach 24 Stunden ist eine Frühwarnung vorgeschrieben, nach 72 Stunden sind weitere Informationen über den Schweregrad sowie die Auswirkungen und Indikatoren für eine Kompromittierung vorzulegen. Innerhalb eines Monats nach einem Vorfall muss die Organisation einen Abschlussbericht mit einer detaillierten Beschreibung des Vorfalls, seines Schweregrads, seiner Auswirkungen, der Art der Bedrohung und der Abhilfemaßnahmen einreichen. In dem Bewusstsein, dass diese Anforderungen eine Herausforderung darstellen, definiert die EU entsprechende Aufsichts- oder Durchsetzungsmaßnahmen durch die nationalen Behörden (Artikel 32/33), wobei die Geldbußen je nach Art des Unternehmens zwischen sieben Millionen Euro oder maximal 1,4 Prozent des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr und zehn Millionen Euro oder maximal zwei Prozent des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr betragen (Artikel 34). Für die Umsetzung und Überwachung der Cyber-Security-Maßnahmen ist die oberste Führungsebene der Unternehmen verantwortlich (Artikel 20).

Zur Einhaltung der strengen Maßnahmen erweist es sich als wichtig, europäische und internationale Normen sowie technische Spezifikationen als Grundlage für die Instrumente zum Management von Cybersicherheitsrisiken in sämtlichen EU-Ländern zu verwenden (Artikel 25). Diese Normen bestimmen sichere Produkte und Grundsätze für die Gestaltung von Systemen im Bereich der Cybersicherheit. Eine solche Norm ist zum Beispiel die IEC 62443 als international führende Normenreihe für Industrial Security in der Automatisierung.

Zertifizierte Automatisierungsplattform für umfassende Sicherheit

Phoenix-contact-Bild3

Bei PLCnext Control von Phoenix Contact handelt es sich um eine offene Automatisierungsplattform, die gemäß IEC 62443-4-1 ML3 und IEC 62443-4-2 zertifiziert ist und einen Funktionsumfang der Sicherheitsstufe 2 beinhaltet. Unternehmen, die PLCnext Control einsetzen, profitieren von umfassenden Sicherheitsfunktionen, die einen sicheren Betrieb von Maschinen und Anlagen ermöglichen. Das Sicherheitskonzept von PLCnext Control unterstützt Unternehmen sowohl beim Schutz als auch bei der Reaktion auf Vorfälle. Zudem bietet Phoenix Contact eine 360-Grad-Sicherheitsstrategie, um seinen Kunden nicht nur sichere Produkte zu liefern, sondern ebenfalls Systemdesign und Konstruktionsberatung zur Verfügung zu stellen, die durch alle relevanten IEC 62443-Zertifizierungen belegt sind.

Dieser Beitrag gibt einen ersten Überblick über die NIS-2-Richtlinie. Detaillierte Informationen finden sich in der Richtlinie selbst und, sofern verfügbar, in den nationalen Gesetzen der EU-Länder.

360-Grad-Security über alle Prozesse

Phoenix-contact-Bild4

Mit zunehmender Vernetzung und Digitalisierung von Anlagen und Produktionen erhöhen sich auch die Anforderungen an ganzheitliche Sicherheitskonzepte. Menschen, Maschinen und Daten müssen bestmöglich geschützt werden. Die 360-Grad-Strategie von Phoenix Contact beinhaltet sowohl technische ebenso wie organisatorische Maßnahmen, um Anlagen von allen Seiten abzusichern. Dazu bietet Phoenix Contact sichere Dienstleistungen - wie Beratung und Schulungen - an, entwickelt sichere Lösungen mit Zonenkonzepten und Datenflusskontrolle und verankert Security im gesamten Lebenszyklus der Produkte - von der Entwicklung bis zu regelmäßigen Updates. Funktional wird die 360-Grad-Strategie durch die gemäß IEC 62443-4-1 ML3 und IEC 62443-4-2 SL2 zertifizierte Automatisierungsplattform PLCnext Control abgerundet.   

Zum Ausstellerprofil

Quelle: Dipl.-Ing. Boris Waldeck, Product and Solution Security Expert, Phoenix Contact Electronics GmbH, Bad Pyrmont

Die vorangegangen Inhalte werden von unseren Partnern unterstützt.