OT-Systeme und NIS2

Mit dem neuen Cybersicherheitsgesetz zur Umsetzung der NIS2-Richtlinie, das voraussichtlich am 1. November 2025 in Kraft treten wird, entsteht für viele Organisationen eine neue rechtliche Verpflichtung, ein angemessenes Schutzniveau nicht nur für IKT-Systeme, sondern auch für Betriebstechnologien (OT) wie SCADA, SPS, DCS, Sensoren, Robotersysteme und andere industrielle Steuerungen zu gewährleisten.

OT-Systeme unterscheiden sich von IKT-Systemen durch einen längeren Gerätelebenszyklus, eine geringe Toleranz gegenüber Ausfällen und Latenzzeiten, die Verwendung proprietärer Kommunikationsprotokolle, einen Schwerpunkt auf Kontinuität und physische Betriebssicherheit und es wurde nicht erwartet, dass sie mit dem Internet verbunden sind.

Da OT-Systeme in der Praxis jedoch zunehmend mit der IKT-Infrastruktur vernetzt sind, werden sie logischerweise anfällig für Cyber-Bedrohungen.

Nicht nur aufgrund der Verpflichtungen, die sich aus dem neuen Cybersicherheitsgesetz ergeben, ist es daher notwendig, geeignete Sicherheitsmaßnahmen im Bereich der OT-Systeme zu implementieren, wie z. B. (i) ein vollständiges Inventar der OT-Geräte, einschließlich der verwendeten Protokolle und Firmware-Versionen, (ii) die Netzwerksegmentierung, d. h. die Zonierung physischer oder virtueller OT vs. IKT, (iii) der Zugang Kontrolle, d.h. mindestens Multi-Faktor-Authentifizierung, (iv) kontinuierliche Überwachung und Erkennung von Anomalien und natürlich (v) Vorbereitung einer adäquaten Reaktion auf Cybervorfälle und -ereignisse.