OT systémy a NIS2

Vzhledem k tomu, že od 1. listopadu 2025 pravděpodobně nabude účinnosti nový zákon o kybernetické bezpečnosti transponující směrnici NIS2, vzniká řadě organizací nová zákonná povinnost zajistit odpovídající úroveň ochrany nejen ICT systémů, ale také operačních technologií (OT), jako jsou SCADA, PLC, DCS, senzory, robotické systémy a další průmyslové řídicí prvky.

OT systémy se přitom od ICT systémů liší delším životním cyklem zařízení, nízkou tolerancí k výpadkům a latenci, využíváním proprietárních komunikačních protokolů, s důrazem na nepřetržitost a fyzickou bezpečnost provozu. U OT systémů se nepředpokládalo, že budou připojeny na internet.

Jelikož jsou ovšem OT systémy v praxi stále častěji propojeny s ICT infrastrukturou, stávají se logicky zranitelnými vůči kybernetickým hrozbám.

Nejen kvůli povinnostem vyplývajícím z nového zákona o kybernetické bezpečnosti je tedy nutné i v oblasti OT systémů provést příslušná bezpečností opatření jako jsou především (i) kompletní inventarizace OT zařízení, včetně využívaných protokolů a verzí firmware, (ii) segmentace sítí, tedy fyzická či virtuální zonace OT vs ICT, (iii) kontrola přístupu, tedy minimálně více faktorové ověřování, (iv) kontinuální monitoring a detekce anomálií a samozřejmě (v) příprava adekvátní reakce na kybernetické incidenty a události.