Mit NIS2 rückt die Cybersicherheit industrieller Anlagen stärker in den Fokus. Doch wie lassen sich die Anforderungen in der OT praxisnah umsetzen? Dr. Diego Steger, Principal Consultant für Digital Manufacturing und Industrial Security bei der adesso SE, zeigt, wie Unternehmen mit IEC 62443 eine belastbare Roadmap für mehr OT-Sicherheit entwickeln.
Die in Artikel 21 der NIS2-Richtlinie sowie § 30 BSIG beschriebenen Anforderungen an das Cybersecurity-Risikomanagement stellen Unternehmen vor eine Herausforderung. Sie müssen Vorgaben wie Risikoanalysen, Incident Response, Backup & Recovery, Zugriffskontrollen oder Lieferkettenmanagement in der IT und in der Operational Technology (OT) umsetzen. Während NIS2 in der klassischen IT bereits intensiv diskutiert wird, ist die Übertragung auf Produktionsanlagen, industrielle Netzwerke und Steuerungssysteme vielerorts noch nicht ausreichend bedacht. Die eigentliche Herausforderung besteht in der strukturierten Umsetzung der Anforderungen.
Transparenz schaffen: Wo steht die OT heute?
Der erste Schritt auf dem Weg zu einer belastbaren OT-Sicherheitsstrategie ist die Ermittlung des aktuellen Sicherheitsniveaus. Ein bewährter Ansatz hierfür ist ein OT-Security-Assessment auf Basis der Normenreihe IEC 62443. Aus Betreibersicht sind insbesondere die IEC 62443-2-1 mit Anforderungen an Organisation, Prozesse und Verantwortlichkeiten sowie die IEC 62443-3-3 mit technischen Sicherheitsanforderungen für industrielle Automatisierungs- und Steuerungssysteme zentral.
Im Rahmen eines Assessments werden Dokumentationen analysiert, Workshops und Interviews durchgeführt sowie Produktionsumgebungen betrachtet. Das Ergebnis ist eine strukturierte Bewertung des aktuellen Reifegrads, die Transparenz über Stärken, Schwachstellen und Risiken schafft. Neben einer Liste von Abweichungen liefern die identifizierten Erkenntnisse konkreten Handlungsfelder und bilden so die Grundlage für die weitere Umsetzung.
Quelle: adesso SEIm Bereich Governance & Organisation stehen Sicherheitsrichtlinien und Governance-Strukturen, Schulungs- und Awareness-Maßnahmen, das Management von Lieferanten und Dienstleistern sowie die kontinuierliche Verbesserung der Sicherheitsorganisation im Fokus.
Die Domäne Transparenz & Grundlagen umfasst Asset- und Konfigurationsmanagement, Risikobewertungen, Zonen- und Kommunikationsmodelle, physische Sicherheit, Zeitsynchronisation sowie Maßnahmen zur Datenvertraulichkeit und Verschlüsselung.
Unter Schutz & Prävention werden technische Sicherheitsmaßnahmen wie Identity & Access Management, Netzwerksegmentierung, Network Access Control, Systemhärtung, Malware-Schutz sowie Patch- und Schwachstellenmanagement betrachtet.
Die Domäne Betrieb & Wiederherstellung adressiert Backup & Recovery, sichere Fernwartung, Monitoring & Logging, SIEM-Lösungen, Change- und Konfigurationsmanagement sowie die sichere Fernüberwachung industrieller Anlagen.
Ergänzt werden diese Themen durch Reaktion & Resilienz mit Incident Response, Forensik, Business Continuity Management, Krisenmanagement und Verfahren für ein sicheres Außerbetriebnehmen von Systemen.
Praxisbeispiel: Asset-Management als Grundlage vieler NIS2-Anforderungen
Unternehmen kennen ihre OT-Assets häufig nur unvollständig. So sind SPSen, HMIs, Industrie-PCs, Netzwerkkomponenten oder deren Firmware-Stände oftmals nicht zentral dokumentiert. Erst durch ein OT-Asset-Management entsteht die notwendige Transparenz über Systeme, Kommunikationsbeziehungen und potenzielle Schwachstellen. Gleichzeitig bildet ein vollständiges Asset-Inventar die Grundlage für zahlreiche NIS2-Anforderungen wie Risikoanalysen, Schwachstellenmanagement, Incident Response, Zugriffskontrollen oder Backup- und Wiederanlaufkonzepte.
Von Handlungsfeldern zur Roadmap
Die identifizierten Maßnahmen müssen priorisiert werden. Nicht jede Schwachstelle erfordert eine sofortige Umsetzung. Vielmehr sollten Risiken, Kritikalität, Aufwand und Nutzen bewertet werden, um eine realistische und wirtschaftlich sinnvolle Umset-zungsreihenfolge festzulegen.
So entsteht aus dem Assessment eine Roadmap mit kurz-, mittel- und langfristigen Maßnahmen. In der Praxis beginnt dies häufig mit dem Aufbau organisatorischer Strukturen und der Schaffung von Transparenz über Assets und Kommunikationsbeziehungen. Darauf folgen Architekturmaßnahmen, Sicherheitsprozesse sowie die Einführung geeigneter Technologien und Security-Services.
Eine solche Roadmap verhindert Aktionismus und ermöglicht es Unternehmen, ihre OT-Sicherheit gezielt und nachvollziehbar weiterzuentwickeln. Gleichzeitig hilft sie dabei, Investitionen auf die tatsächlich kritischen Risiken auszurichten und Sicherheitsmaßnahmen dort umzusetzen, wo sie den größten Beitrag zur Resilienz der Produktion leisten.
Assessment: Startpunkt statt Zielgerade
NIS2 erfordert keinen Katalog isolierter Sicherheitsmaßnahmen, sondern einen risikobasierten und kontinuierlichen Sicherheitsprozess. Ein strukturiertes Assessment nach IEC 62443 schafft die notwendige Transparenz, identifiziert konkrete Handlungsfelder und bildet die Grundlage für eine priorisierte Umsetzungsroadmap. Erst durch die konsequente Verankerung dieser Maßnahmen im laufenden Betrieb wird OT-Security zu einem wirksamen Bestandteil einer resilienten und zukunftsfähigen Produktion.
Quelle: adesso SEDr. Diego Steger ist Principal Consultant für Digital Manufacturing und Industrial Security bei der Adesso SE. Er unterstützt Unternehmen beim Aufbau moderner MOM-Architekturen, der IT/OT-Integration und der Strategieentwicklung für cloudnative Produktionssysteme.
Weitere Informationen zu Adesso SE finden Sie hier.
