OT-Netzwerke NIS2-Konformität: 12 Schritte zur Umsetzung der Richtlinie

Anbieter zum Thema

Nomios Germany GmbH

IGZ Ingenieurgesellschaft für logistische Informationssysteme mbH

Ab Oktober 2024 müssen tausende deutsche Industrieunternehmen die Vorgaben der NIS2-Richtlinie erfüllen. Viele Verantwortliche denken dabei vor allem an die IT-Sicherheit. Die Operational Technology ist oft noch komplexer und wird daher häufig stiefmütterlich behandelt. Ein Fehler, denn die OT kann mit Blick auf die Cybersicherheit ebenfalls zahlreiche Schwachstellen aufweisen. Welche Schritte sind daher notwendig, um für OT-Netzwerke die geforderte NIS2-Konformität zu erreichen?

Mehr als 50 Mitarbeiter und über zehn Millionen Euro Jahresumsatz: Unternehmen mehrerer Sektoren, welche diese Voraussetzungen erfüllen, müssen schon bald NIS2-Compliance erreichen. Angesichts der hohen Anforderungen und des kurzen Zeitrahmens stellt das vielerorts eine Herausforderung dar. Besonders hart trifft es Industrieunternehmen. Denn anders als beispielsweise Finanzdienstleister verfügen sie nicht nur über IT-Netzwerke, sondern auch über OT-Systeme. Letztere sind mittlerweile weitreichend vernetzt und somit denselben Cyberbedrohungen ausgesetzt wie die IT.

Im Gegensatz zu IT-Umgebungen sind OT-Netzwerke mit Blick auf die Cybersicherheit aber oft viele Jahre im Rückstand. Sie wurden häufig nicht von Beginn an abgesichert, da zum Zeitpunkt ihrer Implementierung noch kein Bedarf bestand. Problematisch ist zunächst die Architektur klassischer industrieller Netzwerke: In vielen Fällen arbeiten Server, Workstations und Terminals im selben Netzwerk. Aufgrund der fehlenden Segmentierung genügt dann eine Schwachstelle, um auf das gesamte Netzwerk zugreifen zu können.

Erschwerend kommt hinzu, dass heute remote auf zahlreiche Maschinen, Anlagen und Roboter zugegriffen werden kann. Diese Brücken zur Außenwelt sind häufig jedoch nur unzureichend gesichert. Auch organisatorisch besteht in vielen Unternehmen noch Handlungsbedarf. So ist häufig nicht klar definiert, wer die Verantwortung für die OT-Sicherheit trägt und wie die Zusammenarbeit mit der IT-Sicherheit aussehen soll.

Schritt für Schritt zur NIS2-Konformität

Unternehmen, die in den NIS2-Geltungsbereich fallen, müssen Sicherheitsvorfälle in ihren IT- und OT-Systemen künftig erkennen und melden. Zudem sind sie verpflichtet, bestimmte Mindestanforderungen zum Schutz gegen Cyberattacken zu erfüllen. Dazu zählen beispielsweise die Absicherung von Netzwerkzugriffen, die Verschlüsselung des Datenverkehrs und regelmäßige Sicherheitsüberprüfungen. Für die Betriebstechnologie lassen sich daraus mehrere notwendige Schritte ableiten. Diese können in die folgenden drei Phasen eingeteilt werden:

Phase 1: Risikobewertung und Richtliniendefinition

• Schritt 1: Dieser besteht darin, den Ist-Zustand zu analysieren. Klarheit schaffen hierbei Sicherheitsaudits, die sich auf die OT-Umgebung konzentrieren. Auch der physische Zugang zum Unternehmen und seinen Assets sollte hierbei überprüft werden.

• Schritt 2: Erstellung einer Richtlinie für die OT-Cybersicherheit. Darin sollte ein OT-Sicherheitsverantwortlicher benannt sowie dessen Berichtspflichten und Entscheidungsbefugnisse definiert werden.

Von der Definition zur Umsetzung

Phase 2: Umsetzung der Richtlinie

In dieser Phase geht es darum, geeignete technische und organisatorische Maßnahmen zum Schutz der OT einzuführen. Wichtig sind dabei folgende Schritte:

• Schritt 3: Implementierung einer neuen Architektur mit Segmentierung von IT- und OT-Netzen.

• Schritt 4: Implementierung von Tools zur Anlagen- und Bedrohungserkennung für OT und industrielle Kontrollsysteme (ICS), beispielsweise Intrusion Detection Systems (IDS).

• Schritt 5: Sicherstellung der OT-Konfigurationshygiene durch klassische Komponenten wie Backup-Systeme und Passwortmanager, Garantien für Sicherheitshygiene bei Zulieferern einholen.

• Schritt 6: Einholen der Sicherheitsgarantien von Maschinenherstellern, um sichere Fernzugriffe zu gewährleisten.

• Schritt 7: Regulierung und Überwachung des OT-Zugangs sowie Durchsetzung restriktiver Authentifizierungs- und Autorisierungsprotokolle.

• Schritt 8: Absicherung von OT-Endpunkten (zum Beispiel Maschinen, Sensoren und Steuerungen) unter anderem mit Endpoint Protection and Response, Intrusion Detection Systems und Antivirensoftware. Außerdem Sicherstellung regelmäßige Updates der Maßnahmen.

• Schritt 9: Absicherung gegen Risiken in der OT-Lieferkette, die von Software, OEMs und Drittanbieter ausgehen, beispielsweise durch Risikobewertung, vertragliche Regelungen mit Lieferanten und regelmäßige Überprüfungen.

NIS2-Konformität engmaschig überwachen

Phase 3: Überwachung der Sicherheitsmaßnahmen

In dieser letzten Phase sollten Unternehmen engmaschig überprüfen, ob ihre OT-Sicherheitsmaßnahmen wirken. Wichtig sind hierbei weitere drei Schritte:

• Schritt 10: Implementierung eines Security Operations Centers (SOC), welches das Netzwerk überwacht und Bedrohungen umgehend erkennt.

  Jetzt Newsletter abonnieren

  Verpassen Sie nicht unsere besten Inhalte

  Geschäftliche E-Mail

  Bitte geben Sie eine gültige E-Mailadresse ein.

  Abonnieren

  Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

  Aufklappen für Details zu Ihrer Einwilligung

  Stand: 16.12.2025

  Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

  Einwilligung in die Verwendung von Daten zu Werbezwecken

  Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

  Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

  Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

  Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

  Recht auf Widerruf

  Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

• Schritt 11: Erstellung und kontinuierliche Aktualisierung eines OT-spezifischen Plans zur Reaktion auf Sicherheitsvorfälle.

• Schritt 12: Abgerundet werden die Maßnahmen durch den zwölften und letzten Schritt, nämlich die Durchführung regelmäßiger Sicherheitstests und Audits für die OT-Umgebung. Dann beginnt der Zyklus erneut, denn Cybersicherheit ist stets ein fortlaufender Prozess.

NIS2-Richtlinie ist zugleich Chance und Herausforderung

Da nur noch wenig Zeit bis zum Inkrafttreten der NIS2-Richtlinie bleibt, sollten Unternehmen so bald wie möglich mit der Umsetzung der hier genannten zwölf Maßnahmen beginnen. Beim ersten Durchlauf wird hierdurch vielerorts ein gewisser Aufwand entstehen. Dieser wird allerdings nicht nur mit NIS2-Konformität, sondern auch mit einer teils erheblichen Verbesserung des Sicherheitslevels belohnt. Dienstleister können bei der Umsetzung helfen und die internen Ressourcen im Prozess erheblich entlasten.