Startseite » Chemie » Automation (Chemie) »

Was bedeutet die EU-Richtlinie NIS2 für Chemieunternehmen?

Cybersicherheit wird immer wichtiger
Was bedeutet die EU-Richtlinie NIS2 für Chemieunternehmen?

23. Mai 2023
7 Minuten Lesezeit
Die EU macht Druck: Mit der NIS2-Richtlinie fallen deutlich mehr Unternehmen in den Bereich der kritischen Dienste, auch Unternehmen der chemischen Industrie. Gleichzeitig steigen die Anforderungen an die Cybersicherheit. Obwohl noch Zeit bis zur verpflichtenden Umsetzung bleibt, sollten sich die Verantwortlichen schon jetzt mit der Regelung befassen.


Inhaltsverzeichnis

Cyberattacken und Betriebsunterbrechungen gehören zu den größten Geschäftsrisiken weltweit. Angesichts der steigenden Zahl an Angriffen hat die Europäische Union die gesetzlichen Anforderungen an die Cybersicherheit verschärft und im Dezember 2022 die NIS2-Richtlinie verabschiedet. Dieses Regelwerk gilt für Unternehmen besonders kritischer Branchen und schreibt ihnen eine stringente Verteidigung gegen Cyberattacken vor. Das Management wird dabei explizit miteinbezogen. Bis Oktober 2024 müssen die Mitgliedstaaten die Regelung in nationales Recht überführt haben. Auch wenn den Unternehmen dann noch etwas Zeit bleibt, sollten sie schon jetzt die Umsetzung starten, denn die Vorschriften sind umfangreich. Die komplette NIS2-Richtlinie lesen Sie im Amtsblatt der EU.

Ganzheitliche Sicherheit gefordert

Die erste Fassung der NIS-Richtlinie wurde 2016 auf den Weg gebracht. Damals war der Fokus stark auf IT-Sicherheit gerichtet. Zwischenzeitlich haben sich die Rahmenbedingungen für die Cybersicherheit allerdings stark verändert. Mit der Digitalisierung wurden viele industrielle Systeme vernetzt, die bislang keine Verbindung zum Internet hatten und dafür auch gar nicht vorgesehen waren. 

Durch die Vernetzung werden OT-Systeme geöffnet und kommunizieren untereinander oder mit der Cloud. Jede Schnittstelle und jede internetfähige Komponente wird damit zum potenziellen Einfallstor für Angreifer aus dem Netz. Die EU hat dieser Entwicklung Rechnung getragen und mit der NIS2 Vorschriften geschaffen, die das gesamte Unternehmen miteinbeziehen. 

Technische Maßnahmen für mehr Cybersicherheit

Mit einer Reihe von technischen Maßnahmen soll die Grundlage für mehr Cybersicherheit hergestellt werden. So fordert die NIS2 mindestens die Verschlüsselung von Daten und Informationen, ein Schwachstellenmanagement und eine konsequente Zugriffskontrolle. Allerdings genügen diese Tools nicht, um ein angemessenes Sicherheitsniveau zu erreichen, denn auch die Angriffsmethoden werden zusehends raffinierter. Über den Chatbot ChatGPT beispielsweise lassen sich Texte verfassen, die sich kaum noch von denen unterscheiden, die ein Mensch geschrieben hat. Das macht es noch schwerer, Phishing-Mails zu erkennen, die ihre Leser zum Öffnen eines mit Schadsoftware infizierten Anhangs verleiten wollen. 

10 Maßnahmen, die OT-Systeme vor Cyberattacken schützen

Datenverkehr permanent überwachen

Deshalb ist es wichtig, den Datenverkehr permanent zu überwachen, um den Normalzustand zu bestimmen. Sollte ein Angreifer die Firewall überwunden haben, so kann ein Intrusion Detection System (IDS) mögliche Unregelmäßigkeiten erkennen, beispielsweise einen höheren Datentransfer. Ein Intrusion Prevention System (IPS) kann dann den Angriff stoppen. Auch Deep Packet Inspection (DPI) gewinnt an Bedeutung. Dieses Tool analysiert Datenpakete, die über ein Netzwerk verschickt werden, und zwar bis in die Anwenderebene hinein, um Protokolle und Anwendungen zu erkennen und zu kategorisieren.

Organisatorische Maßnahmen verpflichtend

Neben den technischen Abwehrmechanismen werden eine ganze Reihe von organisatorischen Maßnahmen verpflichtend. Unternehmen sind aufgefordert, ein Risikomanagement zu etablieren, Notfallpläne aufzusetzen und ihre Mitarbeiter regelmäßig in Sachen IT-Sicherheit zu schulen. Damit kann das Management die Verantwortung für Cybersicherheit nicht mehr ausschließlich der IT-Abteilung zuweisen, sondern wird selbst in die Pflicht genommen.

Einbeziehung der Lieferketten

Wichtig wird auch die Einbeziehung der Lieferketten, nachdem folgenschwere Angriffe über Zulieferer oder die Systeme anderer Unternehmen möglich sind. In diesem Zusammenhang werden Zertifizierungen für die Zuverlässigkeit von Systemen und Komponenten eine zentrale Rolle spielen, und die EU hat die Mitgliedsstaaten aufgefordert, passende Branchenstandards für die Zertifizierung festzulegen. 

Welche Standards genau in Frage kommen, steht also noch nicht fest. In der Automation nutzen Entwickler von Komponenten sowie Integratoren bereits erfolgreich die IEC 62443. Diese Normenreihe für die Sicherheit industrieller Kommunikationsnetze hat demnach gute Chancen, sich in dem Bereich durchzusetzen und kann schon jetzt als Orientierung dienen.

Open Source Technologie im Vorteil

Nachdem deutlich mehr Unternehmen von der NIS2-Richtlinie betroffen sind, müssen sich viele zum ersten Mal mit den umfangreichen Vorschriften befassen und bestehende industrielle Anlagen nachrüsten. Da die Laufzeit bei OT-Systemen deutlich länger ist als in der IT, verfügen viele Betriebe über eine sehr heterogene Infrastruktur, die es zu vernetzen und jetzt auch abzusichern gilt. 

IT-Sicherheitstools, die auf Open Source Technologie basieren, sind in dieser Situation klar im Vorteil. Wörtlich heißt es in der NIS2-Richtlinie: „Open-Source-Cybersicherheitswerkzeuge und -Anwendungen können zu einem höheren Maß an Offenheit beitragen und sich positiv auf die Effizienz industrieller Innovationen auswirken. Offene Standards erleichtern die Interoperabilität zwischen Sicherheitstools, was der Sicherheit der Interessenträger aus der Industrie zugute kommt.“

Open Source Technologie ermöglicht es, offene Kommunikationsstandards zu verwenden und bietet damit eine gute Lösung für die Vernetzung und Absicherung heterogener Infrastrukturen. Somit erhalten Unternehmen die notwendige Flexibilität und bleiben offen für zukünftige Innovationen, ohne sich von einzelnen Herstellern abhängig zu machen.

Weiter heißt es in der NIS2: „Maßnahmen zur Förderung der Einführung und nachhaltigen Nutzung von Open-Source-Cybersicherheitswerkzeugen sind besonders für kleine und mittlere Unternehmen wichtig, bei denen erhebliche Implementierungskosten anfallen, die durch die Reduzierung des Bedarfs an spezifischen Anwendungen oder Werkzeugen minimiert werden könnten.“

IoT-Security-Gateway als Software-Version

Viele Unternehmen haben im Rahmen der Digitalisierung bereits neue Hardware für die Vernetzung angeschafft. Diese jetzt aufgrund der NIS2 Sicherheitsvorschriften wieder komplett auszutauschen wäre eine große finanzielle Belastung. Auch hier kann Open Source Technologie helfen: Endian bietet beispielsweise ein IoT-Security-Gateway als Software-Version an. Mit diesem Endian 4i Software lässt sich jeder Industrie PC und jedes IoT-Gateway (x86) in eine komplette Sicherheitslösung verwandeln. Damit lässt sich vorhandene Hardware einfach weiternutzen.

Auch über die Cybersicherheit hinaus bietet Open Source Vorteile: Über Container-Technologie Docker lassen sich individuelle Unternehmensanwendungen nutzen oder die Anwendung von Drittanbietern integrieren. Damit können Geräte und Maschinen überwacht und deren Daten für die Optimierung der Prozesse analysiert werden.

Deutlich mehr betroffene Unternehmen

Nicht nur die Vorschriften werden mehr. Gegenüber der ursprünglichen Regelung erweitert sich auch die Zahl der Unternehmen, die in den Bereich kritischer Dienste fallen. Insgesamt umfasst die NIS2 Regelung 18 Sektoren und unterscheidet zwischen „Essential Entities“ und „Important Entities“ (komplette Liste).

  • Essential Entities: Zu den grundlegenden Wirtschaftssektoren gehören große Betreiber in den Bereichen Energie, Transport, Bankwesen, Finanzwesen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management im B2B-Bereich, Raumfahrt sowie die öffentliche Verwaltung.
  • Important Entities: Die wichtigen Wirtschaftssektoren setzen sich aus sieben Bereichen zusammen, nämlich Post und Kurier, Abfall, Chemikalien, Lebensmittel, produzierende Industrie, digitale Dienste und Forschungsinstitute.

Neu ist auch die Größenregelung: So sind mittlere und große Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz betroffen und zwar unabhängig von Leistung oder Schwellenwerten ihrer Anlagen. Bei manchen Betreibern spielt selbst die Unternehmensgröße keine Rolle mehr, wie bei Teilen der digitalen Infrastruktur. Fakt ist, dass die NIS2 deutlich mehr Unternehmen einschließt, als die derzeitigen NIS-Regeln. Schätzungen gehen von bis zu 40 000 zusätzlichen Unternehmen allein in Deutschland aus.

Strenge Sanktionen bei Verstößen

Bei Verstößen gegen die Richtlinien sowie gegen die Meldevorschriften sind empfindliche Strafen vorgesehen. Bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes können fällig werden, wenn eine Organisation ihren Pflichten nicht nachkommt. Darin zeigt sich, dass die EU der Cybersicherheit zukünftig die gleiche Bedeutung beimisst wie dem Datenschutz. Trotz der harten Strafen und der umfangreichen Pflichten stellt die NIS2 insgesamt einen Fortschritt dar. Denn nur, wenn alle Unternehmen Cybersicherheit ernst nehmen, lässt sich die Bedrohung zukünftig eindämmen. Und davon profitieren die Unternehmen letztlich selbst.

Endian SRL, Bozen, Italien

Autor: Raphael Vallazza

CEO, Endian

 
Unsere Whitepaper-Empfehlung
Teilen:
Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de