Gegenstand von Security-Vorfällen sind nicht mehr nur IT-Systeme, sondern immer häufiger auch das produzierende Umfeld (OT). Unternehmen, Maschinen und Produkte. Dabei kommen auf jeder Ebene unterschiedliche Herausforderungen sowie gesetzliche Rahmenbedingungen auf Maschinenbauer und -betreiber zu.
NIS 2: Mehr Pflichten für Unternehmen
Die Richtlinie für Netz- und Informationssystemsicherheit 2 EU 2022/2555 (NIS 2) verpflichtet künftig deutlich mehr Unternehmen, Risikomanagementmaßnahmen für die Cybersicherheit zu ergreifen. Beispiele dafür sind Risikoanalysen und Sicherheitskonzepte für Informationssysteme, den Schutz der Lieferkette und die Sicherheit des Personals. Ebenso zählen Konzepte für die Zugriffskontrolle und das Management von Anlagen hinzu, sowie verpflichtende Schulungen für das Management. Die Richtlinie wurde Ende 2022 durch das Europäische Parlament und den Rat der EU verabschiedet und muss bis 18.10.2024 in nationales Recht überführt werden, in Deutschland etwa durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG). Unternehmen tun gut daran, sich baldmöglichst mit NIS 2 zu beschäftigen und eine umfassende Security-Betrachtung für das Unternehmen durchzuführen. Dazu gehört beispielsweise der Aufbau eines Managementsystems für Informationssicherheit (ISMS). Hilfreich ist in diesem Zusammenhang eine Zertifizierung nach der Informationssicherheits-Norm ISO27001.
Die neue Maschinenverordnung: Ohne Security kein CE
Konkreter sind die Security-Vorgaben bereits bei Maschinen und Anlagen: Die neue Maschinenverordnung umfasst nun auch das Schutzziel Security. Der neue Weg zur CE-Kennzeichnung wirft für Maschinenbauer und -betreiber eine Reihe neuer Fragen auf, denn sie werden ihre bisherigen Sicherheitskonzepte für Safety und Security überarbeiten müssen. Pilz, als Experte für sichere Automatisierung, hat daher sein Dienstleistungsangebot um die Themen der Industrial Security erweitert. Mit der Qualifizierung zum ‚CESA – Certified Expert for Security in Automation‘ bietet das Unternehmen bereits seit letztem Jahr einen zweitägigen Expertenlehrgang an, der den Teilnehmern kompaktes Security-Wissen auf dem aktuellen Stand der Normenlage vermittelt. Darüber hinaus werden praktische Maßnahmen zur Risikominderung behandelt, wie Zugangskontrolle, Erhöhung der Netzwerk-Sicherheit mit technischen Mitteln sowie organisatorische Maßnahmen zur Verminderung von Security-Risiken.
Das Dienstleistungsangebot Industrial Security Consulting Service (ISCS) erweitert die sicherheitstechnische Betrachtung von Maschinen hin zu einer ganzheitlichen Betrachtung von Safety und Security. Es wurde ausgehend von der erprobten Methodik für Dienstleistungen im Bereich funktionaler Maschinensicherheit und auf der Basis der Security-Normenreihe IEC62443 entwickelt, nach dessen Umsetzung Unternehmen mit Blick auf Industrial Security gut gerüstet sind und die aktuellen gesetzlichen Vorgaben erfüllen. ISCS besteht aus vier Modulen: Schutzbedarfsanalyse, Industrial-Security-Risikobewertung, Industrial-Security-Konzept und Industrial-Security-System-Verifikation.
Safety und Security gehen Hand in Hand
Auch bei der konkreten Umsetzung an der Maschine macht künftig eine gemeinsame Betrachtung von Safety und Security Sinn. Am Ende gilt: ohne Security keine Safety und ohne Safety kein Schutz des Menschen. Ein wichtiger Baustein ist ein Identification and Access Management (I.A.M.), das Berechtigungen und Zugänge in einem Unternehmen klar regelt. Dazu gehören organisatorische Maßnahmen und Vorgaben genauso wie passende Sicherheitsfunktionen. Ein Zugangsberechtigungssystem wie PITreader von Pilz stellt dabei den passenden Produkt-Baustein dar. Damit können Anwender die Anforderungen bezüglich Mitarbeiterschutz, Haftungsschutz, Produktivität sowie des Schutzes ihrer Daten meistern. Den Zugriff auf Automatisierungsnetzwerke von außen abzusichern ist Aufgabe der Industrial Firewall SecurityBridge von Pilz. Sie überwacht den Datenverkehr zwischen PC und Steuerung und reduziert so die Angriffsfläche für Hacker und Manipulation.
NIS 2: Die komplette Lieferkette im Blick
Das IT-Sicherheitsgesetz, die bisherige nationale Umsetzung der NIS 1, galt vorwiegend für kritische Infrastruktur und Anbieter relevanter digitaler Dienste. NIS 2 erweitert die Sektoren beispielsweise um das herstellende/produzierende Gewerbe, darunter auch Maschinenbau und Hersteller von elektrischen Ausrüstungen.
NIS 2 am Beispiel: Mit NIS 2 müssen künftig auch Maschinenbauer, wie etwa der Hersteller von Windkraftanlagen, die Vorgaben erfüllen. Er wiederum benötigt etwa Automatisierungslösungen, Steuerungen oder Sensoren z.B. von Pilz. Ab einer bestimmten Größe fallen auch Hersteller von elektrischen Komponenten unter das Gesetz. Und weil es auch die Berücksichtigung der Lieferanten vorschreibt, muss sich auch ein Unternehmen wie Pilz um sichere Lieferketten kümmern und Anforderungen an ihre Lieferanten stellen. NIS 2 deckt also die komplette Lieferkette ab.