Cybersicherheit Was bedeutet NIS-2 für die OT-Sicherheit?

Die kürzlich aktualisierte EU-Richtlinie NIS-2 befasst sich auch mit der OT-Sicherheit, die für viele Industrie-Unternehmen zwar von zentraler Bedeutung ist, in der Öffentlichkeit aber oft eine untergeordnete Rolle spielt. NIS-2 wird allerdings konkrete Maßnahmen erfordern.

Die europäische Richtlinie zum Netzwerk- und Informationssicherheitsstandard NIS-2 fordert, dass alle EU-Mitgliedsstaaten die darin enthaltenen Vorgaben bis zum 17. Oktober 2024 in nationale Gesetzgebung überführen. In Deutschland wird dies wahrscheinlich in Form des NIS-2-Umsetzungs- und Cyber-Sicherheitsstärkungsgesetz (kurz: NIS2UmsuCG) geschehen. Der dazu veröffentlichte Entwurf für die Implementierung der NIS-2-Richtlinie liefert schon detaillierte Einsichten in die mögliche Ausgestaltung des Gesetzes und dient als Grundlage für Unternehmen, um sich auf die bevorstehenden Änderungen vorzubereiten. Mit dem NIS-2-Umsetzungs- und Cyber-Sicherheitsstärkungsgesetz, welches das bestehende BSI-Gesetz (KRITIS) neu ordnen und um aktuelle Anpassungen erweitern soll, wird zudem mehr Genauigkeit und Schärfe in der Gesetzgebung erwartet.

Die Zahl der KRITIS-Betreiber steigt

Infolge der NIS-2-Gesetzgebung sehen sich eine gestiegene Anzahl deutscher Betriebe – etwa 40.000 an der Zahl – mit schärferen Sicherheitsbestimmungen konfrontiert, da sie nun in den Bereich der Kritischen Infrastrukturen (KRITIS) eingegliedert werden. Die Klassifikation als KRITIS-Unternehmen beruht künftig auf der spezifischen Branche, zu der das Unternehmen gehört, und dessen Größenordnung. Elf Branchen werden nun als „essential“ eingestuft, während weitere sieben als „important“ gelten.