Teil 2 von 2: Entscheidende Handlungsschritte
Die NIS2-Richtlinie und
der Einsatz kritischer Komponenten
Im zweiten Teil des Artikels beschäftigt sich Autor Christopher Stradomsky damit, welche Auswirkungen das NIS2msuCG in der Praxis hat – am Beispiel eines Chipherstellers. Den ersten Teil dieses Artikels finden Sie auf dem Online-Portal der IT&Production.
©Maksim Shmeljov/stock.adobe.com
Im ersten Teil dieses Artikels wurden die konkreten Anforderungen des NIS2UmsuCGs in Bezug auf den Einsatz kritischer Komponenten beschrieben. Im vorliegenden Teil soll nun anhand von Beispielen demonstriert werden, welche Tragweite diese Regelungen haben und wie bereits jetzt das ISMS anzupassen oder zu erweitern ist.
Anpassung der Risikoanalyse
Im ersten Teil wurden Gründe angeführt, warum ein Hersteller als nicht vertrauenswürdig angesehen werden kann. Angenommen, dieser Hersteller ist ein IT- oder OT-Chip-Hersteller, dessen Produkte (Prozessoren) in 90 Prozent der eingesetzten Geräte enthalten sind. Dann dürfen diese Geräte nicht weiter eingesetzt werden und der flächendeckende Austausch wird erforderlich. Dies ist auch gegeben, wenn die Prozessoren als IKT-Produkte auf den oben angeführten Listen gem. §30 (6) BSIG stehen.
Nur wenige Unternehmen sind in der Lage alle Endgeräte innerhalb eines Jahres auszutauschen, ohne den Betrieb zu gefährden. Bei Netzbetreibern erschwert sich die Unternehmung, wenn die gesamte Automatisierungs- und Feldtechnik hiervon betroffen ist. Ein entsprechend optimiertes Informationssicherheitsmanagementsystem (ISMS) kann hierfür bereits Lösungswege bereithalten.
Da das NIS2UmsuCG keine konkreten Anforderungen an den Austausch der Komponenten stellt, sollten trotzdem sinnvolle Fristen risikoorientiert verfolgt werden:
- • Unverzüglicher Austausch: Wenn eine unmittelbare Gefahr für die Sicherheit der kritischen Infrastruktur besteht, müssen verbotene Komponenten unverzüglich ausgetauscht werden, das heißt sobald es technisch und organisatorisch machbar ist.
- • Mittelfristige Maßnahmen: In Fällen, in denen die Gefährdung weniger dringlich ist, kann das Gesetz Übergangsfristen festlegen, die den Betreibern von kritischen Infrastrukturen ausreichend Zeit geben, die entsprechenden Komponenten planmäßig zu ersetzen. Diese Fristen werden meist durch die zuständigen Behörden festgelegt und können je nach Fall 6 und 24 Monaten betragen.
Ein ISMS basiert auf Prozessen und reproduzierbaren Entscheidungen wohlüberlegter Analysen. Selbst Analysen folgen einer strengen prozessualen Vorgabe und eine der fundamentalen Analysen eines ISMS, ist die Risikoanalyse. Im obigen Fall gilt, dass das Risiko stets bekannt und entsprechende Maßnahmen vorbereitet sein sollten.
Anpassung des Beschaffungsprozess
Obige Ausführungen zeigen zusätzlich, dass der Beschaffungsprozess mindestens in zwei Ebenen anzupassen ist:
- • Um Verzögerungen oder Engpässe zu vermeiden, sollte eine Pufferzeit von bis zu vier Monaten eingeplant werden, in der keinerlei Integration erfolgt oder Fortschritte erzielt werden können. Während dieser Zeit besteht jederzeit das Risiko, dass der Einsatz verboten wird. Es gilt, ausreichend Alternativen in Betracht zu ziehen und verfügbar zu halten. Für jede Alternative ist erneut mit einer Vorlaufzeit von bis zu vier Monaten zu rechnen.
- • Bereits im Ausschreibungswesen sollten entsprechende Garantieerklärungen der Hersteller eingefordert werden. Gemäß § 41 (3) BSIG_neu darf das BMI Mindestanforderungen an solche Garantieerklärungen definieren. Diese Mindestanforderungen stellen sodann eine gewisse Grundqualität und Vergleichbarkeit sicher.
- • Darüber hinaus müssen entsprechende Kommunikationswege und Meldungen sowie Vorabprüfungen im Prozess an geeigneten Stellen berücksichtigt werden. Ebenso sind vorhandene Zertifizierungen, z.B. gemäß dem Framework der ENISA zum Cybersecurity Act, bei der Produktauswahl zu berücksichtigen.
Der erste Punkt zeigt jedoch, dass für Unternehmen Risiken drohen. Das sogenannte ‘Vendor-Lock-In’ wirkt wahrscheinlicher, denn bereits freigegebene Komponenten stellen keine Umsetzungsverzögerung dar. Dabei wird das Unternehmen abhängiger und ein nachträgliches Verbot aufgrund politischer Zerwürfnisse schwerwiegender.
Das könnte Sie auch interessieren
Künstliche Intelligenz unterstützt die Prozesse von DACH-Unternehmen inzwischen auf vielfältige Weise. Welche Anwendungsfälle für die Unternehmen dabei besonders wichtig sind und welche Rolle hierbei die Branchenzugehörigkeit spielt, hat Valantic in Zusammenarbeit mit dem Handelsblatt Research Institute (HRI) untersucht.‣ weiterlesen
Die EU fordert für eine Vielzahl von Produkten künftig einen digitalen Produktpass (DPP), der beschreibt, welche Komponenten, Materialien und Inhaltsstoffe enthalten sind und wie sie repariert, wiederverwendet und entsorgt werden. Bei der Erstellung helfen KI und ein Chatbot.‣ weiterlesen
Mehr als 75 Prozent der 50 weltweit führenden Maschinenbauunternehmen versprechen potenziellen Kunden – in der Regel Unternehmen des produzierenden Gewerbes – Produktvorteile in Bezug auf Nachhaltigkeit. Eine Studie von Siemens Financial Services (SFS) zeigt, wie Unternehmen aus dem Maschinenbau Nachhaltigkeit definieren und als Verkaufsargument nutzen.‣ weiterlesen
Datacenter-Spezialisten arbeiten hinter den Kulissen, sind aber entscheidend für die reibungslose Funktionsweise einer zunehmend vernetzten Welt. Juniper Networks, ein Anbieter von KI-nativen Netzwerkplattformen, beleuchtet den Arbeitstag eines Datacenter-Spezialisten.‣ weiterlesen
In diesem Jahr geht der Hermes Award an Siemens. Der Technologiekonzern erhält die Auszeichnung für seinen KI-gestützten Industrial Copilot. ‣ weiterlesen
Am 14. und 15. Mai heißt es in Baden-Württemberg in Heilbronn willkommen zur All About Automation. Zwei Wochen später, am 3. und 4. Juni, öffnet die regionale Fachmesse für Industrieautomation, Robotik und Digitalisierung ihre Tore in Hamburg.‣ weiterlesen
INDUSTRIE 4.0 & IIoT-MAGAZIN Leseprobe
Zeitschrift für Industrie 4.0, Internet of Things & Digitale Transformation
Additive-Manufacturing-Branche zeigt sich optimistisch
Im Vergleich zum vergangenen Herbst rechnen mehr Unternehmen der Additive-Manufacturing-Branche mit positive Umsätzen. Auch für die nächsten 24 Monate prognostizieren die Unternehmen in der Frühjahrsumfrage ein Wachstum.‣ weiterlesen
AAS Dataspace for Everybody geht nächsten Schritt
Ein Ziel des AAS Dataspace for Everybody ist es, Unternehmen die Digitalisierung ihrer Fertigung niedrigschwellig zu ermöglichen. Zur Hannover Messe haben die Beteiligten die nächste Entwicklungsstufe des Projekts vorgestellt.‣ weiterlesen
