NIS2 zwischen Anspruch und Realität Legacy-OT-Systeme bremsen die NIS2-Umsetzung in der Industrie

Ein Gastbeitrag von Maurice Kemmann 4 min Lesedauer

Anbieter zum Thema

Sogar Unternehmen ohne NIS2-Pflicht orientieren sich inzwischen an der Richtlinie. Für die eigentlich verpflichteten Betriebe bleibt die Umsetzung dagegen eine der größten Herausforderungen, besonders wenn veraltete OT-Systeme und komplexe Lieferketten ins Spiel kommen.

Die Umsetzung der NIS2-Richtlinie verläuft hierzulande langsamer als erwartet. Knapp jedes zweite Unternehmen kämpft laut einer Studie mit komplexen Anforderungen, gewachsenen Strukturen und neuen Lieferkettenrisiken.(Bild: ©  Khfd - stock.adobe.com)
Die Umsetzung der NIS2-Richtlinie verläuft hierzulande langsamer als erwartet. Knapp jedes zweite Unternehmen kämpft laut einer Studie mit komplexen Anforderungen, gewachsenen Strukturen und neuen Lieferkettenrisiken.
(Bild: © Khfd - stock.adobe.com)

NIS2 ist gesetzt, seit Anfang dieses Jahres sind alle Unternehmen auf dem Stand der Regu­lierung – oder sie sollten es eigentlich sein. Bei der Umsetzung von NIS2-Vorgaben gibt es eine deutliche Lücke zwischen Anspruch und Wirklichkeit: Die Plusserver-Studie „Cybersecurity & Digitale Resilienz“ zeigt, dass nur rund ein Drittel (34 Prozent) der Unternehmen NIS2 vollständig umgesetzt hat.

Umso erstaunlicher: Parallel dazu geht ein weiteres Drittel (33 Prozent) der Unternehmen in einzelnen Bereichen sogar über die Mindestanforderungen hinaus, während sich sogar Unternehmen, die gar nicht betroffen sind, an den Vorgaben orientieren. Daran zeigt sich, dass NIS2 kein reines Compliance-Thema ist. Es dient als Treiber für strukturelle Veränderungen.

Zentrale Hürden bei der Umsetzung

Hauptgrund für die Verzögerungen ist die Komplexität von NIS2. Fast die Hälfte der Unternehmen (47 Prozent) bewertet die Umsetzung als schwierig oder sogar sehr schwierig. Besonders herausfordernd sind für sie unklare Interpretationsspielräume und der hohe Aufwand bei der Anpassung bestehender Prozesse. Hinzu kommen Schwierigkeiten mit der Integration in gewachsenen IT-Landschaften.

Viele Industrieunternehmen arbeiten in der Operational Technology (OT) mit älteren Systemen, die nicht auf aktuelle Sicherheitsanforderungen ausgelegt sind. Sie lassen sich aufgrund der langen Lebenszyklen von OT und einer sehr geringen Veränderungsdynamik nur schwer anpassen, was für einen großen Teil der Unternehmen (48 Prozent) zu einer zentralen Hürde wird.

Lieferketten erhöhen den Umsetzungsdruck

Diese Komplexität setzt sich in der Lieferkette fort. NIS2 erweitert den Fokus von der reinen internen Interpretation der IT-Security auf externe Abhängigkeiten. Während jedes zweite Unternehmen (51 Prozent) deutliche Veränderungen im Geschäftsverkehr mit Geschäftspartnern, Lieferanten und Dienstleistern feststellt, unterschätzen viele die Risiken in diesem Bereich. Cyberangriffe erfolgen häufig über die Infrastrukturen der Partner, die außerhalb des eigenen Einflussbereichs liegen.

Die praktische Umsetzung wird also vor allem dort schwierig, wo gewachsene Strukturen auf neue Anforderungen treffen. Industrieunternehmen stehen dabei in einem Zielkonflikt. Die bestehenden Systeme sind auf langfristigen Betrieb ausgelegt und können in vielen Fällen nicht ohne weiteres erneuert werden. Die regulatorischen Vorgaben verlangen aber eine Anpassung an den Stand der Technik. Das zwingt dazu, Investitionszyklen zu überdenken und auf Modernisierung und Standardisierung zu setzen.

Schritte bis zur endgültigen NIS2-Umsetzung

Um die NIS2-Umsetzung zu vereinfachen und technische sowie organisatorische Hürden zu überwinden, hat sich ein schrittweises Vorgehen bewährt. Erster Schritt und Beginn der wirksamen Umsetzung ist eine Bestandsaufnahme. Es gilt, zunächst zu erfassen, welche Systeme, Prozesse und – wichtig – welche Geschäftspartner von NIS2 betroffen sind. Mit dieser Informationssammlung können Unternehmen dann ein strukturiertes Risikoprofil entwickeln, das Aufschluss über fehlende Maßnahmen gibt. Ein konsistentes Gesamtbild kann auch nachträglich noch hilfreich sein, um Lücken zu schließen und erfolgte Maßnahmen zu verbessern.

Im nächsten Schritt werden eindeutige Verantwortlichkeiten definiert. NIS2 verlangt klare Zuständigkeiten im Management, inklusive einer persönlichen Haftung der Geschäftsführung. Eine zentrale Steuerung setzt Prioritäten und bewirkt konsistente Maßnahmen. Dazu gehört auch die Standardisierung der Prozesse, beispielsweise Incident-Response, Meldewege und Notfallpläne. Neben eindeutigen Vorgaben ist hier auch eine regelmäßige Prüfung erforderlich. Standards wie ISO 27001 oder der BSI-Grundschutz geben Orientierung, um die entsprechenden Prozesse schnell einzuführen.

Technische und organisatorische Maßnahmen

Ein zentraler Baustein der NIS2-Konformität ist die nahtlose Integration von Sicherheitsmaßnahmen in bestehende IT- und OT-Infrastrukturen. Angesichts oft gewachsener Strukturen muss dies risikobasiert und schrittweise erfolgen, wobei der Schutz kritischer Prozesse oberste Priorität genießt. Eine essenzielle Schutzmaßnahme ist die Netzwerksegmentierung: Durch die logische Trennung von Systemgruppen wird die Ausbreitung von Schadsoftware effektiv eingedämmt. Ergänzend dazu bilden ein lückenloses Infrastruktur-Monitoring sowie Identity & Access Management (IAM) nach dem „Zero Trust“-Prinzip das Rückgrat der Zugriffssteuerung. Hierbei wird jeder Zugriff individuell authentifiziert, was ein präzises Benutzer- und Rollenkonzept erfordert und so die Angriffsfläche auf ein Minimum reduziert.

Der zweite Schwerpunkt liegt auf der konsequenten Einbindung von Partnerunternehmen in die Sicherheitsstrategie. Je nach Branche ist dies eine anspruchsvolle Aufgabe: Besonders in der Automobilindustrie und der Elektronikfertigung führen tief gestaffelte Lieferketten mit zahlreichen Zulieferern zu einer hohen Komplexität. Ein entscheidender erster Schritt ist daher die Definition präziser Sicherheitsanforderungen, die über die gesamte Wertschöpfungskette hinweg überprüft werden. Verträge, regelmäßige Audits und standardisierte Nachweise schaffen hier die notwendige Transparenz und Verbindlichkeit.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Um den hohen Umsetzungsaufwand der NIS2-Richtlinie zu bewältigen, empfiehlt sich die Nutzung etablierter Branchenstandards wie TISAX in der Automobilindustrie oder IEC 62443 in der Fertigung. Diese Standards dienen als wertvolles Fundament: Wer sie bereits implementiert hat, nutzt starke Synergieeffekte, um die gesetzlichen Anforderungen systematisch zu erfüllen und die eigene Resilienz in Ausschreibungen und Kundenbeziehungen rechtssicher zu belegen.

Steigende Anforderungen an Security

Ein weiterer Punkt, der wichtiger wird: Security-Experten und Spezialisten für die Schnittstelle zwischen IT und OT sind gefragt. Es ist nicht einfach, das passende Personal zu rekrutieren. Deshalb sollten Unternehmen auf jeden Fall auf gezielte Weiterbildung ihrer eigenen Mitarbeitenden setzen. Bei Bedarf ergänzen spezialisierte Security-Dienstleister die eigenen Teams.

Insgesamt zeigt sich, dass NIS2 weniger an einzelnen Maßnahmen als an der Integration in bestehende Strukturen scheitert. Eine große Herausforderung ist das Zusammenspiel von Prozessen und der internen Organisation. Allerdings ist in den kommenden Jahren mit weiteren regulatorischen Konkretisierungen und einer strengen Prüfung der Umsetzung zu rechnen. Dadurch wird der Druck zur Professionalisierung der Security-Strukturen weiter steigen. Wer diese Faktoren frühzeitig in den Blick nimmt, erreicht regulatorische Konformität und stärkt seine digitale Resilienz nachhaltig.

Über den Autor: Maurice Kemmann ist Geschäftsführer der Cosanta GmbH.

(ID:50891847)