In Anbetracht der zunehmenden Cyber-Risiken hat die Europäische Union strenge Vorschriften wie die NIS2-Richtlinie (Netz- und Informationssicherheitsrichtlinie), das Cyberresilienzgesetz (Cyber Resilience Act, CRA) oder die Datenschutz-Grundverordnung (DSGVO) veröffentlicht – um nur einige zu nennen. Sie betreffen verschiedene Aspekte der Cybersicherheit, überschneiden sich aber auch. Damit kann es für Unternehmen eine Herausforderung sein, mehrere, auch widersprüchliche, Vorschriften einzuhalten.
Und damit nicht genug: Zahlreiche europäische Gremien geben Richtlinien heraus, eine zentrale Rolle spielt hier die ENISA (European Union Agency for Cybersecurity). Hinzu kommen sektorspezifische Leitlinien, etwa der ERNCIP (European Reference Network for Critical Infrastructure Protection), der ECSO (European Cyber Security Organisation) oder von branchenspezifischen Einrichtungen. Zudem hat jeder EU-Mitgliedstaat eigene, nationale Cybersicherheitsgesetze sowie branchenspezifische Vorschriften, die noch über die EU-Vorschriften hinausgehen können. Zum Beispiel enthält das deutsche IT-Sicherheitsgesetz 2.0 zusätzliche Verpflichtungen für Betreiber kritischer Infrastrukturen.
In diesem Dschungel aus EU-weiten und nationalen Gesetzen, Verordnungen und Richtlinien finden sich Verantwortliche oft nur schwer zurecht, insbesondere wenn es um international tätige Unternehmen geht. Doch mit einer Kombination aus ISO/IEC 27001, NIST Cybersecurity Framework (CSF) und IEC 62443 können sie die Kernanforderungen der Vorschriften erfüllen.
Framework basiert auf Freiwilligkeit
Das Cybersecurity Framework (CSF) ist eine Richtlinie des National Institute of Standards and Technology (NIST). Es dient also einem ähnlichen Zweck wie die KRITIS-Verordnung in Deutschland, basiert allerdings auf Freiwilligkeit und ist nicht zu verwechseln mit der NIS2-Richtlinie der EU. Das NIST CSF bietet ein High-Level-Rahmenwerk für das Management und die Verbesserung der Cybersicherheit. Es hilft Unternehmen, ihre Cybersicherheitslage zu bewerten, Schwachstellen zu erkennen und Maßnahmen zu deren Behebung zu ergreifen. Zudem betont das NIST CSF die Relevanz von Reaktions- und Wiederherstellungsplänen, um die Auswirkungen von Cybervorfällen zu minimieren. Durch seine Flexibilität lässt sich das NIST CSF gut an Vorschriften wie NIS2 und die CRA anpassen.
Um das NIST CSF effektiv zu nutzen, sollten Unternehmen zunächst kritische Anlagen, Schwachstellen und potenzielle Bedrohungen innerhalb ihrer IT- und OT-Umgebungen identifizieren. Sind die Risiken identifiziert, können sie wirkungsvolle Schutzmaßnahmen implementieren.
ISO/IEC 27001: umfassendes Informationssicherheitsmanagement
ISO/IEC 27001 ist ein international anerkannter Standard für die Einrichtung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS). Dies gewährleistet, dass alle Sicherheitsrichtlinien mit gesetzlichen Anforderungen und den Best Practices der Informationssicherheit übereinstimmen. Durch regelmäßige Audits und Überprüfungen wird sichergestellt, dass das ISMS stets an neue Bedrohungen und gesetzliche Änderungen angepasst ist. Damit stehen Governance und Compliance im Mittelpunkt der ISO/IEC 27001.
Unternehmen sollten regelmäßige Risikobewertungen durchführen, um potenzielle Bedrohungen für ihre Informationssysteme zu erkennen und entschärfen zu können. Die ISO/IEC 27001 enthält detaillierte Richtlinien für die Durchführung solcher Bewertungen und Sicherheitskontrollen.
IEC 62443: sichere Steuerungssysteme und OT
Die IEC 62443 bietet einen umfassenden Rahmen zur Sicherung von industriellen Automatisierungs- und Steuerungssystemen (IACS) sowie Betriebstechnik (OT). Sie deckt die Sicherheit über den gesamten Lebenszyklus von Systemen ab. Dabei verfolgt die IEC 62443 den Defense-in-Depth-Ansatz, der mehrere Ebenen von Sicherheitskontrollen vorsieht, u. a. mit Netzwerksegmentierung, Zugangskontrollen und robuster Verschlüsselung. Auch die Bedeutung sicherer Lieferketten wird durch die Norm unterstrichen, insbesondere durch Hinweise zur Überprüfung von Lieferanten und Komponenten von Drittanbietern. Die Stärke der IEC 62443 liegt in ihrer Anpassungsfähigkeit an unterschiedliche Kontexte. Dank modularem Aufbau können Unternehmen die Teile übernehmen, die ihren Anforderungen am besten entsprechen. Viele branchenspezifische Cybersicherheitsstandards bauen auf der IEC 62443 auf oder sind auf sie abgestimmt. Deshalb können Unternehmen mit der Norm ein hohes Maß an Sicherheit und Regelkonformität erreichen.
Von der Norm zu praktischen Lösungen: IEC 62443-4-2 konforme Geräte
Zertifizierungen nach diesen Standards bieten entscheidende Vorteile: Sie ermöglichen den Nachweis der Konformität und Einhaltung von Vorschriften, stärken die Sicherheit und verbessern das Risikomanagement sowie die Betriebseffizienz und Zuverlässigkeit. Ein Beispiel sind nach IEC 62443-4-2 zertifizierte Geräte, wie die Netzwerk-Switches der Sicherheitsstufe 2 (SL2) von Moxa. Sie bieten Unternehmen eine umfassende Unterstützung zur Einhaltung von Vorschriften wie der NIS2-Richtlinie. Für den einfachen Konformitätsnachweis bei Audits werden die Geräte mit einer detaillierten Dokumentation und den relevanten Zertifizierungen geliefert. Da die erforderlichen Sicherheitskontrollen bereits integriert sind, wird die Compliance-Berichterstattung erheblich vereinfacht.
Die IEC 62443-4-2 konformen Geräte bieten wichtige Sicherheitsmerkmale wie Authentifizierung, Autorisierung, Integrität und Vertraulichkeit. Sie tragen dazu bei, die Sicherheit zu erhöhen, die Angriffsfläche zu reduzieren und das Risiko von Sicherheitsvorfällen zu minimieren. Sie sorgen für eine zuverlässige Leistung der Geräte, reduzieren Ausfallzeiten und verbessern die betriebliche Effizienz. Zudem helfen sie, Kosten aufgrund von Sicherheitsverletzungen zu senken und vereinfachen den Beschaffungsprozess durch klare Sicherheitsstandards.
Durch die zertifizierten Geräte und ein auf das Cyberresilienzgesetz abgestimmte Portfolio unterstützt Moxa seine Kunden bei der Einhaltung von Vorschriften wie der NIS2-Richtlinie. Darüber hinaus trägt Moxa zu deren Sicherheitsbemühungen bei, indem es in seiner Rolle als CNA (Common Vulnerabilities and Exposures Numbering Authority) Schwachstellen effektiv identifiziert, beschreibt und veröffentlicht.
