Search Icon
Elektroniknet Logo
Search Icon
Startseite > IT & Security > IT-Security > NIS2-Umsetzung beginnt nicht bei der Technik

Kommentar von Dragos

NIS2-Umsetzung beginnt nicht bei der Technik

15. April 2026, 16:08 Uhr | Kai Thomsen, Dragos
Kai Thomsen, Strategic Outreach Lead Intelligence and Services Organization bei Dragos
Kai Thomsen, Strategic Outreach Lead Intelligence and Services Organization beim OT-Cybersicherheitsspezialisten Dragos
© Dragos

Die NIS2-Richtlinie fordert mehr als technische Maßnahmen. Für wirksame Cybersicherheit sind klare Zuständigkeiten und strukturierte Prozesse entscheidend – besonders in der OT, wo klassische IT-Ansätze nicht ausreichen. Ein Kommentar.

Diesen Artikel anhören

Kai Thomsen, Strategic Outreach Lead Intelligence and Services Organization bei Dragos:

»Die NIS2-Richtlinie verschärft die Anforderungen an die Cybersicherheit in kritischen Infrastrukturen – und das aus gutem Grund. Mit zunehmender Digitalisierung und Vernetzung industrieller Organisationen reichen die Auswirkungen von Cybervorfällen weit über klassische Datenverluste hinaus. Sie können essenzielle Dienste beeinträchtigen, die öffentliche Sicherheit gefährden und sich entlang ganzer Lieferketten auswirken.

Viele Organisationen machen dabei jedoch denselben Fehler. Sie setzen auf technische Lösungen, ohne vorher geeignete Strukturen und Prozesse zu etablieren. Gerade in industriellen Umgebungen greift dieser Ansatz zu kurz. Wer die Gründe dafür versteht, erkennt auch den wirksameren Weg zu NIS2-Konformität und robuster OT-Sicherheit.

Menschen, Prozesse, Technologie

In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) konkrete Hinweise zur Umsetzung der NIS2 Richtlinie veröffentlicht. In der Praxis zeigt sich, dass Aufsichtsbehörden organisatorische Strukturen und klar festgelegte Verantwortlichkeiten als Grundlage der Umsetzung betrachten. Darauf aufbauend gewinnen dokumentierte Prozesse an Bedeutung. Technische Maßnahmen entfalten ihre Wirksamkeit erst im Zusammenspiel mit diesen organisatorischen und prozessualen Voraussetzungen.

Das ist entscheidend, weil NIS2 Prüfungen nicht bei einzelnen technischen Maßnahmen ansetzen. Im Mittelpunkt der Bewertung stehen zunächst Organisation und Abläufe. Zuständigkeiten müssen klar geregelt sein, Verfahren müssen dokumentiert vorliegen und das Unternehmen muss nachvollziehbar darstellen, wie es Risiken im Bereich der Betriebstechnologie steuert.

Dabei wird eine grundlegende Realität oft unterschätzt. IT- und OT-Systeme sind unterschiedliche Bereiche, die unterschiedliche Expertise, unterschiedliche Ansätze und unterschiedliche organisatorische Strukturen erfordern. Beide Bereiche unterscheiden sich deutlich in Anforderungen, Arbeitsweisen und Fachwissen. Man kann dies an Bürocomputern im Vergleich zu industriellen Steuerungssystemen und den damit verbundenen Cyber-Bedrohungen und Risiken für das Unternehmen erkennen. Ein Sicherheitsvorfall in einer Produktionsanlage erfordert unmittelbares operatives Verständnis, das IT-Sicherheitsteams in dieser Form nicht haben. Umgekehrt gilt das ebenso.

Der Aufbau einer geeigneten Organisationsstruktur umfasst u.a.:

  • dedizierte OT-Sicherheitsfunktionen mit ausgewiesener Expertise in operativer Technologie

  • klar abgegrenzte Zuständigkeiten für IT- und OT-Sicherheit

  • definierte Eskalationswege, die sowohl Cyberrisiken als auch operative Auswirkungen berücksichtigen

  • eine enge, funktionsübergreifende Abstimmung zwischen Sicherheits- und Betriebsteams

 Sobald diese organisatorische Basis geschaffen ist, lassen sich darauf wirksame Prozesse aufbauen:

  • Verfahren zur Risikoanalyse, die sich an realistischen OT-Bedrohungsszenarien orientieren

  • Incident Response Abläufe, die Sicherheitsaspekte ebenso wie Arbeitssicherheit und Produktionskontinuität berücksichtigen

  • Bewertungen der Lieferkettensicherheit, insbesondere im Hinblick auf den Fernzugriff von Dienstleistern

  • Workflows für das Schwachstellenmanagement, bei denen operative Auswirkungen priorisiert werden

Erst dann entfaltet Technologie ihre volle Wirkung. Sind die richtigen Menschen und Prozesse etabliert, lassen sich technische Lösungen so einsetzen, dass sie die Sicherheitslage tatsächlich stärken und nicht nur formale Compliance Anforderungen erfüllen.

Warum IT-Sicherheit nicht ausreicht

Artikel 21 der NIS2-Richtlinie verpflichtet Organisationen dazu, Cybersicherheitsmaßnahmen umzusetzen, die ihrem jeweiligen Risikoniveau angemessen sind. Dazu zählen u.a. Richtlinien zur Risikoanalyse, Incident-Response-Pläne, Maßnahmen zur Absicherung der Lieferkette, ein wirksames Schwachstellenmanagement sowie grundlegende Cyberhygiene. Artikel 23 ergänzt diese Anforderungen um ein gestuftes Melderegime für Sicherheitsvorfälle: Innerhalb von 24 Stunden ist eine erste Frühwarnmeldung abzugeben, nach 72 Stunden eine weitergehende Meldung mit zusätzlichen Details und spätestens innerhalb eines Monats ein Abschlussbericht.

Kommt es zu einem Sicherheitsvorfall im OT-Umfeld, zählt vor allem sofortige Transparenz. Es muss klar sein, ob sicherheitskritische Systeme beeinträchtigt wurden, ob Angreifer auf operative Störungen hinarbeiten, welche industriellen Protokolle betroffen sind und welche betrieblichen sowie potenziell physischen Auswirkungen zu erwarten sind. Klassische IT-Sicherheitswerkzeuge sind für diese Fragestellungen in der Regel nicht ausgelegt. Sie können industrielle Protokolle nur eingeschränkt interpretieren, bilden den operativen Kontext von Änderungen an speicherprogrammierbaren Steuerungen (SPS) nicht ab und liefern keine belastbaren Erkenntnisse zu Bedrohungsakteuren, die gezielt industrielle Steuerungssysteme angreifen.

Genau deshalb sind organisatorische Strukturen und Prozesse so entscheidend. Erforderlich sind klar verankerte Verantwortlichkeiten und Kompetenzen mit spezifischem OT-Fachwissen, dokumentierte Abläufe, die operative Rahmenbedingungen berücksichtigen, sowie Risikobewertungen, die die industrielle Realität widerspiegeln und nicht auf generischen IT-Sicherheitsmodellen beruhen.

Mehr als Compliance: NIS2 richtig verstehen

Bei der Umsetzung von NIS2 geht es um mehr als reine Compliance. Es geht um strategische Entscheidungen zur OT-Sicherheit. Werden Organisationsstrukturen und Prozesse sauber definiert, entsteht eine tragfähige Grundlage, auf der technische Maßnahmen wirksam umgesetzt werden können.«

Über Dragos

Dragos bietet effektive OT-Cybersicherheitstechnologie für industrielle und kritische Infrastrukturen, um seine globale Mission zu verwirklichen: Die Zivilisation zu schützen. Dragos hat fast zehn Jahre praktische Erfahrung im Umgang mit schwerwiegenden Angriffen auf OT-Netzwerke und kennt die Komplexität und Risiken industrieller Umgebungen. Diese verfügen häufig über ein enormes Ausmaß, stützen sich auf einzigartigen Systemen, unterliegen hohen Anforderungen an die Verfügbarkeit und lassen sich nicht durch Lösungen zur IT-Cybersicherheit schützen.

Die Dragos Plattform bietet Transparenz und Monitoring von OT-Umgebungen, um Assets zu erkennen, Schwachstellen zu managen und Bedrohungen zu erkennen. Dies geschieht gestützt auf kontinuierliche Erkenntnisse, die von einem erfahrenen OT-Threat-Intelligence- und Service-Team gewonnen werden. Die Plattform entdeckt und überwacht OT-, IT-, IoT- und IIoT-Assets innerhalb der OT-Umgebung und integriert sich in die IT-Sicherheitsinfrastruktur. Dragos schützt Kunden in einer Vielzahl von Industriesektoren, darunter Elektrizität, Öl und Gas, Fertigung, Wasser, Transport, Bergbau und der öffentlichen Verwaltung. Dragos ist ein Privatunternehmen und hat seinen Hauptsitz in der Nähe von Washington, DC. Das Unternehmen ist weltweit mit Niederlassungen in Nordamerika, EMEA und APAC vertreten.

passend zum Thema

N&H Technology GmbH, Willich
SPEA GmbH, Fernwald
Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Lesen Sie mehr zum Thema

elektroniknet Cyber-Security Safety und Security Industrial-/OT-Security Security-Hardware Security-Software Cyber-Security-Lösungen Managed Security Security-Management Security-Services IoT-Security