NIS2 pro výrobní firmy
Výroba zdravotnických prostředků, elektroniky, elektrických zařízení, strojů a vozidel spadá do působnosti přílohy II NIS2. Pokud má vaše firma 50+ zaměstnanců, zde je, co BSIG vyžaduje a jak zvládnout výzvu OT/IT.
Proč se NIS2 vztahuje na výrobu?
Moderní výroba závisí na konvergenci IT a OT (provozní technologie). ERP systémy řídí plánování výroby. Platformy MES řídí provádění na dílně. Systémy SCADA řídí stroje a automatizaci procesů. Systémy CAD/CAM definují, co se vyrábí. Když jsou tyto systémy propojené (a ve většině továren jsou), kybernetický útok na jeden z nich může zasáhnout celý výrobní řetězec. Ransomwarová nákaza v kancelářské síti, která se dostane k MES, může zastavit výrobní linky.
EU zařadila výrobu do přílohy II směrnice NIS2 a pokrývá: výrobu zdravotnických prostředků, výrobu počítačů a elektroniky, výrobu elektrických zařízení, výrobu strojů a zařízení, výrobu motorových vozidel a výrobu ostatních dopravních prostředků. Firmy splňující práh velikosti (50+ zaměstnanců nebo roční obrat nad 10 milionů eur) jsou "wichtige Einrichtungen" (důležité subjekty) podle § 28(2) BSIG.
Výroba má jedinečnou výzvu, které většina jiných odvětví NIS2 nečelí ve stejném rozsahu: bezpečnost OT. Výrobní zařízení často běží na specializovaných operačních systémech, používá proprietární protokoly a má omezení životního cyklu, která ztěžují záplatování. Stroj CNC z roku 2015 může běžet na Windows 7 Embedded a nelze jej aktualizovat bez zapojení výrobce. NIS2 tuto realitu neignoruje. § 30 BSIG vyžaduje opatření, která jsou "úměrná" riziku. Musíte však zdokumentovat rizika a kompenzační kontroly.
Výrobní informační systém (MES)
Systém, který řídí provoz na dílně: plánování výroby, provádění pracovních příkazů, sledování kvality a monitorování výkonu. Mezi běžné systémy patří SAP ME, MPDV HYDRA, Forcam nebo vlastní řešení. MES stojí mezi ERP a výrobní dílnou. Pokud vypadne, ztratíte přehled o výrobě a plánování. Jedna položka aktiva na provoz.
SCADA a průmyslové řízení
Systémy dispečerského řízení a sběru dat (SCADA), PLC (programovatelné logické automaty), HMI (rozhraní mezi člověkem a strojem) a řídicí jednotky CNC. Tyto přímo řídí fyzické výrobní procesy. Často běží na starších operačních systémech s omezenými bezpečnostními schopnostmi. Představují riziko s nejvyšším dopadem, protože kompromitace může poškodit zařízení nebo způsobit bezpečnostní incidenty. Seskupte podle výrobní linky nebo buňky.
ERP systém
Hlavní podnikový systém pro správu zakázek, pořizování, sklady, finance a plánování výroby. Běžně SAP, proALPHA, Microsoft Dynamics nebo abas. ERP řídí, co se vyrábí a kdy. Kompromitace zastaví zpracování zakázek, platby dodavatelům a dodávky zákazníkům. Jedna položka aktiva.
CAD/CAM a konstrukce
Systémy počítačem podporovaného návrhu a počítačem podporované výroby: SolidWorks, AutoCAD, Siemens NX, CATIA a podobné. Obsahují vaše duševní vlastnictví: návrhy produktů, výrobní postupy, tolerance. Narušení zde může znamenat ztrátu obchodního tajemství. Zahrnuje také PLM (řízení životního cyklu produktu), pokud se používá. Jedna seskupená položka.
Síťová infrastruktura
Síť propojující kancelářské IT, konstrukci a výrobní dílnu. Kriticky zahrnuje hranici IT/OT: firewally, segmenty DMZ a datové diody mezi kancelářskou sítí a sítí dílny. Pokud jsou vaše sítě IT a OT ploché (bez segmentace), je to vaše riziko s nejvyšší prioritou. Zahrňte VPN a vzdálený přístup pro údržbu dodavatelů.
Koncová zařízení a kancelářské IT
Notebooky, stolní počítače a mobilní zařízení pro kancelářské pracovníky, konstrukci a řízení výroby. Standardní kancelářské aplikace, e-mail, nástroje pro spolupráci. Grundschutz umožňuje seskupování: "80 standardních notebooků s Windows" je jedna položka. Zahrňte také servery (souborové, tiskové, aplikační) jako samostatnou seskupenou položku, pokud jsou významné.
1. Zaregistrujte se u BSI
Dokončete svou registraci podle § 33 BSIG přes muk.bsi.bund.de. Trvá to 30 až 60 minut a zapíše vás do evidence. Sankce za neregistraci je až 500 000 eur. Pokud lhůta uplynula, zaregistrujte se ihned.
2. Sestavte soupis aktiv (IT a OT)
Tady se výroba liší od ostatních odvětví. Musíte sepsat IT systémy (ERP, e-mail, konstrukce) i OT systémy (MES, SCADA, PLC, stroje CNC). U OT aktiv zdokumentujte operační systém, verzi firmwaru, síťové připojení a zda výrobce poskytuje bezpečnostní aktualizace. Tento soupis je základem pro vše, co následuje.
3. Posuďte a segmentujte svou síť OT
Jediné nejvlivnější technické opatření pro výrobce. Pokud vaše kancelářské IT a výrobní OT sdílí plochou síť, ransomwarová nákaza v kanceláři se může dostat k vašim výrobním řídicím jednotkám. Zaveďte segmentaci sítě: oddělte IT a OT do odlišných síťových zón s firewallem mezi nimi. To je požadavek Grundschutz IND.1 a hlavní doporučení BSI pro průmyslová prostředí.
4. Nastavte hlášení incidentů
Stanovte, co pro vaši výrobu znamená významný incident. Ransomwarový útok, který zastaví výrobní linky, je jednoznačně významný. Zablokovaný pokus o phishingový e-mail nikoli. Zaveďte řetězec hlášení, včetně toho, kdo má oprávnění podat hlášení BSI a jak se k němu dostat mimo pracovní dobu. Otestujte proces stolním cvičením.
5. Zdokumentujte vztahy s dodavateli
Výrobní firmy mají často více OT dodavatelů se vzdáleným přístupem k výrobním systémům kvůli údržbě a aktualizacím. Zdokumentujte každého dodavatele s přístupem k vaší síti, k čemu se může dostat a jaká bezpečnostní opatření přijímá. Spojení pro vzdálenou údržbu systémů SCADA jsou běžným vektorem útoku. Zajistěte, aby byla řádně zabezpečena a monitorována.
Výzvu shody s NIS2 ve výrobě definuje konvergence IT/OT. Váš kancelářský IT tým rozumí záplatování, řízení přístupu a síťové bezpečnosti. Výrobní zařízení však funguje podle jiných pravidel: stroj CNC nemůžete během výrobního cyklu restartovat kvůli záplatám. PLC mohou běžet na firmwaru, který nebyl roky aktualizován, protože výrobce nevydal aktualizaci. Systémy SCADA mohou používat proprietární protokoly, kterým standardní nástroje IT bezpečnosti nerozumí.
Řešením není vnucovat OT postupy IT bezpečnosti. Je to vybudovat bezpečnostní model, který respektuje omezení. Segmentace sítě izoluje OT od rizik IT. Monitorování detekuje anomálie, aniž by vyžadovalo agenty na řídicích jednotkách. Kompenzační kontroly (omezený fyzický přístup, vyhrazené sítě pro údržbu, logování) poskytují ochranu tam, kde tradiční IT kontroly nejsou proveditelné. Vše zdokumentujte. BSI očekává "úměrná" opatření a zdokumentování důvodu, proč jste zvolili kompenzační kontroly namísto přímého záplatování, je platný přístup.
Výrobní firmy také čelí riziku pro duševní vlastnictví, kterému jiná odvětví nemusí čelit. Soubory CAD, výrobní postupy, tolerance a specifikace dodavatelů jsou cenná obchodní tajemství. Narušení, které je vystaví, nevytváří jen problém se shodou. Vytváří konkurenční nevýhodu. Řízení přístupu ke konstrukčním systémům a šifrování konstrukčních souborů by mělo mít prioritu vedle práce na segmentaci OT.
Časté dotazy
Naše výrobní stroje běží na Windows 7 nebo starších. Vyžaduje NIS2 upgrade?
NIS2 nenařizuje konkrétní verze operačních systémů. Vyžaduje "vhodné a úměrné" řízení rizik. U starších OT systémů to znamená: zdokumentovat riziko (nepodporovaný OS, žádné záplaty), zavést kompenzační kontroly (izolace sítě, omezený přístup, monitorování) a naplánovat výměnu na konci životního cyklu. BSI očekává, že riziko uznáte a budete jej řídit, ne že provedete nemožné upgrady na zařízení, které nelze aktualizovat.
Musíme oddělit naše sítě IT a OT?
Segmentace sítě mezi IT a OT je jediné nejvlivnější bezpečnostní opatření pro výrobce a důrazně ji doporučuje jak BSI (Grundschutz IND.1), tak CIR 2024/2690. Pokud jsou vaše sítě nyní ploché, mělo by to být vaší hlavní technickou prioritou. Minimálně nasaďte firewall mezi kancelářskou síť a výrobní síť, omezte provoz pouze na nezbytný a logujte všechna spojení napříč zónami.
Náš dodavatel strojů má vzdálený přístup kvůli údržbě. Je to problém?
Vzdálený přístup pro údržbu je běžný a nezbytný, ale je významným vektorem rizika. Podle NIS2 musíte tento přístup zdokumentovat, zahrnout bezpečnostní požadavky do smlouvy s dodavatelem a zavést kontroly: vyhrazená spojení VPN (ne otevřené porty), časově omezený přístup (povolený pouze v případě potřeby), logování všech vzdálených relací a vícefaktorové ověřování. Dodavatel se stává součástí vašeho posouzení bezpečnosti dodavatelského řetězce podle § 30(2)(4) BSIG.
Jsme dodavatel druhého stupně v automobilovém průmyslu. Vztahuje se NIS2, i když se nás OEM nezeptal?
Pokud vyrábíte motorová vozidla, díly nebo dopravní prostředky a máte 50+ zaměstnanců, NIS2 se na vás vztahuje bez ohledu na to, co vyžaduje váš zákazník OEM. Výroba motorových vozidel a ostatních dopravních prostředků je výslovně uvedena v příloze II. V praxi budou automobilové OEM stále častěji vyžadovat shodu s NIS2 od svého dodavatelského řetězce. TISAX již pokrývá podobnou oblast. Předběhnout tento požadavek je strategicky rozumné.