NIS2 dla firm produkcyjnych
Produkcja wyrobów medycznych, elektroniki, sprzętu elektrycznego, maszyn i pojazdów jest objęta zakresem Załącznika II NIS2. Jeśli Twoja firma zatrudnia 50+ pracowników, oto czego wymaga BSIG i jak poradzić sobie z wyzwaniem OT/IT.
Dlaczego NIS2 dotyczy produkcji?
Nowoczesna produkcja zależy od konwergencji IT i OT (technologii operacyjnej). Systemy ERP napędzają harmonogramowanie produkcji. Platformy MES zarządzają realizacją na hali produkcyjnej. Systemy SCADA sterują maszynami i automatyzacją procesów. Systemy CAD/CAM definiują, co jest produkowane. Gdy te systemy są ze sobą połączone - a w większości fabryk są - cyberatak na jeden z nich może kaskadowo objąć cały łańcuch produkcyjny. Infekcja ransomware w sieci biurowej, która dosięgnie MES, może zatrzymać linie produkcyjne.
UE sklasyfikowała produkcję w Załączniku II dyrektywy NIS2, obejmując: produkcję wyrobów medycznych, produkcję komputerów i elektroniki, produkcję sprzętu elektrycznego, produkcję maszyn i urządzeń, produkcję pojazdów silnikowych oraz produkcję pozostałego sprzętu transportowego. Firmy spełniające próg wielkości (50+ pracowników lub ponad 10 milionów euro rocznego przychodu) są 'wichtige Einrichtungen' (podmiotami ważnymi) zgodnie z Sekcją 28(2) BSIG.
Produkcja ma unikalne wyzwanie, z którym większość innych sektorów NIS2 nie mierzy się w tej samej skali: bezpieczeństwo OT. Sprzęt produkcyjny często działa na wyspecjalizowanych systemach operacyjnych, używa zastrzeżonych protokołów i ma ograniczenia cyklu życia, które utrudniają łatanie. Maszyna CNC z 2015 roku może działać na Windows 7 Embedded i nie da się jej zaktualizować bez udziału producenta. NIS2 nie ignoruje tej rzeczywistości - Sekcja 30 BSIG wymaga środków, które są 'proporcjonalne' do ryzyka. Ale musisz udokumentować ryzyka i środki kompensacyjne.
System realizacji produkcji (MES)
System zarządzający operacjami na hali produkcyjnej: harmonogramowanie produkcji, realizacja zleceń pracy, śledzenie jakości i monitorowanie wydajności. Powszechne systemy to SAP ME, MPDV HYDRA, Forcam lub rozwiązania niestandardowe. MES znajduje się między ERP a halą produkcyjną. Jeśli przestaje działać, tracisz wgląd w produkcję i harmonogramowanie. Jedna pozycja zasobu na obiekt.
SCADA i sterowanie przemysłowe
Systemy nadzorcze i akwizycji danych (SCADA), sterowniki PLC (programowalne sterowniki logiczne), HMI (interfejsy człowiek-maszyna) i sterowniki CNC. Bezpośrednio sterują fizycznymi procesami produkcyjnymi. Często działają na starszych systemach operacyjnych o ograniczonych możliwościach bezpieczeństwa. Stanowią ryzyko o najwyższym wpływie, ponieważ naruszenie może uszkodzić sprzęt lub spowodować incydenty bezpieczeństwa. Zgrupuj według linii produkcyjnej lub gniazda.
System ERP
Główny system biznesowy do zarządzania zamówieniami, zakupów, magazynu, finansów i planowania produkcji. Powszechnie SAP, proALPHA, Microsoft Dynamics lub abas. ERP napędza to, co i kiedy jest produkowane. Naruszenie zatrzymuje przetwarzanie zamówień, płatności dla dostawców i dostawy do klientów. Jedna pozycja zasobu.
CAD/CAM i inżynieria
Systemy projektowania wspomaganego komputerowo i produkcji wspomaganej komputerowo: SolidWorks, AutoCAD, Siemens NX, CATIA lub podobne. Zawierają Twoją własność intelektualną - projekty wyrobów, procesy produkcyjne, tolerancje. Naruszenie tutaj może oznaczać utratę tajemnic handlowych. Obejmuje także PLM (zarządzanie cyklem życia produktu), jeśli jest używane. Jedna zgrupowana pozycja.
Infrastruktura sieciowa
Sieć łącząca IT biurowe, inżynierię i halę produkcyjną. Krytycznie obejmuje granicę IT/OT: zapory, segmenty DMZ i diody danych między siecią biurową a siecią hali produkcyjnej. Jeśli Twoje sieci IT i OT są płaskie (bez segmentacji), to jest Twoje ryzyko o najwyższym priorytecie. Uwzględnij VPN i dostęp zdalny do konserwacji przez dostawców.
Punkty końcowe i IT biurowe
Laptopy, komputery stacjonarne i urządzenia mobilne dla personelu biurowego, inżynierii i zarządzania produkcją. Standardowe aplikacje biurowe, poczta, narzędzia do współpracy. Grundschutz pozwala grupować: '80 standardowych laptopów z Windows' to jedna pozycja. Uwzględnij także serwery (plików, druku, aplikacji) jako osobną zgrupowaną pozycję, jeśli są istotne.
1. Zarejestruj się w BSI
Dokończ swoją rejestrację zgodnie z Sekcją 33 BSIG przez muk.bsi.bund.de. Zajmuje to 30 do 60 minut i oficjalnie Cię odnotowuje. Kara za brak rejestracji wynosi do 500 000 euro. Jeśli termin minął, zarejestruj się natychmiast.
2. Zbuduj inwentaryzację zasobów (IT i OT)
Tu produkcja różni się od innych sektorów. Musisz zinwentaryzować zarówno systemy IT (ERP, poczta, inżynieria), jak i systemy OT (MES, SCADA, PLC, maszyny CNC). Dla zasobów OT udokumentuj system operacyjny, wersję oprogramowania układowego, łączność sieciową oraz to, czy producent dostarcza aktualizacje bezpieczeństwa. Ta inwentaryzacja jest fundamentem wszystkiego, co następuje.
3. Oceń i posegmentuj swoją sieć OT
Najbardziej wpływowy środek techniczny dla producentów. Jeśli Twoje IT biurowe i OT produkcyjne dzielą płaską sieć, infekcja ransomware w biurze może dotrzeć do Twoich sterowników produkcyjnych. Wdróż segmentację sieci: oddziel IT i OT na odrębne strefy sieciowe z zaporą między nimi. To jest wymaganie Grundschutz IND.1 i główne zalecenie BSI dla środowisk przemysłowych.
4. Ustanów zgłaszanie incydentów
Zdefiniuj, co oznacza poważny incydent dla Twoich operacji produkcyjnych. Atak ransomware, który zatrzymuje linie produkcyjne, jest wyraźnie poważny. Zablokowana próba phishingu nie. Ustanów łańcuch zgłaszania, w tym kto ma uprawnienie do złożenia zgłoszenia do BSI i jak do nich dotrzeć poza godzinami pracy. Przetestuj proces ćwiczeniem tabletop.
5. Udokumentuj relacje z dostawcami
Firmy produkcyjne często mają wielu dostawców OT z dostępem zdalnym do systemów produkcyjnych w celu konserwacji i aktualizacji. Udokumentuj każdego dostawcę z dostępem do Twojej sieci, do czego może dotrzeć i jakie środki bezpieczeństwa deklaruje. Połączenia zdalnej konserwacji do systemów SCADA są częstym wektorem ataku - upewnij się, że są odpowiednio zabezpieczone i monitorowane.
Wyzwanie konwergencji IT/OT definiuje zgodność produkcji z NIS2. Twój biurowy zespół IT rozumie łatanie, kontrolę dostępu i bezpieczeństwo sieci. Ale sprzęt produkcyjny działa na innych zasadach: nie da się zrestartować maszyny CNC w trakcie biegu produkcji, aby zastosować łatki. Sterowniki PLC mogą działać na oprogramowaniu układowym, które nie było aktualizowane od lat, ponieważ producent nie wydał aktualizacji. Systemy SCADA mogą używać zastrzeżonych protokołów, których standardowe narzędzia bezpieczeństwa IT nie rozumieją.
Rozwiązaniem nie jest narzucanie praktyk bezpieczeństwa IT na OT. Jest nim zbudowanie modelu bezpieczeństwa, który szanuje ograniczenia. Segmentacja sieci izoluje OT od ryzyk IT. Monitorowanie wykrywa anomalie bez wymagania agentów na sterownikach. Środki kompensacyjne (ograniczony dostęp fizyczny, dedykowane sieci konserwacyjne, logowanie) zapewniają ochronę tam, gdzie tradycyjne środki IT nie są wykonalne. Udokumentuj wszystko - BSI oczekuje 'proporcjonalnych' środków, a udokumentowanie, dlaczego wybrałeś środki kompensacyjne zamiast bezpośredniego łatania, jest poprawnym podejściem.
Firmy produkcyjne mierzą się także z ryzykiem dla własności intelektualnej, którego inne sektory mogą nie mieć. Pliki CAD, procesy produkcyjne, tolerancje i specyfikacje dostawców to cenne tajemnice handlowe. Naruszenie, które je ujawni, nie tworzy tylko problemu zgodności - tworzy niekorzystną pozycję konkurencyjną. Kontrola dostępu do systemów inżynieryjnych i szyfrowanie plików projektowych powinny być priorytetowo traktowane obok prac nad segmentacją OT.
Najczęściej zadawane pytania
Nasze maszyny produkcyjne działają na Windows 7 lub starszym. Czy NIS2 wymaga, abyśmy je zaktualizowali?
NIS2 nie nakazuje konkretnych wersji systemu operacyjnego. Wymaga 'odpowiedniego i proporcjonalnego' zarządzania ryzykiem. Dla starszych systemów OT oznacza to: udokumentuj ryzyko (nieobsługiwany system operacyjny, brak łatek), wdróż środki kompensacyjne (izolacja sieci, ograniczony dostęp, monitorowanie) i zaplanuj wymianę w cyklu życia. BSI oczekuje, że uznasz ryzyko i będziesz nim zarządzać, a nie że wykonasz niemożliwe aktualizacje na sprzęcie, którego nie da się zaktualizować.
Czy musimy oddzielić nasze sieci IT i OT?
Segmentacja sieci między IT a OT jest najbardziej wpływowym środkiem bezpieczeństwa dla producentów i jest zdecydowanie zalecana zarówno przez BSI (Grundschutz IND.1), jak i CIR 2024/2690. Jeśli Twoje sieci są obecnie płaskie, powinno to być Twoim najwyższym priorytetem technicznym. Co najmniej wdróż zaporę między siecią biurową a siecią produkcyjną, ogranicz ruch tylko do tego, co konieczne, i loguj wszystkie połączenia między strefami.
Nasz dostawca maszyn ma dostęp zdalny do konserwacji. Czy to problem?
Dostęp zdalny do konserwacji jest powszechny i konieczny, ale jest istotnym wektorem ryzyka. W ramach NIS2 musisz udokumentować ten dostęp, uwzględnić wymagania bezpieczeństwa w umowie z dostawcą i wdrożyć środki kontroli: dedykowane połączenia VPN (nie otwarte porty), dostęp ograniczony czasowo (włączany tylko wtedy, gdy potrzebny), logowanie wszystkich sesji zdalnych oraz uwierzytelnianie wieloskładnikowe. Dostawca staje się częścią Twojej oceny bezpieczeństwa łańcucha dostaw zgodnie z Sekcją 30(2)(4) BSIG.
Jesteśmy dostawcą motoryzacyjnym Tier 2. Czy NIS2 nas dotyczy, nawet jeśli nasz OEM o to nie pytał?
Jeśli produkujesz pojazdy silnikowe, części lub sprzęt transportowy i zatrudniasz 50+ pracowników, NIS2 dotyczy Cię niezależnie od tego, czego wymaga Twój klient OEM. Produkcja pojazdów silnikowych i pozostałego sprzętu transportowego jest wyraźnie wymieniona w Załączniku II. W praktyce OEM-y motoryzacyjne będą coraz częściej wymagać zgodności z NIS2 od swojego łańcucha dostaw - TISAX już obejmuje podobny obszar. Wyprzedzenie tego wymagania jest strategicznie mądre.