NIS2 para empresas industriais
O fabrico de dispositivos médicos, eletrónica, equipamento elétrico, máquinas e veículos está no âmbito do anexo II da NIS2. Se a sua empresa tem 50 ou mais colaboradores, eis o que o BSIG exige e como lidar com o desafio OT/IT.
Porque é que a NIS2 se aplica à indústria transformadora?
A indústria moderna depende da convergência de IT e OT (tecnologia operacional). Os sistemas ERP conduzem o planeamento da produção. As plataformas MES gerem a execução no chão de fábrica. Os sistemas SCADA controlam as máquinas e a automação de processos. Os sistemas CAD/CAM definem o que é fabricado. Quando estes sistemas estão interligados, e na maioria das fábricas estão, um ciberataque a um deles pode cascatear por toda a cadeia de produção. Uma infeção por ransomware na rede de escritório que chegue ao MES pode parar linhas de produção.
A UE classificou a indústria transformadora no anexo II da diretiva NIS2, abrangendo: fabrico de dispositivos médicos, fabrico de computadores e eletrónica, fabrico de equipamento elétrico, fabrico de máquinas e equipamento, fabrico de veículos automóveis e fabrico de outro equipamento de transporte. As empresas que cumpram o limiar de dimensão (50 ou mais colaboradores ou mais de 10 milhões de euros de faturação anual) são 'wichtige Einrichtungen' (entidades importantes) nos termos da secção 28(2) BSIG.
A indústria transformadora tem um desafio único que a maioria dos outros setores NIS2 não enfrenta à mesma escala: a segurança OT. O equipamento de produção corre frequentemente sistemas operativos especializados, usa protocolos proprietários e tem restrições de ciclo de vida que dificultam a aplicação de correções. Uma máquina CNC de 2015 pode correr Windows 7 Embedded e não pode ser atualizada sem o envolvimento do fabricante. A NIS2 não ignora esta realidade. A secção 30 BSIG exige medidas que sejam 'proporcionadas' ao risco. Mas tem de documentar os riscos e os controlos compensatórios.
Sistema de execução de fabrico (MES)
O sistema que gere as operações no chão de fábrica: planeamento da produção, execução de ordens de fabrico, controlo da qualidade e monitorização do desempenho. Sistemas comuns incluem o SAP ME, o MPDV HYDRA, o Forcam ou soluções personalizadas. O MES situa-se entre o ERP e o chão de fábrica. Se falhar, perde visibilidade e planeamento da produção. Uma entrada de ativo por instalação.
SCADA e controlos industriais
Sistemas de supervisão, controlo e aquisição de dados, PLC (controladores lógicos programáveis), HMI (interfaces homem-máquina) e controladores CNC. Estes controlam diretamente os processos físicos de produção. Correm muitas vezes sistemas operativos mais antigos com capacidades de segurança limitadas. Representam o risco de maior impacto, porque o comprometimento pode danificar equipamento ou causar incidentes de segurança. Agrupe por linha ou célula de produção.
Sistema ERP
O sistema de negócio central para a gestão de encomendas, aprovisionamento, inventário, finanças e planeamento da produção. Comummente SAP, proALPHA, Microsoft Dynamics ou abas. O ERP conduz o que é produzido e quando. O comprometimento para o processamento de encomendas, os pagamentos a fornecedores e as entregas a clientes. Uma entrada de ativo.
CAD/CAM e engenharia
Sistemas de desenho assistido por computador e de fabrico assistido por computador: SolidWorks, AutoCAD, Siemens NX, CATIA ou similares. Contêm a sua propriedade intelectual: desenhos de produtos, processos de fabrico, tolerâncias. Uma violação aqui pode significar a perda de segredos comerciais. Inclui também o PLM (gestão do ciclo de vida do produto), se for usado. Uma entrada agrupada.
Infraestrutura de rede
A rede que liga a TI de escritório, a engenharia e o chão de fábrica. Inclui, de forma crítica, a fronteira IT/OT: firewalls, segmentos DMZ e díodos de dados entre a rede de escritório e a rede do chão de fábrica. Se as suas redes IT e OT forem planas (sem segmentação), este é o seu risco de maior prioridade. Inclua a VPN e o acesso remoto para a manutenção dos fornecedores.
Postos de trabalho e TI de escritório
Portáteis, computadores de secretária e dispositivos móveis para o pessoal de escritório, a engenharia e a gestão da produção. Aplicações de escritório padrão, email, ferramentas de colaboração. O Grundschutz permite agrupar: '80 portáteis Windows padrão' é uma entrada. Inclua também os servidores (ficheiros, impressão, aplicações) como uma entrada agrupada separada, se forem significativos.
1. Registar-se no BSI
Conclua o seu registo nos termos da secção 33 BSIG através de muk.bsi.bund.de. Demora 30 a 60 minutos e coloca-o no registo. A sanção por falta de registo vai até 500.000 euros. Se o prazo já passou, registe-se de imediato.
2. Construir o seu inventário de ativos (IT e OT)
É aqui que a indústria transformadora difere de outros setores. Precisa de inventariar tanto os sistemas de IT (ERP, email, engenharia) como os sistemas de OT (MES, SCADA, PLC, máquinas CNC). Para os ativos de OT, documente o sistema operativo, a versão de firmware, a conetividade de rede e se o fabricante fornece atualizações de segurança. Este inventário é a base de tudo o que se segue.
3. Avaliar e segmentar a sua rede OT
A medida técnica mais impactante para as empresas industriais. Se a sua TI de escritório e a OT de produção partilham uma rede plana, uma infeção por ransomware no escritório pode chegar aos seus controladores de produção. Implemente a segmentação de rede: separe IT e OT em zonas de rede distintas com uma firewall entre elas. Este é o requisito IND.1 do Grundschutz e a principal recomendação do BSI para ambientes industriais.
4. Configurar a comunicação de incidentes
Defina o que significa um incidente significativo para as suas operações industriais. Um ataque de ransomware que para linhas de produção é claramente significativo. Um email de phishing tentado que foi bloqueado não é. Estabeleça a cadeia de comunicação, incluindo quem tem autoridade para apresentar o relatório ao BSI e como os contactar fora do horário de expediente. Teste o processo com um exercício de mesa.
5. Documentar as relações com fornecedores
As empresas industriais têm frequentemente vários fornecedores de OT com acesso remoto aos sistemas de produção para manutenção e atualizações. Documente cada fornecedor com acesso à sua rede, o que pode alcançar e que medidas de segurança assume. As ligações de manutenção remota a sistemas SCADA são um vetor de ataque comum. Garanta que estão devidamente protegidas e monitorizadas.
O desafio da convergência IT/OT define a conformidade NIS2 na indústria. A sua equipa de TI de escritório entende de correções, controlos de acesso e segurança de rede. Mas o equipamento de produção opera com regras diferentes: não pode reiniciar uma máquina CNC durante uma série de produção para aplicar correções. Os PLC podem correr firmware que não é atualizado há anos porque o fabricante não lançou uma atualização. Os sistemas SCADA podem usar protocolos proprietários que as ferramentas de segurança de TI padrão não compreendem.
A solução não é forçar as práticas de segurança de TI sobre a OT. É construir um modelo de segurança que respeite as restrições. A segmentação de rede isola a OT dos riscos de IT. A monitorização deteta anomalias sem exigir agentes nos controladores. Os controlos compensatórios (acesso físico restrito, redes de manutenção dedicadas, registo) dão proteção onde os controlos de TI tradicionais não são viáveis. Documente tudo. O BSI espera medidas 'proporcionadas', e documentar porque escolheu controlos compensatórios em vez de correções diretas é uma abordagem válida.
As empresas industriais enfrentam também um risco de propriedade intelectual que outros setores podem não ter. Os ficheiros CAD, os processos de produção, as tolerâncias e as especificações de fornecedores são valiosos segredos comerciais. Uma violação que os exponha não cria apenas um problema de conformidade. Cria uma desvantagem competitiva. Os controlos de acesso nos sistemas de engenharia e a cifragem dos ficheiros de desenho devem ser priorizados a par do trabalho de segmentação OT.
Perguntas frequentes
As nossas máquinas de produção correm Windows 7 ou mais antigo. A NIS2 obriga-nos a atualizar?
A NIS2 não impõe versões específicas de sistema operativo. Exige gestão de riscos 'adequada e proporcionada'. Para sistemas OT mais antigos, isto significa: documentar o risco (SO sem suporte, sem correções), implementar controlos compensatórios (isolamento de rede, acesso restrito, monitorização) e planear a substituição no fim de vida. O BSI espera que reconheça o risco e o faça gerir, não que execute atualizações impossíveis em equipamento que não pode ser atualizado.
Precisamos de separar as nossas redes IT e OT?
A segmentação de rede entre IT e OT é a medida de segurança mais impactante para as empresas industriais, e é fortemente recomendada tanto pelo BSI (Grundschutz IND.1) como pela CIR 2024/2690. Se as suas redes estão atualmente planas, esta deve ser a sua principal prioridade técnica. No mínimo, instale uma firewall entre a rede de escritório e a rede de produção, restrinja o tráfego apenas ao necessário e registe todas as ligações entre zonas.
O nosso fornecedor de máquinas tem acesso remoto para manutenção. Isso é um problema?
O acesso de manutenção remota é comum e necessário, mas é um vetor de risco significativo. Ao abrigo da NIS2, tem de documentar este acesso, incluir requisitos de segurança no contrato com o fornecedor e implementar controlos: ligações VPN dedicadas (não portas abertas), acesso limitado no tempo (ativado apenas quando necessário), registo de todas as sessões remotas e autenticação multifator. O fornecedor passa a fazer parte da sua avaliação de segurança da cadeia de abastecimento nos termos da secção 30(2)(4) BSIG.
Somos um fornecedor automóvel de nível 2. A NIS2 aplica-se mesmo se o nosso OEM não tiver perguntado?
Se fabrica veículos automóveis, peças ou equipamento de transporte e tem 50 ou mais colaboradores, a NIS2 aplica-se a si, independentemente do que o seu cliente OEM exija. O fabrico de veículos automóveis e de outro equipamento de transporte está explicitamente listado no anexo II. Na prática, os OEM automóveis vão exigir cada vez mais conformidade NIS2 à sua cadeia de abastecimento. O TISAX já cobre terreno semelhante. Antecipar-se a este requisito é estrategicamente inteligente.