IoT & OT unter Druck: Die NIS2-Roadmap für wirksame Cyberresilienz
Baar, 16.04.2026 (PresseBox) - Die Zeit isolierter OT-Systeme ist vorbei und damit die Illusion cyberresilienter OT-Umgebungen. Mit NIS2 rücken IoT-/OT-Systeme, von industriellen Anlagen bis zu vernetzten Steuerungssystemen, auch im DACH-Raum ins Zentrum regulatorischer Anforderungen. Gleichzeitig nehmen Cyberangriffe auf diese Infrastrukturen rasant zu. Unternehmen müssen jetzt handeln. Wo besteht Handlungsdruck und wie lassen sich NIS2-Anforderungen in eine strukturierte 5-Punkte-Roadmap überführen? Wir ordnen ein.
NIS2 erweitert die Cybersicherheitsanforderungen für kritische Infrastrukturen explizit auf Operational Technology (OT) – also Steuerungssysteme (ICS), OT-Umgebungen. Der Grund: Durch die wachsende Automatisierung von Angriffen und Vernetzung von IT und OT, etwa über Fernwartung oder Cloud-Anbindungen, sind industrielle Systeme längst zum primären Angriffsziel für Cyberkriminelle geworden.
Unternehmen mit OT-Verantwortung müssen jetzt folgende drei Kernfragen klären:
- Welche konkreten Pflichten entstehen durch NIS2?
- Welche technischen Massnahmen haben jetzt Priorität (Segmentierung, Monitoring, Patch-Management)?
- Welche Standards und Tools tragen die Umsetzung?
NIS2 ist keine Empfehlung, sondern für OT-Unternehmen zwingend und nachweisbar umzusetzen, die:
- in der EU aktiv sind oder dort Niederlassungen betreiben,
- Dienstleistungen für kritische Infrastrukturen innerhalb der EU erbringen,
- in Lieferketten eingebunden sind, die unter die NIS2-Regulierung fallen.
NIS2 konkret: 2 zentrale Vorgaben für IoT & OT
Im Kern verpflichtet NIS2 OT-Unternehmen zu zwei zentralen Handlungsfeldern: einem systematischen Risikomanagement und klar definierten Meldeprozessen bei Sicherheitsvorfällen. Beide zusammen bilden die Grundlage für eine belastbare und nachweisbare Cyberresilienz.
1. Risikomanagement (EU NIS2 Art. 21)
Unternehmen müssen OT-Systeme systematisch prüfen und Cyberrisiken nachvollziehbar bewerten.
Im Fokus stehen insbesondere:
- Verfügbarkeit und Integrität von Steuerungssystemen wie SPS und SCADA
- Fernwartungszugänge wie VPN und RDP
- Lieferkettenrisiken wie Drittanbieter-Risiken und Firmware-Updates
Signifikante Vorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Für die Schweiz ist dies das Bundesamt für Cybersicherheit (BACS), in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) und in Österreich das Bundesministerium für Inneres (BMI) als zentrale Anlaufstellen für Cybervorfälle.
«Die NIS2-Richtlinie gilt für Betreiber wesentlicher Dienste, einschliesslich Organisationen, die industrielle Steuerungssysteme (ICS) und OT-Umgebungen betreiben. Sie verpflichtet zur Umsetzung von Risikomanagement, zur Meldung von Sicherheitsvorfällen sowie zur Absicherung der Lieferketten.» – EU Digital Strategy, NIS2 Implementation Guidance.
Eine fundierte Standortbestimmung schafft die Basis für eine wirksame Umsetzung der NIS2-Anforderungen und zeigt, wo konkrete Abweichungen bestehen und welche Massnahmen priorisiert werden sollten.
OT-Systeme im Spotlight: Entwicklungen und Sicherheitslücken
Entwicklungen im OT-Bereich
Früher galten OT-Netzwerke als «isoliert» und damit weniger gefährdet. Doch die aktuellen Entwicklungen und Business-Anforderungen haben das geändert:
- IT/OT-Konvergenz: Diese führt dazu, dass OT-Systeme heute mit Unternehmens-IT und Cloud-Diensten vernetzt und damit angreifbar sind.
- Zunehmende Angriffe! Laut BACS nehmen OT-spezifische Cyberangriffe in der Schweiz zu. Insbesondere im Bereich Ransomware und Sabotage.
- Steigender regulatorischer Druck: NIS2 erweitert den Geltungsbereich auf Betreiber kritischer Infrastrukturen mit EU-Bezug.
NIS2 zielt auf konkrete Sicherheitslücken, die auch in OT-Umgebungen im DACH-Raum verbreitet sind:
▪️Legacy SPS ohne Patch-Zyklus
Viele Steuerungssysteme (SPS) laufen mit veralteter Software, für die keine Sicherheitsupdates mehr verfügbar sind. Angreifer nutzen ungeschlossene CVEs, um sich lateral im Netzwerk zu bewegen.
NIS2-Anforderung: Regelmässige Risikobewertungen und Kompensationsmassnahmen.
▪️Unkontrollierte Fernwartungszugänge
Externe Dienstleister greifen oft über unsichere VPN- oder RDP-Verbindungen auf OT-Systeme zu – ohne Multi-Faktor-Authentifizierung (MFA) oder Zeitlimits. Mit dem Risiko von Credential Theft und Ransomware-Angriffen (z. B. über geleakte Service-Accounts).
NIS2-Anforderung: MFA und Least Privilege für alle Remote-Zugänge (EU NIS2 Art. 21 Abs. 3).
▪️Fehlende zentrale Asset-Inventare
Zahlreiche Unternehmen kennen ihre OT-Assets nicht vollständig – geschweige denn deren Sicherheitsstatus. Die Risiken: unentdeckte Angriffe, Compliance-Lücken und ineffiziente Incident Response.
NIS2-Anforderung: Dokumentationspflicht für alle kritischen Assets (EU NIS2 Art. 20).
Praxistipp: Nutzen Sie passive Asset-Discovery-Tools, um ein Echtzeit-Inventar Ihrer OT-Umgebung zu erstellen – ohne Produktionsrisiko und analysieren Sie den Status Quo der Digitalisierung Ihrer OT-Prozesse.
5-Punkte-Roadmap: Schritt für Schritt zur NIS2-Compliance
Die Umsetzung der NIS2-Richtlinie erfordert eine strukturierte, schrittweise Vorgehensweise, um regulatorische Anforderungen effizient, nachvollziehbar und nachhaltig in Organisationen zu verankern. Ziel ist es, Risiken frühzeitig zu reduzieren, technische Resilienz aufzubauen und gleichzeitig die Nachweisbarkeit für Audits sicherzustellen.
Ein klar strukturierter 5-Punkte-Plan setzt Prioritäten und bündelt die zentralen Handlungsfelder in einer umsetzbaren Roadmap.
- Sofortmassnahmen – Quick-Wins mit hoher Wirkung
▪️ Verantwortlichkeiten klären durch Benennen eines NIS2-Verantwortlichen (z. B. CISO oder OT-Leiter) und sicherstellen, dass die Geschäftsführung die Dringlichkeit erkennt.
▪️ Fernzugänge härten, sämtliche Fernwartungszugänge wie VPN, RDP und Drittanbieter-Konten prüfen sowie MFA und Least Privilege umsetzen.
▪️ Vorläufiges Asset-Inventar (als Vorstufe zum vollständigen Inventar) mittels passiver Netzwerk-Scans erstellen, um ein Grundgerüst der OT-Assets aufzubauen. - Kurzfristig – Fundament legen
▪️ Vollständiges OT-Asset-Inventar erstellen. Ergänzen des vorläufigen Inventars mittels Scans in Wartungsfenstern und die Assets nach Kritikalität klassifizieren.
▪️ Erste Risikobewertung mit Fokus auf Verfügbarkeitsrisiken durchführen und ISA/IEC 62443 als Rahmenwerk nutzen. - Mittelfristig – Technische Resilienz aufbauen
▪️Netzwerksegmentierung nach ISA/IEC 62443. Unterteilen des OT-Netzwerk in Zonen und Conduits und implementieren von Firewall-Regeln zwischen den Zonen.
▪️OT-Monitoring und SIEM-Integration durch Einspeisen der OT-spezifischen Telemetrie (Modbus, DNP3, OPC UA) ins SIEM/OT-SOC. - Langfristig – Nachhaltige Compliance sichern
▪️Lieferanten-Security-Assessments durch Prüfen der Drittanbieter auf Sicherheitsstandards (z. B. ISO/IEC 27001) und Verankern der wichtigsten Security-Klauseln in Verträgen.
▪️OT-spezifische Incident-Response-Playbooks für Ransomware und Sabotage entwickeln und mindestens einmal jährlich testen.
▪️Risikobewertung nach ISA/IEC 62443. Security Levels (SL-T) für Assets definieren, Zonenmodelle erstellen sowie Residualrisiken dokumentieren. - Governance und Reporting – Nachweisbarkeit für Audits
▪️Massnahmen dokumentieren, protokollieren der Risikobewertungen sowie Changes und Incident-Response-Tests durchführen.
▪️Vorfallmeldungen vorbereiten und Abläufe/Vorlagen für Meldungen an das BACS erstellen.
▪️Jährliche OT-Vorfallssimulationen durchführen sowie Ransomware-Szenarien und den Ausfall kritischer Steuerungen testen.
NIS2 ist mehr als ein Pflichtprogramm. Richtig umgesetzt wird die Richtlinie zum Katalysator für eine belastbare OT-Sicherheitsarchitektur.
Unternehmen, die NIS2 risikobasiert und strukturiert angehen, schaffen nicht nur regulatorische Sicherheit, sondern auch operative Vorteile:
1. Reduziertes regulatorisches Risiko,
2. höhere Widerstandsfähigkeit gegenüber Cyberangriffe und
3. verbesserte Transparenz über kritische OT-Assets und Abhängigkeiten.
Entscheidend ist dabei nicht die Geschwindigkeit der Umsetzung, sondern deren Qualität. Einzelmassnahmen greifen zu kurz, wenn sie nicht in eine klare Gesamtstrategie eingebettet sind. Erst das Zusammenspiel aus Transparenz, Priorisierung und getesteten Prozessen schafft echte Resilienz.
Unsere zentralen Empfehlungen:
- Sicherheitslücken gezielt schliessen, insbesondere bei Fernzugängen und privilegierten Konten, und etablieren einer unternehmensweiten MFA.
- OT-Asset-Inventar aufbauen oder aktualisieren und kritische Assets klassifizieren, inkl. Risikobewertung nach ISA/IEC 62443.
- Netzwerksegmentierung konsequent umsetzen (z. B. Zonenmodelle, Firewall-Regeln).
- Lieferkettenrisiken prüfen (z. B. ISO/IEC 27001-Assessments) und in Security-Klauseln verbindlich regeln.
- Spezifische OT-Incident-Response-Playbooks entwickeln und regelmässig testen (z. B. Ransomware, Sabotage).
