Für das IT-Risikomanagement gibt es heute zahlreiche Vorlagen und Empfehlungen zur Umsetzung. Von NIS betroffenen Unternehmen wird jedoch zukünftig eine hohe Resilienz von operativen und produzierenden Anlagen verlangt und somit ist zukünftig auch ein OT-Risikomanagement erforderlich.

Die gängige Praxis einer Risikobewertung durch Multiplikation von Eintrittswahrscheinlichkeit x Auswirkung ist in OT-Umgebungen schlecht anwendbar, da diese Messgrößen von den Verantwortlichen schwer einschätzbar sind.

In den vergangenen Monaten haben die Teilnehmer des CMG Themenpanel Informationssicherheit & Cybersecurity unter Leitung von Laurin DÖRR von TG alpha, Andreas SCHUSTER von SEC4YOU, Vincent DIBON von ALPSCALE  eine OT-Risikomanagement Methode erarbeitet.
Die NIS2 konforme Methode hilft OT-Umgebungen besser gegen Risiken abzusichern und einen robusten Sicherheitsansatz für industrielle Steuerungssysteme (ICS) zu gewährleisten. Dabei orientiert sie sich an den bewährten Standards ISO 27005:2022 und IEC 62443.

Nun liegt eine Entwurfsfassung der Verfahrensbeschreibung Beurteilung und Behandlung von OT-Risiken vor, die den Teilnehmern der CMG Abstimmungsmeetings sowie Mitgliedern der CMG-AE zur Verfügung gestellt wird. Ziel ist es, Anfang September 2025 eine Version 1.0 des Dokumentes zu finalisieren und in NIS2 Projekten zu verproben.

Nutzungsrechte:

Entsprechend der Lizenz und der Klassifizierung können Sie die Verfahrensbeschreibung gerne vervielfältigen, verbreiten, bearbeiten, verändern und kommerziell nutzen – unter der Bedingung, dass Sie den Urheber Computer Measurement Group Austria and Eastern Europe e.V. (CMG-AE) nennen bzw. in Ihrer Fassung referenzieren.