NIS2-Konformität für die industrielle OT. On-premise, ohne Agent, ohne Cloud.
Ihre SPS, HMIs und CNCs können keine Agenten ausführen. Sie können nicht in die Cloud migrieren. Artikel 21 gilt trotzdem. Access Gate setzt NIS2 auf Netzwerkebene durch, Segmentierung, MFA, Zugriffskontrolle und manipulationssichere Auditierung, ohne ein einziges Produktionsgerät anzufassen.
Trusted by leading companies
On-premise per Architektur. Souverän per Design.
Der CLOUD ACT gibt US-Behörden die rechtliche Befugnis, amerikanische Cloud-Anbieter zur Offenlegung von Daten zu zwingen, einschließlich Daten, die physisch in europäischen Rechenzentren gespeichert sind. Für Betreiber im Geltungsbereich von NIS2 Artikel 21 oder von Frankreichs LPM benannte OIV ist On-Premise keine konfigurierbare Präferenz. Es ist eine strukturelle Anforderung, um die souveräne Kontrolle über kritische Systeme zu behalten. Access Gate ist eine Appliance oder VM, die innerhalb Ihres Perimeters läuft, sodass die Frage der ausländischen Gerichtsbarkeit über OT-Verkehr von vornherein nicht aufkommt.
- 01
Ein EU-Rechenzentrum ist kein Rechtsschild
Eine "EU-Rechenzentrum-Option" eines US-Anbieters eliminiert nicht das CLOUD ACT-Risiko. Die Gerichtsbarkeit folgt dem Mutterkonzern, nicht dem Standort des Servers. Access Gate hat keinen ausländischen Mutterkonzern und keine Remote-Steuerungsebene.
- 02
Souveränität ist mehr als Datenresidenz
On-Premise-Souveränität erfordert, dass das System, das Zugriffsentscheidungen kontrolliert, unter Ihrer eigenen Rechtsprechung arbeitet, ohne Drittanbieter-Zugriff. Access Gate läuft vollständig unter der Kontrolle des Betreibers, nicht eines Anbieters.
- 03
NIS2 Artikel 21(2)(d) macht dies zu einer Vorstandsfrage
Artikel 21(2)(d) verlangt das Risikomanagement der Lieferketten-Cybersicherheit. Eine US-amerikanische Steuerungsebene ist eine strukturelle Lieferketten-Abhängigkeit außerhalb der europäischen Gerichtsbarkeit, und diese Exposition fließt bis zur Verantwortung der Geschäftsführung.
Was NIS2 fordert.
Eine 60-Sekunden-Zusammenfassung: Wer muss sich daran halten, was die Richtlinie vorschreibt, wann Sanktionen greifen und was auf dem Spiel steht.
Wer muss sich daran halten
Wesentliche und wichtige Einrichtungen aus 18 Sektoren: Energie, Verkehr, Wasser, Gesundheitswesen, Bankwesen, digitale Infrastruktur, Herstellung kritischer Produkte und weitere. Im Allgemeinen jede Organisation mit 50 oder mehr Mitarbeitenden oder einem Jahresumsatz von mindestens 10 Mio. Euro, die im Geltungsbereich tätig ist.
Was Sie tun müssen
Artikel 21 schreibt 10 Cybersicherheits-Risikomanagementmaßnahmen vor: Risikorichtlinien, Incident-Handling, Geschäftskontinuität, Lieferkettensicherheit, Netzwerksicherheit, Wirksamkeitsbewertung, Cyber-Hygiene, Verschlüsselung, Zugangskontrolle und MFA. Artikel 23 verlangt die Meldung von Vorfällen innerhalb von 24 Stunden.
Wann sie gilt
Die Umsetzungsfrist war der 17. Oktober 2024, doch die meisten Mitgliedstaaten haben sie verpasst. Bis 2026 haben rund 22 der 27 NIS2 in nationales Recht umgesetzt; einige finalisieren ihre Umsetzung noch. Die Kommission hat Vertragsverletzungsverfahren gegen die Nachzügler eingeleitet, und die Durchsetzung nimmt zu, sobald die jeweiligen nationalen Gesetze in Kraft treten.
Drohende Sanktionen
Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Bis zu 7 Mio. Euro oder 1,4 % für wichtige Einrichtungen. Das leitende Management haftet persönlich, die Verantwortung auf Vorstandsebene ist in der Richtlinie verankert.
Was Artikel 21 auf der Produktionsfläche verlangt
Artikel 21 schreibt Risikomanagementmaßnahmen vor, die für alle relevanten Assets gelten, einschließlich PLCs, HMIs, CNCs, SCADA-Server und IoT-Sensoren auf der Produktionsfläche. Auf diesen Assets können keine Endpoint-Agenten betrieben werden. Viele laufen mit proprietärer Firmware oder End-of-Life-Betriebssystemen. NIS2 sieht hierfür keine Ausnahmen vor.
Access Gate setzt Artikel 21 auf der Netzwerkschicht durch. Keine Agenteninstallation. Keine Firmware-Änderung. Kein Produktionsstillstand.
Für Betreiber, die OT über mehrere Produktionsstandorte hinweg betreiben, wird Access Gate standortweise ohne gegenseitige Abhängigkeit bereitgestellt: Jeder Standort erhält unabhängig eine IEC 62443-Zonenarchitektur, während das zentrale Richtlinienmanagement eine einheitliche Compliance-Position im gesamten Unternehmen gewährleistet.
Netzwerksegmentierung ohne Neuverkabelung
Overlay-Segmentierung isoliert OT-Zonen vom IT-Netz und voneinander. Keine VLAN-Neukonfiguration. Keine Switch-Änderungen.
MFA an der Grenze, nicht auf dem Gerät
MFA wird am Access Gate-Proxy durchgesetzt. Der PLC muss dies nicht unterstützen. Die Zugangskontrollanforderung aus Artikel 21 ist erfüllt.
Manipulationssicheres Audit für jede OT-Sitzung
Jede Verbindung zu jedem OT-Asset wird protokolliert: Benutzer, Zeitstempel, Protokoll, Sitzungswiederholung. Hash-verkettet. Bereit für das NIS2-Audit.
On-Premise-Appliance
Verbinden Sie Access Gate mit Ihrem bestehenden Netzwerk. Ohne Neuverkabelung.
IT & OT On-Premise absichern
Steuern Sie, wie Ihre Systeme, von Servern über PLCs bis hin zu HMIs, sich mit Unternehmenssystemen verbinden. Richtlinien auf Netzwerkebene. Keine Agenten erforderlich.
Artikel-21-Maßnahmen zugeordnet
Kontinuierliche Durchsetzung. Auditfähige Nachweise für jede NIS2-Anforderung auf Abruf.
Maßnahme für Maßnahme.
NIS2 Artikel 21(2) definiert 10 Sicherheitsmaßnahmen. Hier erfahren Sie, wie jede Maßnahme auf lokale IT- und OT-Umgebungen angewendet wird und was Access Gate abdeckt.
Risikomanagementsrichtlinien für alle Informationssysteme erstellen und pflegen.
Access Gate bietet kontinuierliche Asset-Erkennung, Netzwerk-Mapping und Richtliniendurchsetzung. Das Risikomanagement erfolgt durch Mikrosegmentierung und standardmäßige Verweigerungsregeln. Richtlinienänderungen werden versioniert verwaltet.
Sicherheitsvorfälle innerhalb von 24 Stunden nach Bekanntwerden erkennen, melden und darauf reagieren.
Sitzungsanomalien erkennen, automatische Benachrichtigungen versenden und forensische Sitzungsaufzeichnungen erstellen. Jede Verbindung wird mit Benutzeridentität, Zeitstempel und Nutzdaten protokolliert. Vorfallsnachweise werden kontinuierlich erstellt und sind auf Abruf exportierbar.
Den Betrieb während und nach Sicherheitsvorfällen aufrechterhalten. Backup-Management und Disaster Recovery.
Access Gate wird neben dem Netzwerk eingesetzt, nicht im Datenpfad. Ist das Gerät nicht verfügbar, läuft der Produktionsverkehr weiter. Richtlinienkonfigurationen sind für Backups exportierbar. Die Planung der Disaster Recovery bleibt in der Verantwortung des Kunden.
Cybersicherheitsrisiken in Lieferanten- und Dienstleisterbeziehungen managen.
Der Zugriff von Lieferanten wird pro Sitzung begrenzt: auf bestimmte Assets, bestimmte Protokolle und bestimmte Zeitfenster. MFA wird erzwungen. Jede Lieferantensitzung wird mit vollständigem Prüfpfad aufgezeichnet. Keine dauerhaften VPN-Tunnel. Der Zugriff wird automatisch widerrufen, wenn die Sitzung endet.
Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen absichern. Schwachstellenbehandlung und -offenlegung.
Overlay-Mikrosegmentierung isoliert Assets ohne Netzwerkneugestaltung. Standardmäßige Verweigerungsregeln blockieren unbefugte Verbindungen. Passive Asset-Erkennung identifiziert nicht verwaltete Geräte. Kein aktives Scanning, das den OT-Betrieb stören könnte.
Die Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen bewerten.
Segmentierungs-Baselines, Zugriffs-Richtlinienprüfungen und Sitzungsprotokollanalysen liefern kontinuierliche Bewertungsdaten. Nachweispakete werden auf Abruf für Prüfer und Regulierungsbehörden erstellt.
Grundlegende Cyber-Hygienepraktiken und Cybersicherheitsschulungen für Mitarbeiter.
Access Gate setzt Hygiene durch Richtlinien durch: MFA erforderlich, Least-Privilege-Zugriff, Sitzungs-Timeouts. Schulungsinhalte und deren Vermittlung bleiben in der Verantwortung des Kunden.
Richtlinien und Verfahren zur Verwendung von Kryptographie und Verschlüsselung.
FIPS-validierte TLS-Cipher-Suites auf allen Zugangspfaden. AES-128/256 GCM mit ECDHE-Schlüsselaustausch. Verschlüsselung wird auf der Proxy-Ebene durchgesetzt, ohne die Produktionsgeräte zu modifizieren.
Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management.
Identitätsbasierte Zugriffskontrolle mit MFA, RBAC pro Benutzer, pro Asset und pro Protokoll. Automatische Asset-Inventarisierung durch passive Netzwerkerkennung. Zugriffsrichtlinien werden auf der Netzwerkebene durchgesetzt.
Einsatz von MFA, kontinuierlicher Authentifizierung und gesicherter Kommunikation.
MFA wird an der Proxy-Grenze erzwungen, bevor eine Sitzung das Asset erreicht. TOTP-Token funktionieren offline für Air-Gapped-Umgebungen. Gesicherte Kommunikation über FIPS-validiertes TLS.
Wie Guichon Valves OT und IT für NIS2 abgesichert hat.
der OT-IT-Datenflüsse segmentiert und für die NIS2-Compliance auditierbar. Ohne Unterbrechung des Produktionsbetriebs bereitgestellt.
Trusted by leading companies
“The Trout Access Gate gave us a clear path to CMMC compliance without disrupting our manufacturing operations.”
Bereit für Ihr NIS2-Audit?
Erfahren Sie, wie das Access Gate die Maßnahmen nach Artikel 21 durchsetzt und auditfähige Nachweise für Ihre gesamte Infrastruktur bereitstellt.
Laden Sie das Access Gate Datenblatt herunter.
Erhalten Sie die vollständige Produktübersicht mit technischen Funktionen, Bereitstellungsmodell, Compliance-Ausrichtung und Kundenreferenzen.
Inhalt
Produktarchitektur, Bereitstellungsmodell, wichtige Funktionen (Proxy-Durchsetzung, Mikro-DMZs, identitätsbasierter Zugriff), Compliance-Ausrichtung und reale Kundenimplementierungen.
In der Praxis erleben
Fordern Sie eine Live-Demo an, um zu sehen, wie der Access Gate in Ihrem Netzwerk bereitgestellt wird, ohne Umverkabelung oder Ausfallzeiten.
Häufige Fragen zur NIS2-Compliance.
Cybersicherheitsmaßnahmen gemäß Artikel 21 werden durchgesetzt und kontinuierlich überwacht. Auditfähige Nachweise werden auf Anfrage erstellt.
NIS2 ist die EU-Richtlinie zur Cybersicherheit für wesentliche und wichtige Einrichtungen, Energie, Verkehr, Fertigung, Wasser, digitale Infrastruktur und mehr. Wenn Sie in diesen Sektoren in der EU oberhalb der Schwellenwerte tätig sind (typischerweise 50+ Mitarbeiter oder 10 M€ Umsatz für wichtige Einrichtungen, 250+ oder 50 M€ für wesentliche), gilt sie.
Artikel 21 verlangt Risikomanagement-Maßnahmen wie Netzwerksegmentierung, Zugriffskontrolle, Vorfallbearbeitung, Lieferkettensicherheit, Kryptographie und manipulationssichere Auditprotokollierung. Diese Pflichten gelten für jedes Asset im Geltungsbereich, einschließlich SPS, HMIs, CNCs, SCADA-Server und IoT-Sensoren in der Produktion. NIS2 nimmt OT nicht aus.
Ja, und für viele wesentliche Einrichtungen ist On-Premise der einzige Weg, der die Datensouveränität unter dem CLOUD Act und FISA 702 wahrt. Access Gate ist eine Appliance oder VM, die vollständig in Ihrem Perimeter läuft. Keine SaaS-Abhängigkeit, keine ausländische Steuerungsebene, keine Daten verlassen Ihr Netzwerk.
Bis zu 10 M€ oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, je nachdem, was höher ist. Bis zu 7 M€ oder 1,4 % für wichtige Einrichtungen. Über die Bußgelder hinaus erlaubt Artikel 32(5) den zuständigen Behörden, leitenden Managern bei grober Fahrlässigkeit ein vorübergehendes Berufsverbot aufzuerlegen. Persönliche Haftung ist in die Richtlinie eingebaut.
NIS2 erweitert den Anwendungsbereich erheblich, von etwa 700 wesentlichen Betreibern unter NIS1 auf rund 160.000 Einrichtungen EU-weit. Sie führt persönliche Haftung für Leitungsorgane (Art. 20 und 32), strengere Meldefristen für Vorfälle (24 Stunden Frühwarnung, 72 Stunden Vollmeldung) und konkrete Pflichten zur Lieferkettensicherheit unter Art. 21(2)(d) ein.
Der CLOUD Act gibt US-Behörden die rechtliche Befugnis, US-Cloud-Anbieter zur Offenlegung von Daten zu zwingen, einschließlich Daten in europäischen Rechenzentren. Die Zuständigkeit folgt der Muttergesellschaft, nicht dem Serverstandort. Für NIS2-wesentliche Einrichtungen ist strukturelle Souveränität die einzig nachhaltige Verteidigung, deshalb läuft Access Gate on-premise unter Ihrer Hoheit.
In Stunden, nicht Monaten. Access Gate wird inline in Ihrem bestehenden Netzwerk bereitgestellt, keine Neuverkabelung, keine IP-Änderungen, keine Produktionsausfälle. Guichon Valves segmentierte Produktion und IT in Stunden. Ein typischer NIS2-Bereitstellungsumfang deckt Artikel-21-Zugriffskontrolle, Segmentierung, MFA und Audit in einer einzigen Appliance oder VM ab, bereit für die Prüfung am Tag eins.
Ja. Die Zone-und-Conduit-Architektur von IEC 62443 ist genau die Art und Weise, wie Access Gate Segmentierung durchsetzt, jede OT-Zone ist eine eigene geschützte Enklave mit expliziten Conduit-Richtlinien zwischen Zonen. Die für NIS2-Artikel-21-Prüfungen generierten Nachweise dokumentieren auch IEC-62443-Konformität. Eine Architektur deckt beide Rahmenwerke ab.
NIS2 vertieft betrachten.
Grundlegende Leitfäden, detaillierte Analysen zu Artikel 21, sektorspezifische Implementierungs-Playbooks und Framework-übergreifende Analysen, verfasst für IT- und OT-Teams, die sich auf NIS2-Audits vorbereiten.