您的 OT 软件是否存在风险？以下是判断方法

您的 OT 网络安全策略是否包括例行的软件和硬件更新？如果没有，您可能面临 EUR10000000 或全球年营业额 2 % 的罚款¹。

为什么？很简单。到 2024 年 10 月，所有欧盟成员国都必须将欧盟修订后的网络和信息安全指令（NIS2 指令）纳入法律体系。新指令规定，对于违反其规则的组织，将处以 EUR10000000 或全球年营业额 2 % 的罚款。该指令中的一条规则明确规定，受该指令约束的组织必须制定网络安全政策，其中包括：

“……网络卫生政策，包括一套通用的基线实践，包括软件和硬件更新……”

更新后的指令涵盖的组织比以往任何时候都多。这包括全新的行业，如电信、化工、废水处理和食品——所有这些都被认为是欧盟安全和经济生活中“必要”或“重要”的组成部分。NIS2 指令第 7 条进一步强调了比以往任何时候都多的组织将受到新指令影响的事实：

“国家网络安全战略应包括加强中小企业的网络弹性和网络卫生基线，特别是那些被排除在本指令范围之外的企业……”

结论？几乎所有在欧盟运营 OT 的组织现在都需要开始考虑如何为 NIS2 指令做好准备，否则将面临违规的后果。

为什么软件更新在 NIS2 指令下构成风险？

无论是制造商还是基础设施提供商，OT 组织现场通常有数百甚至数千台设备。麦肯锡最近的一份报告估计，一些能源设施的联网设备多达 30000 台²。

这些设备中许多还可能包含智能互联组件，包括变频器、工业交换机、可编程控制器、工业 PC 等。所有这些组件也可能有自己的软件和硬件。

即使是规模较小的安装，包括相对较小的生产环境，也可能有数百台未映射和未管理的 OT 设备。如果其中任何一台设备运行过时的软件，导致数据泄露、运营中断或其他重大问题，这将是对 NIS2 指令的潜在违规，并可能导致后续罚款。

如何降低风险并遵守 NIS2 指令

缓解过时软件带来的风险的最简单方法是与 IT 网络安全专家合作。实现这一目标的最佳方式是订阅涵盖维护和更新的服务。

通过合适的维护订阅，您将获得：

• 即时访问和推送安装最新的软件和固件更新，有助于持续掌握动态的 OT 网络安全威胁态势。即时访问最新的软件和固件更新至关重要，因为它有助于确保安全补丁和增强功能在发布后立即应用。这种即时性可以显著缩短网络攻击者利用已知漏洞的机会窗口。推送安装通过自动化更新部署进一步简化了这一过程，确保 OT 环境中的所有设备始终保持最高的网络安全态势，无需人工干预。
• 来自行业领先的安全工程师和顾问的支持：OT 系统的复杂性和特殊性要求具备高水平的专业知识，以应对其独特的安全挑战。获得行业领先的 OT 安全工程师和顾问的支持，为组织提供了丰富的知识和经验。这些专家可以提供量身定制的建议，从战略规划到事件响应，帮助确保安全措施不仅符合 NIS2 指令，还符合最佳实践和该领域的最新研究。他们的支持对于识别潜在漏洞、推荐缓解策略以及增强 OT 环境抵御网络威胁的整体韧性至关重要。
• 让查找和保护所有设备变得轻松快捷的工具：这些工具使组织能够维护其 OT 资产的最新清单，实时监控其状态，并迅速识别可能表明安全漏洞的任何异常。通过简化 OT 设备的安全防护流程，这些工具不仅提升了运营效率，还确保所有组件和设备，无论其在网络中的角色或位置如何，都得到充分保护。

为帮助您做好 NIS2 指令的准备，合适的 OT/IT 顾问将协助您审计网络，查找任何硬件、固件或软件风险。随后，他们将与您合作，弥补这些漏洞，记录您的安全和合规工作，并帮助您达到 NIS2 指令的要求。

Rockwell Automation 是市场领先的 OT 安全、合规和风险管理服务提供商之一。我们的专家、顾问和工程师拥有帮助您为 NIS2 指令做好准备的工具、经验和技术。这包括从制定合规政策和程序，到快速发现和更新全网过时的软件和固件，再到强化和记录您的网络安全态势以实现 NIS2 指令合规性的全过程。

如需了解 Rockwell Automation 如何帮助您提升网络卫生，包括保持软件和固件的最新状态，以及解决为 NIS2 指令做准备时强化 OT 网络安全态势的诸多方面，请立即与我们联系。

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact