NIS2 und Cyberrisiken erhöhen den Handlungsdruck in der Produktion
Komatsu stand vor der Aufgabe, seine Produktion besser gegen Cyberrisiken abzusichern und sich zugleich auf die Anforderungen der NIS2-Richtlinie vorzubereiten. Für ein international tätiges Industrieunternehmen geht es dabei nicht nur um einzelne technische Schutzmaßnahmen. Entscheidend ist, Risiken über Geschäftsprozesse, IT-Systeme und produktionsnahe Systeme hinweg nachvollziehbar zu machen und gezielt zu steuern.
Der Handlungsbedarf entstand aus der Verbindung von zunehmenden Cyberbedrohungen und höheren regulatorischen Anforderungen. NIS2 verlangt nicht nur technische Sicherheitsmaßnahmen, sondern auch klare Verantwortlichkeiten, belastbare Prozesse und eine nachvollziehbare Dokumentation. Komatsu benötigte deshalb eine strukturierte Grundlage, um Schwachstellen zu identifizieren, Abhängigkeiten zu verstehen und Maßnahmen nach ihrer Bedeutung für den Geschäftsbetrieb zu priorisieren.
Besonders relevant war dabei die Verbindung zwischen klassischen IT-Systemen und produktionsnahen OT-Umgebungen. Gerade in der Fertigung können Sicherheitsvorfälle nicht nur Daten betreffen, sondern unmittelbar Auswirkungen auf Produktionsfähigkeit, Lieferketten und Betriebsabläufe haben. Ohne diese Transparenz lassen sich Risiken in IT und OT nur eingeschränkt bewerten. Auch Managemententscheidungen brauchen eine verlässliche Sicht darauf, wo Handlungsbedarf besteht und welche Maßnahmen für die sichere Produktion besonders relevant
Das Vorgehen
NIS2-Anforderungen in konkrete Sicherheitsmaßnahmen übersetzen
CGI unterstützte Komatsu mit einem strukturierten NIS2- und Risiko-Assessment, das technische Sicherheitsmaßnahmen, Governance-Strukturen, Rollen, Prozesse sowie produktionsnahe Systeme gemeinsam betrachtet. Dabei wurden bestehende Schwachstellen identifiziert und regulatorische Anforderungen in technische, organisatorische und dokumentarische Maßnahmen übersetzt. Auf dieser Basis wurden Projektstreams geplant, mit denen die Organisation die Ergebnisse des Assessments gezielt weiterbearbeiten konnte.
Ein zentraler Bestandteil war die umfassende Analyse kritischer Informationen, Systeme, Abhängigkeiten und Datenflüsse. CGI betrachtete dabei die Verbindung von Business-Anwendungen bis hin zu Produktions- und Kontrollsystemen. So entstand ein ganzheitlicher Blick auf die digitale Umgebung, die für sichere und verlässliche Abläufe im Unternehmen relevant ist.
Zusätzlich wurden Abhöngigkeiten zu Dienstleistern, Plattformen und externen Systemen betrachtet, um Risiken entland relevanter Liefer- und Prozessketten transparenter einordnen zu können.
Darüber hinaus unterstützte CGI Komatsu bei der Risikobewertung im Kontext des Geschäftsbetriebs. Gemeinsam wurde herausgearbeitet, welche Risiken akzeptiert werden können, welche Risiken Maßnahmen erfordern und wie Prioritäten sinnvoll gesetzt werden. Ergänzend wurden Prozesse und Rollen entwickelt, die einen systematischen Umgang mit Informationssicherheit unterstützen und Governance-Strukturen stärken.
Damit wurde NIS2 nicht isoliert als regulatorische Pflicht betrachtet, sondern in eine umsetzbare Sicherheits- und Steuerungslogik übertragen. Komatsu erhielt eine Grundlage, um Anforderungen, Verantwortlichkeiten und Maßnahmen nachvollziehbar miteinander zu verbinden.
Die Ergebnisse
Mehr Transparenz und stärkere Steuerung von IT- und OT-Risiken
Durch die Zusammenarbeit verfügt Komatsu über eine klarere Sicht auf kritische Informationen, Systeme, Abhängigkeiten und Risiken. Die gewonnene Transparenz verbessert die Grundlage für Risikoentscheidungen, Governance und die Priorisierung sicherheitsrelevanter Maßnahmen im Produktionsumfeld. Risiken lassen sich gezielter einordnen, und Maßnahmen können stärker an ihrer Relevanz für den Geschäftsbetrieb ausgerichtet werden.
Zugleich wurden Schwachstellen in IT und OT gezielt reduziert. Damit kann Komatsu seine Produktion besser gegen Cyberrisiken absichern und die Sicherheit digitaler sowie produktionsnaher Umgebungen stärken. Wichtig ist dabei die Verbindung von technischer Analyse, organisatorischer Verankerung und nachvollziehbarer Dokumentation.
Für die NIS2-Vorbereitung wurden Prozesse, Rollen und Dokumentation aufgebaut. Komatsu ist damit organisatorisch und dokumentarisch besser auf die Anforderungen der Richtlinie vorbereitet. Gleichzeitig entstand ein Rahmen, der Informationssicherheit systematischer steuerbar macht und die Grundlage für weitere Maßnahmen schafft.
Das Ergebnis ist kein einzelner technischer Schritt, sondern eine verbesserte Fähigkeit zur Risikosteuerung. Komatsu kann Cyberrisiken in IT und Produktion heute transparenter bewerten und Sicherheitsmaßnahmen gezielter am Geschäftsbetrieb ausrichten. Damit stärkt Komatsu die Resilienz seiner digitalen und produktionsnahen Umgebungen
