1.)    Brauchen wir eine IT-Risikobeurteilung? Wieso? Was ist IT-Risiko überhaupt?
2.)    Wie sicher sind wir heute? Welchen Security Level haben aktuelle Sicherheitssteuerungen? Ist schon einmal was passiert? 
3.)    IT-Risikobeurteilung nach NAMUR NA 163. Wie geht das? Was ist das?
4.)    Aktuelle Fragen und Probleme mit NAMUR NA 163, BSI Grundschutz Chemie, IT-Sicherheitsgesetz 2.0.

PLT-Sicherheitseinrichtungen sind der Anker in der chemischen Produktion. Schäden an Gesundheit und Umwelt werden mit Hilfe von PLT-Sicherheitseinrichtungen vermieden. Das hat bisweilen gut funktioniert. Warum brauchen wir neuerdings eine IT-Risikobeurteilung? Nach Meinung der internationalen Normung (IEC 61508/61511) und der deutschen Behörden  ist zu berücksichtigen, dass sich die Umgebungsbedingungen rund um die Funktionale Sicherheit geändert haben. Der Grad der Nutzung von IT-Technologie ist gestiegen und wird weiter steigen (=die Digitalisierung). Damit steigt das Maß der Exposition der Safety-Komponenten gegenüber Cyber-Bedrohungen (die für sich auch zunehmen). Entsprechend fordert 61511, VDI 2182 und KAS-51 eine IT-Risikobeurteilung. Aufgrund dieser Beurteilung sollten dann Schutz und Minderungsmaßnahmen festgelegt werden. In der Praxis steht man dann vor der Frage: „Was ist IT-Risiko“ im Zusammenhang mit Funktionaler Sicherheit genau? Reicht es denn nicht aus, hoch – integre  und validierte SIL x Systeme zu bauen und zu betreiben? Kann man nicht davon ausgehen, dass eine SIL x Sicherheitsfunktion auch gegenüber Cyber-Bedrohungen resistent ist und wenn nicht, dann wenigstens in einen Fail-Safe Zustand zurückfällt. Die Antwort darauf ist ein klares „Nein“. Die kurze Erklärung: Weil die „SIL“ Integritätsbetrachtungen bislang absichtliche Manipulationen nicht berücksichtigt haben. Spätestens durch die neue Lesart der Störfallverordnung, nach der ein Cyberangriff als „Eingriff Unbefugter“ interpretiert wird, besteht also auch gegenüber dem Gesetzgeber „Handlungsbedarf“.
In der IT Domäne (BSI-Grundschutz und ISO 27k) hat sich eine Methode etabliert, die sich nach der Art und „Likelihood“ von Cyber-Bedrohungen orientiert. IEC 62443 ist die Norm für Cybersecurity in der Automatisierungstechnik. Auch dort gibt es Methoden zur Risikobeurteilung. Die Prozessindustrie in der NAMUR hat NA 163 entwickelt. Dort wurde eine IT-Risikobeurteilung für ein modellhaftes Safety System durchgeführt und entsprechende Maßnahmen davon abgeleitet. Anwender, deren System diesem Modell entsprechen, können NA 163 anwenden und dadurch einige –durchaus komplexe- Fragen umschiffen und kostbare Zeit in die Umsetzung von Maßnahmen investieren, statt in IT-Risikobeurteilungen.
Doch die Methode hat Grenzen und mit dem IT-Sicherheitsgesetz 2.0 und einem beim BSI in Arbeit befindlichen Grundschutz-Chemie werden neue Rahmenbedingungen entstehen, denen sich die nächste NA 163 stellen muß.

Gerade Unentschlossenheit ist ein Hauptgrund, warum so viele Change-Vorhaben scheitern und Chancen ungenutzt bleiben. Wie Zögerlinge zu Change-Makern werden, verrät dieser Vortrag. Ilja Grzeskowitz macht seinen Zuhörern bewusst, dass wir alle nach einem besseren Leben streben, dass aber langfristige Ergebnisse nur gemeinsam im Team erreicht werden können. Es geht darum, zusammen und motiviert ein Ziel verfolgen, bei dem jeder von jedem lernt und es dennoch klare Verantwortungsbereiche gibt. Hierarchien und Jobbeschreibungen spielen hierbei keine Rolle. Der 5 Sterne Redner zeigt auf, dass man sicht bewusst dazu entschließen muss, als Change-Maker zu agieren, um damit ein Unternehmen - ein Team - als Ganzes zu verändern.
Der Experte für Veränderung Ilja Grzeskowitz zeigt in seinem Vortrag, wie jeder, der es wirklich will, zum Change Maker werden kann. Mit seinen Anregungen zur Veränderung erreichen Sie das richtige Maß an Motivation, um endlich ins Handeln zu kommen, gezielt Verantwortung zu übernehmen und damit den Umbruch in Ihrem Unternehmen aktiv zu gestalten. Viele Ideen und Impulse in diesem Vortrag nehmen Ihnen die Angst vor dem Scheitern und helfen Ihnen, für die Zukunft bestens vorbereitet zu sein. Das Resümee: Sie gehen voller Begeisterung neue und unbekannte Wege und freuen sich über Veränderungen. Sie erkennen diese einmalige Chance, besser zu werden und sich als die Nummer 1 bei Ihren Kunden zu platzieren.
Veränderungsexperte Grzeskowitz gibt Ihnen in seinem gleichnamigen Vortrag zum Buch „Mach es einfach!“ viele persönliche Erfahrungen, mitreißende Botschaften und interessante Praxisbeispiele mit auf den Weg. Noch lange nach diesem Vortrag werden Ihre Teilnehmer davon profitieren und Vieles in die Praxis umsetzen können. Der Change Prozess wird in den Köpfen haften bleiben und sich nach und nach in den Alltag integrieren.

Rechtlicher Rahmen – letzte Änderungen und Extrapolation

Die Digitale Welt wächst und das immer schneller. Der Gesetzgeber reagiert darauf mit Veränderungen der rechtlichen Rahmenbedingungen. Die Branche spielt dabei keine Rolle mehr.
Aktuell ist das kürzlich verabschiedete IT-Sicherheitsgesetz 2.0 zu nennen, welches eine deutlich erweiterte Definition des Begriffs „Infrastrukturbetreiber“ enthält, wodurch auch Unternehmen der Prozessindustrie betroffen sein können.
Strukturierung (einfache Maßnahmen für den Start) –Risikoanalyse und Sicherheitszonen

Die Erkenntnisse aus der Formulierung der Security-Policy ermöglichen es Bereiche im Unternehmen mit erhöhtem Schutzbedarf zu identifizieren.
Diese können zur grundsätzlichen Strukturierung der erforderlichen Sicherheitszonen genutzt werden.
Wie kann man darüber erhöhte Sicherheit erhalten?