Industrial Cyber Security: Cybersicherheit in der Produktion

Der Cyber Resilience Act (CRA) soll sicherstellen, dass vernetzte Produkte entlang ihres gesamten Lebenszyklus gegen unberechtigten Zugriff und Manipulation geschützt sind. Er gilt sowohl für Hersteller als auch Lieferanten und Importeure von Produkten mit digitalen Elementen, die in der EU vertrieben werden. Im B2B-Bereich sind zahlreiche Komponenten für Industrie-, Umwelt- und Energietechnologie von dieser Verordnung betroffen, beispielsweise Sensoren, Steuersysteme, Software- und Hardwareprodukte mit direkter oder indirekter Datenverbindung zu einem anderen Gerät oder Netzwerk.

Hersteller digitaler Produkte für den industriellen Gebrauch müssen die strukturierte, risikobasierte Betrachtung sowie Umsetzung und Nachweis von Cyber Security in allen Phasen der Wertschöpfungskette berücksichtigen. Das beinhaltet unter anderem einen Secure Engineering Process, verständliche Anleitungen, maschinenlesbare Software-Bill-of-Materials (SBOMs) sowie Risikoanalysen und das Schwachstellenmanagement über den gesamten Lebenszyklus. Erfüllen sie diese Anforderungen nicht, erhalten sie keine CE-Kennzeichnung und damit keinen Zugang zum europäischen Markt. Darüber hinaus drohen Nachbesserungen, Produktrückrufe oder Geldstrafen.

Sie stellen ein Produkt mit digitalen Elementen her? Dann beraten wir Sie gerne, wie Sie die Anforderungen des CRA pragmatisch umsetzen können. Gerne übernehmen wir auch Cyber Security Aktivitäten im Engineering Prozess des Produkts – beispielsweise entlang der international anerkannten Norm IEC 62443.

Die NIS-2 Richtlinie stellt eine erweiterte Initiative dar, um die Sicherheit von Netz- und Informationssystemen innerhalb des europäischen Binnenmarktes zu stärken. Betroffen sind Unternehmen, die in „wesentlichen und wichtigen Einrichtungen“ in kritischen Sektoren aktiv sind – beispielsweise im Bereich Maschinenbau, Energie, Gesundheit oder Lebensmittel. Dies kann auch  Hersteller von Automatisierungslösungen, Steuerungen oder Sensoren, mit denen Anlagen- und Maschinenbauer zusammenarbeiten, einschließen.

Die NIS-2 fordert eine strukturierte Cyber Security Betrachtung für den IT/OT Betrieb und definiert Maßnahmen, um Auswirkungen von Sicherheitsvorfällen zu verhindern oder minimieren. Betroffene Unternehmen müssen unter anderem ihren Schutz vor Cyberangriffen erhöhen, spezifische Security-Standards einhalten und gewährleisten, dass ihre Systeme ständig auf dem aktuellen Stand sind.

Sie sind von der NIS-2 Verordnung betroffen? Wir beraten Sie gerne zur Strategie und den Prozessen rund um die Umsetzung der NIS2 und den nationalen Anforderungen sowie Standards der ISO 27001. Als erster Schritt bietet sich ein Cyber Security Check Up an, beispielsweise angelehnt an DIN SPEC 27076.

Die EU RED Delegated Act für Cyber Security (RED DA) gilt für alle Hersteller von Produkten mit Funkschnittstellen (z.B. WiFi, Bluetooth, Radar, …) oder von Produkten, die solche fest verbaut haben. Der RED DA stellt dabei zusätzliche Anforderungen an die Cyber Security dieser Produkte.

Funkvernetzte Maschinen wie Steuerungen und Roboter in der Fertigung müssen nach RED angemessen gegen Hackerangriffe geschützt werden, zum Eigenschutz aber auch zum Schutz der angrenzenden Netze. Zudem dürfen keine Betriebsunterbrechungen durch Cyberangriffe auftreten. Der neue EN 18031 Standard beleuchtet, was in dem Kontext als angemessen angesehen werden kann. Funkprodukte, die nicht RED-konform entwickelt wurden, dürfen keine CE-Kennzeichnung mehr erhalten und damit nicht mehr in der EU vertrieben werden.

Sie fallen unter den RED DA? Dann beraten wir Sie gerne, wie Sie die Anforderungen der RED pragmatisch umsetzen können.