1. Home
  2. /
  3. Hilscher
  4. /
  5. Der Cyber Resilience Act...
Jetzt mit den nötigen Zertifizierungen starten

Der Cyber Resilience Act kommt

11.07.2024
von Redaktion INDUSTRIELLE AUTOMATION
Wie steht es um die Cybersecurity in industriellen Umgebungen und um nationale und internationale Gesetzgebungen und Normen? Worauf Unternehmen achten müssen, erläutert der Artikel von Hilscher.

Digitalisierung und Vernetzung bringen ebenso große Vorteile wie auch Gefahren mit sich. Doch wie steht es um die Cybersecurity in industriellen Umgebungen und um nationale und internationale Gesetzgebungen und Normen, die die Sicherheit künftig erhöhen sollen? Worauf Unternehmen achten müssen und wo sie zusätzlichen Input von Experten wie der Hilscher Gesellschaft für Systemautomation mbH erhalten, erfahren Sie in diesem Artikel.

Die digitale Transformation in der Automatisierungstechnik bietet enorme Potenziale für Innovationen und die Optimierung von Produktionsprozessen und eröffnet umfangreiche Möglichkeiten, um von neuen Geschäftsmodellen zu profitieren. Dabei verschmelzen Informationstechnologien (IT) und operative Technologien (OT) zunehmend zu einem komplexen Netzwerk mit durchgehender Konnektivität, das heutzutage von der Produktionsebene bis zur Cloud reicht und sukzessive auch digitale Services miteinschließt.

Das rasante Tempo dieses technologischen Fortschritts und die Vernetzung von OT-Systemen, die aus Sicherheitsgründen traditionell streng von der IT getrennt waren, führen gleichzeitig jedoch auch zur Entstehung multipler neuer Angriffsvektoren. Böswillige Cyberakteure wie staatlich motivierte Hacker versuchen permanent, Produktionsprozesse zu kompromittieren, nachhaltig zu stören oder sogar komplett zum Erliegen zu bringen. Beispiele dafür finden sich mittlerweile regelmäßig in der deutschen Tagespresse. Vor allem im Umfeld der industriellen Produktion stellen Cyberangriffe eine besondere Gefahr dar, da hier nicht nur schadhaft auf Anlagen eingewirkt wird, sondern durch gezielte Angriffe auf die funktionale Sicherheit sogar Menschenleben gefährdet werden. Die Dringlichkeit einer verstärken Cybersicherheit wird an den durchschnittlich 70 neuen Schwachstellen pro Tag deutlich, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) laut seinem „Bericht zur Lage der IT-Sicherheit in Deutschland 2023“ in Software-Produkten registriert.

Wichtige Gesetzgebungen und Normen

Um die Cybersicherheit in Europa strategisch zu stärken und strukturell zu verankern, schlug die Europäische Kommission 2022 mit dem Cyber Resilience Act (CRA) eine Verordnung zur Verbesserung der Cybersicherheit und Cyber-Resilienz in der EU vor. Inhalt der Verordnung sind gemeinsame Cybersicherheitsstandards für Produkte mit digitalen Elementen, was sowohl Hard- als auch Software miteinschließt. Die endgültige Veröffentlichung im Amtsblatt der Europäischen Union und damit das europaweite Inkrafttreten des CRA wird für Juli 2024 erwartet. Damit beginnen auch die bis zu dreijährigen Umsetzungsfristen, die für viele Unternehmen zu einer großen Herausforderung werden können. Unternehmen müssen sich mit ihnen auseinandersetzen, wenn sie ihre Produkte weiterhin in der EU vermarkten wollen, denn: Nach einer dreijährigen Übergangsfrist müssen alle Produkte mit CE-Kennzeichnung zwingend den CRA erfüllen.

Kommunikationscontroller

Neue Reihe an Kommunikationscontrollern von Hilscher: Integriert in die netX-900-Familie ist ein komplexes Security Management Processing System, das für Aufgaben der IEC 62443 und die Anforderungen des Cyber Resiliance Acts vorbereitet ist.

Von hoher Relevanz für die Erfüllung des CRA ist die Normenreihe IEC 62443, „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“. Diese deckt bereits einen Großteil der CRA-Anforderungen ab. Die vier Teilbereiche der Norm beschreiben grundsätzliche Begriffe, Konzepte und Modelle, legen ein System zum Management industrieller IT-Sicherheit dar, definieren Vorgaben für Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen und stellen Anforderungen an Prozesse der Produktentwicklung von Komponenten einer Automatisierungslösung. Die Zertifizierung nach IEC 62443 erfolgt durch zugelassene Prüfdienstleister wie dem TÜV Rheinland und wird entsprechend individuellen Anforderungen nach definierten Reifegraden (Maturity Levels) und Security Levels durchgeführt.

Eine weitere relevante Norm stellt die international gültige ISO 27001 dar, die sich mit den Themen Informationssicherheit, Cybersicherheit und Datenschutz befasst und im Rahmen dessen Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) definiert. Das Ziel der Norm ist es, dass sich Unternehmen ganzheitlich und strukturell mit dem Thema Informationssicherheit befassen und nicht nur punktuelle Maßnahmen ergreifen.

Die ISO 27001 ist in Teilen sowohl für den CRA relevant sowie in großem Maße für die Erfüllung der NIS-2 Direktive, die die Cyber- und Informationssicherheit von Unternehmen und Institutionen regelt. Die von der EU formulierte Richtlinie muss im Gegensatz zum CRA jedoch erst bis Oktober 2024 von den verschiedenen Mitgliedsstaaten in nationales Recht überführt werden. An diese Stelle tritt in Deutschland das vom BSI erarbeitete NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG), welches in einem Referentenentwurf seit Juli 2023 existiert.

Je nach Anwendungsfall werden Zertifizierungen nach IEC 62443 und ISO 27001 ebenfalls zu einer Voraussetzung für die Einhaltung der neuen EU-Maschinenverordnung, welche nach ihrer letzten Überarbeitung im Jahr 2023 ab dem 20. Januar 2027 anzuwenden ist. Sie betrifft alle Unternehmen, die an der Bereitstellung von Maschinen im europäischen Markt beteiligt sind oder bestimmte Maschinenprodukte herstellen, in Verkehr bringen oder in Betrieb nehmen.

Ihre Produkte und Lösungen sind vom CRA betroffen?

Die Anwendung neuer Normen auf bestehende Produkte sowie Prozesse kann für Unternehmen sehr komplex sein. Erschwert ein besonders sensibles Thema wie Cybersicherheit den Sachverhalt noch zusätzlich, wird es schnell kritisch. Als führender Hersteller von Hard- und Software-Lösungen im Bereich der industriellen Kommunikation nimmt die Hilscher Gesellschaft für Systemautomation mbH eine entscheidende Position in der Industrieautomation ein. Robuste Cybersecurity und die Einhaltung der regulatorischen Vorgaben spielen daher für den Spezialisten der Industriekommunikation aus Hattersheim bei Frankfurt am Main eine tragende Rolle.

Gemeinsam mit dem TÜV Rheinland als Zertifizierer und dem Consultant TÜV iSec Rheinland befindet sich Hilscher mitten in der Umsetzung des CRA und verfügt bereits über umfassendes Know-how bezüglich der zeitlichen Herausforderungen und praktischen Auswirkungen von relevanten Zertifizierungsprozessen. Und Anwender aus der Industrie können davon profitieren.

Nehmen Sie jetzt Kontakt mit Hilscher auf für weitere Informationen.

Autor: Frank Behnke, Head of Product and Information Security / Product & Cyber Security, Hilscher Gesellschaft für Systemautomation mbH, Hattersheim (Frankfurt)

Kontakt

Logo von Hilscher mit dem Slogan empowering communicationHilscher Gesellschaft für Systemautomation mbH
Rheinstraße 15
65795 Hattersheim (Frankfurt)
Deutschland
Telefon: +49 (0) 6190 99 07–0
E-Mail: compliance@hilscher.com

 

Quelle: Hilscher; Aufmacher-Bild: Starcom – stock.adobe.com

Teil 2 lesen: Digitale Transformation sicher gestalten

Lesen Sie auch Teil 2 der Wissensserie von Hilscher zum Cyber Resilience Act:

Ein netX-90-Kommunikations-Controller von Hilscher ist auf einer Leiterkarte montiert.

Anzeige

Jetzt Newsletter abonnieren

Technologische Innovationen und Branchentrends aus allen Teilbereichen der Fluidtechnik –
Verpassen Sie nicht unsere besten Inhalte

Hier registrieren

Weitere Artikel

Hochauflösend und schnell
Hochauflösend und schnell

Sick stellt eine neue 3D-Kamera vor. Diese zeichnet sich durch eine hochauflösende RGB- und Graustufen-Zeilenscan-Funktionalität zur Detektion ultrafeiner Farbdetails sowie signifikant erhöhte Inspektionsgeschwindigkeiten aus.

Fit für Industrie 5.0
Fit für Industrie 5.0

Wer heute wettbewerbsfähig bleiben will, muss flexibel auf die Anforderungen des Marktes reagieren können. Dies gilt auch für den Bereich Automotive.
Wir stellen Ihnen Komponenten für die Automation vor, die von der Steuerung elektropneumatischer Systeme über Pneumatikspanner bis hin zu elektrischen Aktuatoren reichen und mit denen sich Prozesse zukunftsgerecht gestalten lassen.

Lösung für den Mittelstand
Lösung für den Mittelstand

Mit der Einführung des digitalen Produktpasses (DPP) ab 2027 steht die Industrie vor einer der drängendsten Herausforderungen der kommenden Jahre. Mit der Plattform Twinsphere steht jetzt eine praxisnahe Lösung zur Verfügung, um den DPP effizient bereitzustellen.

You have Successfully Subscribed!

You have Successfully Subscribed!