Der Cyber Resilience Act (CRA) wurde am 12. Oktober 2024 vom Europäischen Rat verabschiedet. Er legt einheitliche Cybersicherheitsanforderungen für vernetzte Geräte und digitale Produkte fest, die in der EU verkauft oder verwendet werden. Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und werden schrittweise umgesetzt, bis Ende 2027. Neu in Verkehr gebrachte Produkte müssen zu diesem Zeitpunkt alle Anforderungen erfüllen. Doch aktuell sind zahlreiche Unternehmen nur unzureichend auf die neuen Anforderungen vorbereitet. Wir haben unsere Automatisierungsexperten gefragt, welche Maßnahmen deutsche Maschinen- und Anlagenbauer jetzt ergreifen müssen, um bis zum Ende der Übergansphase 2027 alle Anforderungen umsetzen zu können und inwieweit sie Unternehmen mit ihrem Know-how unterstützen können. 

Frank Behnke

Head of Information Systems bei Hilscher 

Der CRA führt zu umfassenden Änderungen in der Produktentwicklung und im Betrieb. Neue Vorschriften, wie die Pflicht zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden, machen Maßnahmen für ein effizientes Incident-Management und Security-Monitoring erforderlich. Andernfalls drohen erhebliche Strafen. In der Praxis werden dadurch zentralisierte Patch-Management-Systeme zum Standard. Ebenso sind robuste Zugriffs- und Authentifizierungslösungen sowie klar definierte Prozesse für regelmäßige Sicherheitsüberprüfungen notwendig. Besonders bei komplexen Automatisierungssystemen ist es entscheidend, Cybersicherheit so zu integrieren, dass der Betrieb nicht beeinträchtigt wird und gleichzeitig die CRA-Anforderungen zuverlässig erfüllt werden. Unsere Empfehlung für kleine und mittelständische Unternehmen ist eindeutig: Erstellen Sie frühzeitig einen Plan, um die CRA-Anforderungen systematisch zu erfüllen. Cyber Security sollte von Anfang an in die Produktentwicklung integriert werden – je früher, desto besser. 

Ein zentraler Punkt ist die Wahl kompetenter Partner für Security, da die Komplexität der Anforderungen Insellösungen oder teure Fehlentwicklungen unwirtschaftlich macht. Wir bei Hilscher setzen beispielsweise auf die Zusammenarbeit mit dem TÜV Rheinland und haben bereits 85 Prozent unserer Entwicklungsprozesse nach IEC 62443-4-1 konform aufgestellt – der Rest folgt in Kürze. Zudem sind für 2025 Zertifizierungen nach dem BSI-IT-Grundschutz und der ISO 27001 geplant. Dieses Wissen teilen wir aktiv mit unseren Kunden, um Unternehmen durch unsere Expertise und Technologien dabei zu unterstützen, ihre Produkte und Anlagen sicher und CRA-konform zu machen. 

Neben Hilscher als Ansprechpartner sind aber auch Brancheninitiativen und Arbeitsgruppen eine sehr gute Möglichkeit, um Best Practices und Erfahrungen auszutauschen. Derzeit gibt es mehrere Initiativen, in denen sich Unternehmen vernetzen und gemeinsame Lösungen für die CRA-Herausforderungen entwickeln. Der ZVEI, der VDMA oder auch Arbeitsgruppen zur IEC 62443 bieten wertvolle Plattformen für den Austausch und praxisnahe Unterstützung bei der Umsetzung der neuen Anforderungen.

Lutz Jänicke

Corporate Product & Solution Security Officer bei Phoenix Contact

Wesentliche Teile des Produktportfolios des Maschinen- und Anlagenbaus werden als „Produkte mit digitalen Elementen“ einzustufen sein. Der Cyber Resilience Act wirkt als Produktregulierung nach dem EU New Legislative Framework. Die Unternehmen sollten daher grundsätzlich die Anwendung des „CE“-Zeichens kennen. Als neu erweist sich das Ziel „Cyber-Sicherheit“, das nicht durch Messwerte –  wie Spannung, Strom oder eine Materialzusammensetzung – greifbar ist. Der Umgang mit Cyber-Sicherheit soll sich durch Normen beherrschen lassen, die gerade auf EU-Ebene neu entstehen. Diese Aktivitäten sollten genau beobachtet werden, da die Umsetzungszeiträume knapp bemessen sind und mit fertigen Normen frühestens Ende 2026 zu rechnen ist. Der CRA gilt aber bereits ab Dezember 2027. Sicher werden die entsprechenden Verbände, insbesondere der VDMA, Informationen bereitstellen. Im Bereich der OT wird die EN IEC 62443-4-2 weiterentwickelt, um den EU CRA abzubilden und möglicherweise als harmonisierter Standard durch die EU-Kommission gelistet zu werden. In letzterem Fall ließe sich die überarbeitete Version nicht nur zum Stand der Technik heranziehen, sondern würde auch die Konformitätsvermutung und damit eine größere rechtliche Sicherheit bieten.

In jedem Fall ist die Anwendung der EN IEC 62443-4-2 (einschließlich des sicheren Entwicklungsprozesses nach EN IEC 62443-4-1) empfehlenswert. Im Umgang mit Lieferanten erwartet der EU CRA, Zulieferungen mit gebotener Sorgfalt zu wählen, sodass sie die Gesamtsicherheit nicht gefährden. Der EU CRA wird dabei helfen, weil zugelieferte Produkte zukünftig mehr Informationen über die Security-Eigenschaften zur Verfügung stellen müssen. Phoenix Contact unterstützt seine Kunden durch Beratung zum Thema CRA sowie allgemein zur sicheren Realisierung von Maschinen und Anlagen. Viele Produkte des Unternehmens fallen ebenfalls in den Anwendungsbereich des EU CRA.

Denis Göllner

Product Manager System & Security bei Lenze

Maschinen- und Anlagenbauer sollten sich schon heute mit den Anforderungen des Cyber Resilience Act (CRA) befassen und Maßnahmen einleiten, um diese Anforderungen erfüllen zu können. Dazu zählen insbesondere folgende Aspekte:

1. Durchführung von Security-Risikoanalysen: Der CRA verfolgt einen risikobasierten Ansatz. Das bedeutet, dass alle technischen Maßnahmen, basierend auf den identifizierten Risiken, umzusetzen sind. Standards wie die IEC 62443-3-2 bieten Hilfestellungen zur Durchführung der Risikoanalysen von Maschinen und Anlagen. Gemeinsam mit externen Partnern unterstützen wir Maschinenbauer bei der Durchführung von Risikoanalysen.
    
2. Prozesse zur Behandlung von Schwachstellen und der Einhaltung von Meldepflichten: Der CRA verpflichtet Unternehmen, Schwachstellen in Produkten zu beheben und bei aktiv ausgenutzten Schwachstellen, sehr kurze Meldefristen einzuhalten. Dazu kann es erforderlich sein, neue Prozesse zu etablieren und Organisationseinheiten wie ein PSIRT (Product Security Incident Response Team) zu schaffen, um diese Anforderungen erfüllen zu können. Das Lenze PSIRT veröffentlicht Schwachstellen über den CERT@VDE, wo man einen RSS-Feed abonnieren oder Schwachstellen im maschinenlesbaren CSAF-Format konsumieren kann.
    
3. Umsetzung von Security-Maßnahmen in Maschinen und Anlagen: Basierend auf den identifizierten Risiken müssen geeignete Maßnahmen umgesetzt werden. Auch hier kann die IEC 62443 eine Hilfe sein – in Teil 3-3 werden Anforderungen an Maschinen definiert. Maschinenbauer müssen bewerten, welche Anforderungen durch den Einsatz geeigneter Automatisierungskomponenten erfüllt werden können und an welchen Stellen eigene Lösungen entwickelt werden müssen. Auch die bedarfsgerechte Konfiguration der eingesetzten Komponenten muss sichergestellt sein. In unseren Produkten haben wir eine Vielzahl an Security-Funktionen umgesetzt, mit denen wir Maschinen- und Anlagenbauer bei der Umsetzung ihrer Security-Konzepte unterstützen.

Carsten Bokholt

Managing Director bei Helmholz

Mit der neuen Maschinenverordnung EU 2023/1230 wurde das Thema Security für den Maschinenbauer als Vorgabe neu aufgenommen und ist ab Anfang 2027 gültig. Auch in der vorangegangenen Maschinenrichtlinie lag der Fokus bereits auf dem Thema Funktionale Sicherheit („Safety“) und damit auf dem Schutz des Menschen und der Umwelt vor der Maschine. Aufgrund der zunehmenden Vernetzung der Maschinen in den vergangenen Jahren vom Sensor bis in die Cloud entstand ein neues Risiko für die Sicherheit der Maschine: Angriffe über die IT oder direkt in die OT sind keine Seltenheit mehr. 

Mit der neuen Maschinenverordnung gilt es nun, die Maschine vor dem Menschen – also dem Hacker – zu schützen („Security“) und damit die funktionale Sicherheit auch bei digitalen Angriffen zu gewährleisten. Kernpunkte der neuen Maschinenverordnung sind die Anforderungen zum Schutz vor Korrumpierung (Manipulation) und die Sicherstellung der Zuverlässigkeit der Steuerung bei Störungen von außen. Um diese Anforderungen umzusetzen, müssen im Maschinenbau (und auch beim Betreiber) einige Maßnahmen umgesetzt werden. Die Maßnahmen zur Implementierung von Security sind zum Beispiel in der IEC 62443 (Teile 3 und 4) aktuell schon sehr gut beschrieben. 

Der Cyber Resiliance Act (CRA) fokussiert sich auf die Hersteller von Komponenten und wird Ende 2027 für alle europäischen Hersteller gültig. Der Maschinenbau kann sich spätestens zu dem Zeitpunkt darauf verlassen, sichere Produkte von den Komponentenherstellern zu erhalten, um seine eigenen Verpflichtungen zum Thema Security praktikabel einhalten zu können. Ein wesentlicher Punkt ist die Betrachtung der Security über den gesamten Lebenszyklus des Produktes oder der Maschine. Von der Planung über die Installation und der Versorgung der Komponenten mit Security-Updates muss über die gesamte Betriebszeit der Maschine die Security betrachtet werden. Genau an dieser Stelle sollte man in das Thema Security einsteigen: Bauen Sie ein Team auf, mit dem Sie sich einen Überblick über alle Security relevanten Komponenten in ihrer Maschine verschaffen. Dann stellen sie fest, wo sie Informationen über die sichere Verwendung der Komponenten, etwaige Security-Vorfälle oder schlicht den Bezug und das Verteilen von Firmwareupdate erhalten können. Dieses Team kann sowohl für bestehende Anlagen als auch für neu geplante Maschinen aktiv werden. Ein solches Vulnerability- und Patch-Management-Team ist sowohl im Rahmen der Maschinenverordnung für die Maschinenbauer als auch für die Produkthersteller durch den CRA verpflichtend.
Die Firma Helmholz als Hersteller von Komponenten für die industrielle Kommunikation bietet einerseits Komponenten zum sicheren Einsatz im Automatisierungsumfeld an, wie beispielsweise Fernwartungs-Router, Gateways oder Profinet-Switche. Andererseits bietet Helmholz mit dem Industrial-NAT-Gateway/Firewall WALL IE ein Produkt an, um die Vernetzung der Maschine in der Fabrik sicher zu gestalten. Alle Komponenten werden unter Berücksichtigung der IEC 62443 entwickelt und gepflegt. Ziel ist die Umsetzung der Security gemäß CRA bis 2027. Zudem bieten wir Schulungen, Webinare und Beratungen zum Thema CRA und Maschinenverordnung an.