17.09.2024

Von manchen schon als neues Brüsseler Bürokratiemonster kritisiert, zielt der Cyber Resilience Act (CRA) der EU als neuer Schutzschirm für vernetzte Hardware und Software unter anderem darauf, die wichtige IT- undOT-Sicherheit in der Industrie zu stärken. Welche Auswirkungen kommen konkret auf Unternehmen zu?

Die zunehmende Vernetzung von Geräten und Maschinen ist einerseits ein Segen, weil sie beruflich wie auch privat Vieles erleichtert und enorme Chancen für Wirtschaft und Gesellschaft bietet. Andererseits erhöht sie auch die Cyberrisiken, weil sie Hackern oft Tür und Tor öffnet. Um die IT-Sicherheit zu stärken, hat die Europäische Union als eine von mehreren Maßnahmen daher den Cyber Resilience Act (CRA) auf den Weg gebracht. Ziel ist es, vernetzte Produkte einschließlich Industriemaschinen über den gesamten Lebenszyklus vor unberechtigtem Zugriff und Manipulation zu schützen. Damit sind für Hersteller und Händler eine Reihe neuer Vorgaben verbunden.

Stufenweise Regulierung mit Augenmaß

Dabei sollen aber gewisse Abstufungen gelten, um die Entwicklung und Nutzung von Technologien nicht zu behindern. Daher unterscheidet der CRA zwischen verschiedenen Kategorien oder Klassen. 90 Prozent der Endgeräte und Softwarekomponenten dürften laut Security Insider in die Standardkategorie fallen, die keine sicherheitsrelevanten Aufgaben erfüllen. Gemeint sind etwa Smart-TVs, Smartphones, Social-Media-Apps und vernetzte Haushaltsgeräte.

Klassifizierung durch den CRA
Der CRA klassifiziert sicherheitsrelevante Produkte in zwei Stufen. Bildquelle: Adobe Stock / Zenturio Designs

Strengere Auflagen und Prüfmechanismen gelten für wichtige cybersicherheitsrelevante Produkte der Klasse I, wozu etwa Antiviren-Software und Netzwerkkomponenten gehören. Die darauf folgende Kategorie der Klasse II betrifft wichtige und hoch sicherheitsrelevante Produkte, deren Manipulation zudem auch weitreichende Folgen für andere digitale Produkte hätte.

In die Kategorie der Klasse III fallen unter anderem industrielle Firewalls. Die letzte und höchste Stufe bildet die Kategorie der Klasse IV, die insbesondere für Produkte gilt, welche im Bereich kritischer Infrastrukturen (KRITIS) wichtige Sicherheitsfunktionen einnehmen. Dazu gehören zum Beispiel Smart-Metering-Gateways, die es ermöglichen, Energieflüsse in Echtzeit zu messen und zu steuern.

OT- und IT-Sicherheit in Einklang bringen

Was die für Deutschland so wichtige Fertigungsindustrie angeht, soll der Cyber Resilience Act (CRA) vor allem auch dazu beitragen, die IT- und OT-Sicherheit zu stärken. Damit folgt das Gesetz, das nach Zustimmung durch den Europäischen Rat bis 2027 EU-weit wirksam werden soll, praktisch dem was Konzerne wie VINCI Energies bereits vor Jahren erkannt haben. Denn um die vielfach noch vernachlässigte Sicherheit der Betriebstechnik (OT) auf ein vergleichbares Level mit der IT-Sicherheit zu bringen und entsprechende Lösungen auszuarbeiten, hat das französische Unternehmen zusammen mit den Tochtergesellschaften Axians, Actemium und Omexom 2021 in Basel ein eigenes IT & OT Security Operations Center eröffnet.

Die drei führenden Dienstleister mit den jeweiligen Schwerpunkten ICT/ITK-, Industrie- und Infrastrukturlösungen entwickeln dort gemeinsame Konzepte und zeigen entsprechende Möglichkeiten auf, die IT- und OT-Sicherheit zusammenzuführen und somit insgesamt zu stärken. Weitere Informationen über die erfolgreichen Zusammenarbeit speziell von Axians und Actemium im Bereich der OT Security finden Sie hier.

Die Umsetzung des CRA in der Praxis

Harmonisierte Standards sind im vorliegenden Entwurf des CRA noch nicht endgültig festgelegt. In Industriekreisen geht man aber davon aus, dass die Normenreihe IEC 62443, „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ betreffend, eine hohe Relevanz für die Erfüllung des CRA haben wird. Denn in den vier Teilbereichen der Norm sind grundsätzliche Begriffe, Konzepte und Modelle sowie Vorgehensweisen und Vorgaben für die Sicherung von Steuerungs- und Automatisierungslösungen definiert, wie aus einem Gastbeitrag in Industrielle Automation hervorgeht. Da heißt es auch, dass nach einer dreijährigen Übergangsfrist alle Produkte mit CE- Kennzeichen zwingend den CRA erfüllen müssen.

Das dürfte bis dahin einige Unternehmen noch vor mehr oder weniger große Herausforderungen stellen. Vor allem, da zeitgleich weitere Cybersicherheitsregularien auf sie zukommen, wie der Digital Chiefs Experte Alain De Pauw in diesem Beitrag zeigt. Der Divisionsleiter Security bei Axians Schweiz geht dabei besonders auch auf die NIS2-Richtlinie für die Netzwerk- und Informationssicherheit im KRITIS-Umfeld ein. Diese bringt nahezu zeitgleich mit dem CRA verschärfte Anforderungen für Unternehmen mit sich.

Anforderungen des CRA an Hersteller
Der CRA verpflichtet Hersteller von Produkten mit digitalen Elementen, bestimmte Anforderungen an die Cybersicherheit zu erfüllen. Bildquelle: Adobe Stock / Anastasiia

Business-, IT- und OT-Verantwortliche finden die jetzt notwendige Unterstützung bei der Umsetzung der neuen gesetzlichen Anforderungen bei IT-Dienstleistern wie Axians. Mehr zu den umfassenden Cybersecurity-Leistungen von Axians erfahren Sie hier.

 

Quelle Titelbild: Adobe Stock / Bijac

Diesen Beitrag teilen:

Weitere Beiträge

10.10.2024

Innovative Lösungen für IT- und OT-Sicherheit auf der it-sa 2024 interaktiv erleben

Redaktion Digital Chiefs

Vom 22. bis 24. Oktober 2024 versammelt sich die IT-Sicherheitsbranche in Nürnberg zur it-sa Expo ...

Zum Beitrag
08.10.2024

Vor allem Großunternehmen setzen verstärkt auf KI

Redaktion Digital Chiefs

Die deutsche Wirtschaft liegt beim Einsatz künstlicher Intelligenz im europäischen Mittelfeld. Besonders ...

Zum Beitrag
02.10.2024

Forschungscampus für Offshore-Drohnen entsteht in Cuxhaven

Redaktion Digital Chiefs

Wartungsarbeiten an Offshore-Windanlagen sind oft sehr gefährlich und stark wetterabhängig. Drohnen ...

Zum Beitrag
01.10.2024

Neue Abfallverbringungsverordnung der EU: Pflicht für elektronische Datenübermittlung kommt

Marcus Fichte

Der grenzüberschreitende Transport von Abfällen innerhalb der EU ist bislang eine bürokratische Mammutaufgabe ...

Zum Beitrag
25.09.2024

Cyberangriffe auf deutsche Wirtschaft nehmen zu

Redaktion Digital Chiefs

Dem Branchenverband Bitkom zufolge wird die deutsche Wirtschaft zunehmend zum Spielball von privat ...

Zum Beitrag
19.09.2024

Smart City Index 2024: München bleibt an der Spitze, Bochum rückt auf, Nürnberg stürzt ab

Redaktion Digital Chiefs

München hat im neuen Smart City Index des Branchenverbands Bitkom den Vorsprung gegenüber Hamburg ...

Zum Beitrag