17.09.2024

Von manchen schon als neues Brüsseler Bürokratiemonster kritisiert, zielt der Cyber Resilience Act (CRA) der EU als neuer Schutzschirm für vernetzte Hardware und Software unter anderem darauf, die wichtige IT- undOT-Sicherheit in der Industrie zu stärken. Welche Auswirkungen kommen konkret auf Unternehmen zu?

Die zunehmende Vernetzung von Geräten und Maschinen ist einerseits ein Segen, weil sie beruflich wie auch privat Vieles erleichtert und enorme Chancen für Wirtschaft und Gesellschaft bietet. Andererseits erhöht sie auch die Cyberrisiken, weil sie Hackern oft Tür und Tor öffnet. Um die IT-Sicherheit zu stärken, hat die Europäische Union als eine von mehreren Maßnahmen daher den Cyber Resilience Act (CRA) auf den Weg gebracht. Ziel ist es, vernetzte Produkte einschließlich Industriemaschinen über den gesamten Lebenszyklus vor unberechtigtem Zugriff und Manipulation zu schützen. Damit sind für Hersteller und Händler eine Reihe neuer Vorgaben verbunden.

Stufenweise Regulierung mit Augenmaß

Dabei sollen aber gewisse Abstufungen gelten, um die Entwicklung und Nutzung von Technologien nicht zu behindern. Daher unterscheidet der CRA zwischen verschiedenen Kategorien oder Klassen. 90 Prozent der Endgeräte und Softwarekomponenten dürften laut Security Insider in die Standardkategorie fallen, die keine sicherheitsrelevanten Aufgaben erfüllen. Gemeint sind etwa Smart-TVs, Smartphones, Social-Media-Apps und vernetzte Haushaltsgeräte.

Klassifizierung durch den CRA
Der CRA klassifiziert sicherheitsrelevante Produkte in zwei Stufen. Bildquelle: Adobe Stock / Zenturio Designs

Strengere Auflagen und Prüfmechanismen gelten für wichtige cybersicherheitsrelevante Produkte der Klasse I, wozu etwa Antiviren-Software und Netzwerkkomponenten gehören. Die darauf folgende Kategorie der Klasse II betrifft wichtige und hoch sicherheitsrelevante Produkte, deren Manipulation zudem auch weitreichende Folgen für andere digitale Produkte hätte.

In die Kategorie der Klasse III fallen unter anderem industrielle Firewalls. Die letzte und höchste Stufe bildet die Kategorie der Klasse IV, die insbesondere für Produkte gilt, welche im Bereich kritischer Infrastrukturen (KRITIS) wichtige Sicherheitsfunktionen einnehmen. Dazu gehören zum Beispiel Smart-Metering-Gateways, die es ermöglichen, Energieflüsse in Echtzeit zu messen und zu steuern.

OT- und IT-Sicherheit in Einklang bringen

Was die für Deutschland so wichtige Fertigungsindustrie angeht, soll der Cyber Resilience Act (CRA) vor allem auch dazu beitragen, die IT- und OT-Sicherheit zu stärken. Damit folgt das Gesetz, das nach Zustimmung durch den Europäischen Rat bis 2027 EU-weit wirksam werden soll, praktisch dem was Konzerne wie VINCI Energies bereits vor Jahren erkannt haben. Denn um die vielfach noch vernachlässigte Sicherheit der Betriebstechnik (OT) auf ein vergleichbares Level mit der IT-Sicherheit zu bringen und entsprechende Lösungen auszuarbeiten, hat das französische Unternehmen zusammen mit den Tochtergesellschaften Axians, Actemium und Omexom 2021 in Basel ein eigenes IT & OT Security Operations Center eröffnet.

Die drei führenden Dienstleister mit den jeweiligen Schwerpunkten ICT/ITK-, Industrie- und Infrastrukturlösungen entwickeln dort gemeinsame Konzepte und zeigen entsprechende Möglichkeiten auf, die IT- und OT-Sicherheit zusammenzuführen und somit insgesamt zu stärken. Weitere Informationen über die erfolgreichen Zusammenarbeit speziell von Axians und Actemium im Bereich der OT Security finden Sie hier.

Die Umsetzung des CRA in der Praxis

Harmonisierte Standards sind im vorliegenden Entwurf des CRA noch nicht endgültig festgelegt. In Industriekreisen geht man aber davon aus, dass die Normenreihe IEC 62443, „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ betreffend, eine hohe Relevanz für die Erfüllung des CRA haben wird. Denn in den vier Teilbereichen der Norm sind grundsätzliche Begriffe, Konzepte und Modelle sowie Vorgehensweisen und Vorgaben für die Sicherung von Steuerungs- und Automatisierungslösungen definiert, wie aus einem Gastbeitrag in Industrielle Automation hervorgeht. Da heißt es auch, dass nach einer dreijährigen Übergangsfrist alle Produkte mit CE- Kennzeichen zwingend den CRA erfüllen müssen.

Das dürfte bis dahin einige Unternehmen noch vor mehr oder weniger große Herausforderungen stellen. Vor allem, da zeitgleich weitere Cybersicherheitsregularien auf sie zukommen, wie der Digital Chiefs Experte Alain De Pauw in diesem Beitrag zeigt. Der Divisionsleiter Security bei Axians Schweiz geht dabei besonders auch auf die NIS2-Richtlinie für die Netzwerk- und Informationssicherheit im KRITIS-Umfeld ein. Diese bringt nahezu zeitgleich mit dem CRA verschärfte Anforderungen für Unternehmen mit sich.

Anforderungen des CRA an Hersteller
Der CRA verpflichtet Hersteller von Produkten mit digitalen Elementen, bestimmte Anforderungen an die Cybersicherheit zu erfüllen. Bildquelle: Adobe Stock / Anastasiia

Business-, IT- und OT-Verantwortliche finden die jetzt notwendige Unterstützung bei der Umsetzung der neuen gesetzlichen Anforderungen bei IT-Dienstleistern wie Axians. Mehr zu den umfassenden Cybersecurity-Leistungen von Axians erfahren Sie hier.

 

Quelle Titelbild: Adobe Stock / Bijac

Diesen Beitrag teilen:

Weitere Beiträge

13.02.2025

Augmented Reality besonders bei jungen Deutschen immer beliebter

Redaktion Digital Chiefs

Auch wenn sich der Einsatz noch meist auf Kamerafilter für lustige Einblendungen in Videochats beschränkt, ...

Zum Beitrag
11.02.2025

5 Gründe, weshalb Glasfaser für Deutschlands digitale Zukunft unverzichtbar ist

Henry Frey

Beim Streaming stockt das Video an den wichtigsten Stellen, im Home Office bricht die Verbindung bei ...

Zum Beitrag
05.02.2025

CES: Nivida stellt KI-Kraftpaket in Mini-Form vor

Redaktion Digital Chiefs

Auf der CES 2025 in Las Vegas hat Nvidia unter anderem einen Mini-Computer mit Hochleistungskomponenten ...

Zum Beitrag
04.02.2025

Auch für B2B interessant: Rückblick auf die CES 2025

Redaktion Digital Chiefs

Die Consumer Electronics Show kurz CES in Las Vegas ist dem Namen nach eher eine B2C-Messe. Sie überrascht ...

Zum Beitrag
29.01.2025

Das europäische KI-Modell „Teuken-7B“: Multilingual und Open Source

Redaktion Digital Chiefs

Seit Ende November 2024 steht erstmals ein innerhalb der EU entwickeltes Open-Source-KI-Sprachmodell ...

Zum Beitrag