Der Cyber Resilience Act soll unter anderem im Maschinenbau mehr Cybersecurity ermöglichen.

Der Cyber Resilience Act soll unter anderem im Maschinenbau mehr Cybersecurity ermöglichen. (Bild: Dalle 3 / OpenAI)

Kern des Cyber Resilience Act (CRA) ist die Forderung nach einer erhöhten Cyber-Sicherheit für alle Produkte mit digitalen Elementen. Das beinhaltet Software, Hardware und auch IoT-Geräte – also alles, was mit anderen Produkten kommunizieren kann.

Für Hersteller von Verpackungsmaschinen bedeutet dies, dass sie sicherstellen müssen, dass ihre Produkte von der Entwicklungsphase an bis hin zum Lebenszyklusende den geforderten Sicherheitsstandards entsprechen. Dies umfasst nicht nur die physische Sicherheit der Maschinen, sondern auch die Absicherung gegen Cyberangriffe und Datenlecks.

Ein zentraler Aspekt des Gesetzes ist die Risikobewertung: Hersteller müssen die potenziellen Cyber-Risiken ihrer Produkte evaluieren und Maßnahmen zur Risikominderung ergreifen. Dies beinhaltet regelmäßige Updates und Patches, um Schwachstellen zu beheben und die Produkte auf dem neuesten Stand der Sicherheitstechnik zu halten.

Was sind die Kernpunkte des Cyber Resilience Act?

  • Sicherheitsanforderungen für Digitale Produkte: Der Act legt grundlegende Sicherheitsanforderungen für alle Produkte mit digitalen Elementen fest. Dies umfasst Hardware und Software, die in der Europäischen Union verkauft werden.
  • Risikomanagement: Hersteller müssen ein Risikomanagement-System einrichten, um potenzielle Cybersecurity-Risiken zu identifizieren, zu bewerten und zu mindern.
  • Sicherheitsaktualisierungen: Der Act fordert, dass Hersteller regelmäßige Updates bereitstellen, um Sicherheitslücken zu schließen und die Geräte sicher zu halten.
  • Transparenz und Konformität: Hersteller müssen Informationen über die Sicherheitseigenschaften ihrer Produkte bereitstellen und eine Konformitätserklärung ausstellen, um die Einhaltung der Vorschriften zu bestätigen.
  • Marktüberwachung: Stärkung der Marktüberwachung durch die Mitgliedstaaten, um die Einhaltung der Vorschriften sicherzustellen.

Wann tritt der Cyber Resilience Act in Kraft?

Der CRA soll voraussichtlich im dritten Quartal 2024 in Kraft treten. Danach haben Unternehmen drei Jahre Zeit, um sich an die neuen Regeln anzupassen. Die Hersteller werden jedoch nur 21 Monate Zeit haben, um sich mit den Anforderungen für die Meldung von Vorfällen und Schwachstellen vertraut zu machen.

Es ist wichtig zu beachten, dass der CRA neue Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten einführt. Dies beinhaltet eine Vielzahl von Hardware- und Softwareprodukten. Die Produkte müssen von Anfang an unter Berücksichtigung der Sicherheit entworfen und entwickelt werden, um bekannte Schwachstellen zu mindern und potenzielle Risiken anzugehen. Hersteller sind verantwortlich für die Planung, Gestaltung, Entwicklung und Wartung ihrer Produkte, um deren Sicherheit über den gesamten Lebenszyklus hinweg zu gewährleisten. Dies bedeutet effektiv, dass sie Sicherheitsunterstützung für mindestens fünf Jahre bereitstellen müssen.

Unternehmen, deren Produkte in diese Kategorien fallen, müssen daher ein hohes Maß an Cybersicherheit während des gesamten Produktlebenszyklus gewährleisten. Dazu gehört auch, dass Sicherheitsaspekte von Anfang an in den Entwicklungsprozess neuer Produkte integriert werden, ein Konzept, das als „Security by Design“ bezeichnet wird. Ebenso müssen Produkte während der Lieferung, Wartung und Entsorgung sicher bleiben. Umfassende Dokumentationen regelmäßig durchgeführter Risikobewertungen sind obligatorisch, und ausgenutzte Schwachstellen müssen innerhalb eines Zeitraums von 24 Stunden gemeldet werden.

Welche Komponenten sind von der EU-Verordnung betroffen?

Im Bereich des Maschinenbaus können mehrere Komponenten und Systeme vom CRA betroffen sein, insbesondere solche, die digitale Elemente enthalten oder mit Netzwerken verbunden sind. Zu diesen Komponenten und Systemen gehören:

  • Industrielle Steuerungssysteme: Dazu zählen Systeme wie SCADA (Supervisory Control and Data Acquisition), die zur Steuerung von Produktionsprozessen eingesetzt werden. Diese Systeme sind oft zentral für die Funktion von Industrieanlagen und können daher als kritisch eingestuft werden.
  • Vernetzte Geräte und Sensoren: Im Maschinenbau werden zunehmend IoT-Geräte (Internet of Things) wie Sensoren und Aktuatoren eingesetzt, die Daten erfassen und übermitteln. Diese Geräte sind oft vernetzt und könnten potenzielle Ziele für Cyberangriffe sein.
  • Automatisierungssysteme: Automatisierte Produktionslinien und Roboter, die in der Fertigung eingesetzt werden, enthalten häufig digitale Komponenten und Software, die unter den CRA fallen könnten.
  • Kommunikationssysteme: Systeme, die zur Kommunikation zwischen verschiedenen Maschinen und Anlagenteilen verwendet werden, können ebenfalls betroffen sein, insbesondere wenn sie über das Internet oder andere Netzwerke kommunizieren.
  • Software und Anwendungen: Software, die in der Maschinensteuerung, für die Datenanalyse oder für die Überwachung von Produktionsprozessen verwendet wird, fällt möglicherweise unter die Bestimmungen des CRA.
  • Fernwartungs- und Fernüberwachungssysteme: Solche Systeme, die zur Überwachung und Wartung von Maschinen aus der Ferne eingesetzt werden, können ebenfalls relevant sein, da sie oft über Netzwerkverbindungen betrieben werden.

Die spezifischen Anforderungen des CRA an diese Komponenten und Systeme hängen von ihrer Einstufung in Bezug auf das Risiko und die Sicherheitsrelevanz ab. Produkte in höheren Sicherheitskategorien, die eine größere Rolle in der Sicherheitsinfrastruktur spielen, unterliegen strengeren Anforderungen, einschließlich der Notwendigkeit externer Konformitätsprüfungen.

Es ist wichtig für Unternehmen im Maschinenbau, die genaue Anwendbarkeit und die spezifischen Anforderungen des CRA auf ihre Produkte und Systeme zu bewerten und entsprechende Maßnahmen zu ergreifen, um die Konformität sicherzustellen.

Wie klassifiziert der CRA kritische Produkte?

Der CRA der Europäischen Union klassifiziert Produkte mit digitalen Elementen in verschiedene Sicherheitskategorien, abhängig von ihrer Relevanz für die Cybersicherheit. Dabei wird zwischen nicht kritischen Produkten und kritischen Produkten der Klasse I und Klasse II unterschieden.

Kritische Produkte der Klasse I umfassen Geräte wie Browser und Passwort-Manager, die eine wichtige Rolle in der Sicherheitsinfrastruktur spielen und daher strengeren Anforderungen unterliegen. Für diese Produkte ist es oft notwendig, eine Konformitätsprüfung durch externe Stellen durchführen zu lassen oder harmonisierte Standards zu verwenden.

Produkte der Klasse II sind noch höher eingestuft und beinhalten beispielsweise Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser. Diese Produkte, die in industriellen Kontexten eingesetzt werden, wie SCADA-Systeme (Supervisory Control and Data Acquisition) für die Steuerung von Produktionsprozessen, erfordern zwingend eine externe Prüfung ihrer Sicherheitsstandards. Zudem fallen Produkte unter dieser Kategorie, die Komponenten beinhalten, die für die Sicherheit kritischer Infrastrukturen von Bedeutung sind und müssen, sofern verfügbar, ein spezifisches Zertifizierungssystem nutzen.

Konformität Voraussetzung für weiten Marktzugang

Für Verpackungsmaschinenbauer ist es entscheidend, diesen neuen Anforderungen gerecht zu werden, um den Zugang zum europäischen Markt zu erhalten und zu bewahren. Nichtkonformität kann künftig zu Sanktionen führen, einschließlich Bußgeldern und dem Verbot, die betreffenden Produkte auf dem Markt anzubieten. Darüber hinaus spielt die Einhaltung dieser Vorschriften eine wichtige Rolle beim Aufbau und Erhalt des Vertrauens bei Kunden und Partnern.
Neben den rechtlichen Aspekten bietet der CRA aber auch Chancen für Innovation und Wettbewerbsvorteile. Denn Unternehmen, die in fortschrittliche Cyber-Sicherheitsmaßnahmen investieren, können sich als Marktführer positionieren und das Vertrauen ihrer Kunden stärken. Dies gilt insbesondere für den Industriesektoren wie den des Verpackungsmaschinenbaus, in dem Sicherheit und Zuverlässigkeit entscheidende Faktoren sind.

Quellen:

PWC, DIHK, Reflectiz, SGS

Packaging Machinery Conference

Logo der Packaging Machinery Conference
(Bild: Hüthig Medien)

Der deutsche Verpackungsmaschinenbau ist Weltklasse und konnte im Jahr 2023 wieder zweistellig beim Export zulegen. Trotzdem steht die Branche unter Druck: Auf nationaler Ebene beschäftigen die Unternehmen steigende Energiepreise und ein sich ständig verschärfender Fach- und Arbeitskräftemangel, global führen Konflikte und Protektionismus zu Investitionszurückhaltungen.

Und dies in einer Phase, in der aller Fokus auf Transformation liegen müsste: Digitalisierung und Nachhaltigkeit führen zu Veränderungen mit teils disruptivem Charakter.

Mit welchen Strategien und Geschäftsmodellen kann der Verpackungsmaschinenbau seine Spitzenposition halten und welche Rahmenbedingungen sind hierfür auf nationaler sowie europäischer Ebene nötig?

Seien Sie mit dabei, wenn Spitzenkräfte der Industrie und Experten am 11. und 12. Juni in München auf der Packaging Machinery Conference diese und weitere Fragestellungen diskutieren: https://www.packaging-machinery-conference.de/

Sie möchten gerne weiterlesen?