Der Cyber Resilience Act soll unter anderem im Maschinenbau mehr Cybersecurity ermöglichen.

Der Cyber Resilience Act soll unter anderem im Maschinenbau mehr Cybersecurity ermöglichen. (Bild: Dalle 3 / OpenAI)

Kern des Cyber Resilience Act (CRA) ist die Forderung nach einer erhöhten Cybersicherheit für alle Produkte mit digitalen Elementen. Das beinhaltet Software, Hardware und auch IOT-Geräte – also alles, was mit anderen Produkten kommunizieren kann.

Für Hersteller von Verpackungsmaschinen bedeutet dies, dass sie sicherstellen müssen, dass ihre Produkte von der Entwicklungsphase an bis hin zum Lebenszyklusende den geforderten Sicherheitsstandards entsprechen. Dies umfasst nicht nur die physische Sicherheit der Maschinen, sondern auch die Absicherung gegen Cyberangriffe und Datenlecks.

Ein zentraler Aspekt des Gesetzes ist die Risikobewertung: Hersteller müssen die potenziellen Cyberrisiken ihrer Produkte evaluieren und Maßnahmen zur Risikominderung ergreifen. Dies beinhaltet regelmäßige Updates und Patches, um Schwachstellen zu beheben und die Produkte auf dem neuesten Stand der Sicherheitstechnik zu halten.

Was sind die Kernpunkte des Cyber Resilience Act?

  • Sicherheitsanforderungen für digitale Produkte: Der Act legt grundlegende Sicherheitsanforderungen für alle Produkte mit digitalen Elementen fest. Dies umfasst Hardware und Software, die in der Europäischen Union verkauft werden.
  • Risikomanagement: Hersteller müssen ein Risikomanagement-System einrichten, um potenzielle Cybersecurity-Risiken zu identifizieren, zu bewerten und zu mindern.
  • Sicherheitsaktualisierungen: Der Act fordert, dass Hersteller über die komplette zu erwartende Lebensdauer eines Produktes (mindestens aber fünf Jahre) regelmäßige Updates bereitstellen, um Sicherheitslücken zu schließen und die Geräte sicherzuhalten.
  • Transparenz und Konformität: Transparenz und Konformität: Hersteller müssen Informationen über die Sicherheitseigenschaften ihrer Produkte bereitstellen und eine Konformitätserklärung ausstellen, um die Einhaltung der Vorschriften zu bestätigen.
  • Meldepflicht: Unternehmen müssen bekanntgewordene ausgenutzte Schwachstellen binnen 24 Stunden melden.
  • Marktüberwachung: Stärkung der Marktüberwachung durch die Mitgliedstaaten, um die Einhaltung der Vorschriften sicherzustellen.

Wann tritt der Cyber Resilience Act in Kraft?

Der CRA soll voraussichtlich im dritten Quartal 2024 in Kraft treten. Danach haben Unternehmen drei Jahre Zeit, um sich an die neuen Regeln anzupassen. Die Hersteller werden jedoch nur 21 Monate Zeit haben, um sich mit den Anforderungen für die Meldung von Vorfällen und Schwachstellen vertraut zu machen.

Es ist wichtig zu beachten, dass der CRA neue Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten einführt. Dies beinhaltet eine Vielzahl von Hardware- und Softwareprodukten. Die Produkte müssen von Anfang an unter Berücksichtigung der Sicherheit entworfen und entwickelt werden, um bekannte Schwachstellen zu mindern und potenzielle Risiken anzugehen. Hersteller sind verantwortlich für die Planung, Gestaltung, Entwicklung und Wartung ihrer Produkte, um deren Sicherheit über den gesamten Lebenszyklus hinweg zu gewährleisten. Dies bedeutet effektiv, dass sie Sicherheitsunterstützung für mindestens fünf Jahre bereitstellen müssen.

Unternehmen, deren Produkte in diese Kategorien fallen, müssen daher ein hohes Maß an Cybersicherheit während des gesamten Produktlebenszyklus gewährleisten. Dazu gehört auch, dass Sicherheitsaspekte von Anfang an in den Entwicklungsprozess neuer Produkte integriert werden, ein Konzept, das als „Security by Design“ bezeichnet wird. Ebenso müssen Produkte während der Lieferung, Wartung und Entsorgung sicher bleiben. Umfassende Dokumentationen regelmäßig durchgeführter Risikobewertungen sind obligatorisch, und ausgenutzte Schwachstellen müssen innerhalb eines Zeitraums von 24 Stunden gemeldet werden.

Welche Komponenten sind von der EU-Verordnung betroffen?

Im Bereich des Maschinenbaus können mehrere Komponenten und Systeme vom CRA betroffen sein, insbesondere solche, die digitale Elemente enthalten oder mit Netzwerken verbunden sind. Zu diesen Komponenten und Systemen gehören:

  • Industrielle Steuerungssysteme: Dazu zählen Systeme wie SCADA (Supervisory Control and Data Acquisition), die zur Steuerung von Produktionsprozessen eingesetzt werden. Diese Systeme sind oft zentral für die Funktion von Industrieanlagen und können daher als kritisch eingestuft werden.
  • Vernetzte Geräte und Sensoren: Im Maschinenbau werden zunehmend IOT-Geräte (Internet of Things) wie Sensoren und Aktuatoren eingesetzt, die Daten erfassen und übermitteln. Diese Geräte sind oft vernetzt und könnten potenzielle Ziele für Cyberangriffe sein.
  • Automatisierungssysteme: Automatisierte Produktionslinien und Roboter, die in der Fertigung eingesetzt werden, enthalten häufig digitale Komponenten und Software, die unter den CRA fallen könnten.
  • Kommunikationssysteme: Systeme, die zur Kommunikation zwischen verschiedenen Maschinen und Anlagenteilen verwendet werden, können ebenfalls betroffen sein, insbesondere wenn sie über das Internet oder andere Netzwerke kommunizieren.
  • Software und Anwendungen: Software, die in der Maschinensteuerung, für die Datenanalyse oder für die Überwachung von Produktionsprozessen verwendet wird, fällt möglicherweise unter die Bestimmungen des CRA.
  • Fernwartungs- und Fernüberwachungssysteme: Solche Systeme, die zur Überwachung und Wartung von Maschinen aus der Ferne eingesetzt werden, können ebenfalls relevant sein, da sie oft über Netzwerkverbindungen betrieben werden.

Die spezifischen Anforderungen des CRA an diese Komponenten und Systeme hängen von ihrer Einstufung in Bezug auf das Risiko und die Sicherheitsrelevanz ab. Produkte in höheren Sicherheitskategorien, die eine größere Rolle in der Sicherheitsinfrastruktur spielen, unterliegen strengeren Anforderungen, einschließlich der Notwendigkeit externer Konformitätsprüfungen.

Es ist wichtig für Unternehmen im Maschinenbau, die genaue Anwendbarkeit und die spezifischen Anforderungen des CRA auf ihre Produkte und Systeme zu bewerten und entsprechende Maßnahmen zu ergreifen, um die Konformität sicherzustellen.

Wie klassifiziert der CRA kritische Produkte?

Der CRA der Europäischen Union klassifiziert Produkte mit digitalen Elementen in verschiedene Sicherheitskategorien, abhängig von ihrer Relevanz für die Cybersicherheit. Dabei wird zwischen nicht kritischen Produkten und kritischen Produkten der Klasse I und Klasse II unterschieden.

Kritische Produkte der Klasse I umfassen Geräte wie Browser und Passwort-Manager, die eine wichtige Rolle in der Sicherheitsinfrastruktur spielen und daher strengeren Anforderungen unterliegen. Für diese Produkte ist es oft notwendig, eine Konformitätsprüfung durch externe Stellen durchführen zu lassen oder harmonisierte Standards zu verwenden.

Produkte der Klasse II sind noch höher eingestuft und beinhalten beispielsweise Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser. Diese Produkte, die in industriellen Kontexten eingesetzt werden, wie SCADA-Systeme (Supervisory Control and Data Acquisition) für die Steuerung von Produktionsprozessen, erfordern zwingend eine externe Prüfung ihrer Sicherheitsstandards.

Produkte, die für die Sicherheit kritischer Infrastrukturen von Bedeutung sind, gehören der Klasse IIIa an, sie unterliegen einem noch einmal verschärften Zertifizierungssystem.

Konformität Voraussetzung für weiteren Marktzugang

Für Verpackungsmaschinenbauer ist es entscheidend, diesen neuen Anforderungen gerecht zu werden, um den Zugang zum europäischen Markt zu erhalten und zu bewahren. Nichtkonformität kann künftig zu Sanktionen führen, einschließlich Bußgeldern, das bis zu 15 Mio. Euro oder bis zu 2,5 % des weltweiten Jahresumsatzes des Unternehmens für das vorangegangene Geschäftsjahr belaufen kann, und dem Verbot, die betreffenden Produkte auf dem Markt anzubieten. Darüber hinaus spielt die Einhaltung dieser Vorschriften eine wichtige Rolle beim Aufbau und Erhalt des Vertrauens bei Kunden und Partnern.

Neben den rechtlichen Aspekten bietet der CRA aber auch Chancen für Innovation und Wettbewerbsvorteile. Denn Unternehmen, die in fortschrittliche Cyber-Sicherheitsmaßnahmen investieren, können sich als Marktführer positionieren und das Vertrauen ihrer Kunden stärken. Dies gilt insbesondere für Industriesektoren wie den des Verpackungsmaschinenbaus, in dem Sicherheit und Zuverlässigkeit entscheidende Faktoren sind.

Quellen:

PWC, DIHK, Reflectiz, SGS

INTERVIEW

Dr. Oliver Hanka
Dr. Oliver Hanka (Bild: PWC Germany)

mit Dr. Oliver Hanka, Experte für Cyber Security & Privacy, Partner bei PWC Germany

neue verpackung: Herr Dr. Hanka, welche spezifischen Sicherheitsanforderungen stellt der Cyber Resilience Act an Produkte und Systeme im Maschinenbau? Und wie können Unternehmen sicherstellen, dass ihre Produkte diese Anforderungen erfüllen?

Dr. Oliver Hanka: Der EU Cyber Resilience Act (CRA) stellt spezifische Sicherheitsanforderungen an Produkte und Systeme im Maschinenbau, insbesondere für solche mit digitalen Elementen. Von Beginn des Entwicklungs- und Designprozesses an ist ein umfassendes Risikobewertungsverfahren erforderlich, das sowohl eigene als auch zugelieferte Komponenten berücksichtigt. Um die Einhaltung dieser Anforderungen zu gewährleisten, müssen Hersteller folgende Maßnahmen ergreifen:

  • Durchführung von Gefährdungs- und Risikoanalysen
  • Integration geeigneter Schutzmaßnahmen in das Produkt
  • Bereitstellung relevanter Sicherheitsinformationen wie Konformitätserklärungen, Richtlinien für den sicheren Betrieb, Beschreibung der Sicherheitsfunktionen und -maßnahmen sowie eine Software-Bill-of-Materials (SBOM)
  • Gewährleistung des Sicherheitssupports über die gesamte Lebensdauer des Produktes, mindestens jedoch fünf Jahre, durch kostenlose Sicherheitsupdates
  • Erfüllung der Meldepflichten bei Kenntnisnahme ausgenutzter Schwachstellen
  • Je nach Kritikalitätsklasse des Produkts kann die Einhaltung des CRA intern festgestellt und dokumentiert, durch die vollständige Erfüllung eines anerkannten, homogenisierten Standards, durch eine externe Prüfstelle oder durch ein von der ENISA (European Union Agency for Cybersecurity) zugelassenes Cyber Security Certification Scheme nachgewiesen werden.

neue verpackung: Welche Zertifizierungen oder Standards können Unternehmen dabei unterstützen, die Compliance mit dem CRA nachzuweisen? Wie könnte ein Zertifizierungsprozess aussehen?

Hanka: Um zu zeigen, dass sie den CRA einhalten, können Unternehmen bestimmte Sicherheitsstandards und Zertifizierungen nutzen. Diese Standards sind Richtlinien, die helfen, Produkte sicher zu gestalten. Auch wenn die genauen Standards, die für den CRA gelten, noch festgelegt werden müssen, sind viele Unternehmen bereits gut darauf vorbereitet, wenn ihre Produkte den bekannten Standards IEC 62443 oder Common Criteria entsprechen. Diese Standards decken den gesamten Lebenszyklus eines Produkts ab und sind somit eine gute Grundlage für die CRA-Konformität.

neue verpackung: Wie beeinflusst der CRA den Entwicklungsprozess neuer Maschinen und Anlagen? Gibt es vielleicht bereits Best Practices beziehungsweise Handlungsempfehlungen für die Integration von Cybersicherheitsmaßnahmen in den Entwicklungsprozess?

Hanka: Der CRA verlangt, dass Unternehmen bereits in der Entwicklungsphase ihrer Maschinen und Anlagen Cybersicherheit berücksichtigen. Dies bedeutet, dass von Anfang an Risiken bewertet und Maßnahmen zur Risikominderung integriert werden müssen. Standards wie der bereits erwähnte IEC 62443 oder Common Criteria bieten eine gute Grundlage, um diese Anforderungen zu erfüllen. Es ist wichtig, dass diese Risikobewertungen und die daraus resultierenden Sicherheitsmaßnahmen dokumentiert werden, um zu zeigen, dass das Endprodukt sicher ist.

neue verpackung: Welche Auswirkungen hat der CRA auf international tätige Unternehmen im Maschinenbau? Gibt es Abstimmungsbedarf mit Regelungen in anderen Ländern?

Hanka: Für international tätige Unternehmen im Maschinenbau hat der CRA weitreichende Auswirkungen, da es international noch keine vergleichbaren umfassenden Regelungen gibt. Jedoch können bestehende branchenspezifische Standards eine gute Basis bieten. Produkte, die den Anforderungen des CRA entsprechen, sind wahrscheinlich auch gut für die Erfüllung anderer Standards gerüstet, wobei nur geringfügige Anpassungen für spezifische regionale Anforderungen notwendig sein dürften. Für internationale Unternehmen, die ihre Produkte im europäischen Markt verkaufen möchten, gelten dieselben CRA-Regeln, unabhängig vom Ort der Entwicklung oder Produktion. Entscheidend ist der Verkauf innerhalb des Europäischen Marktes.

Packaging Machinery Conference 2025 – jetzt anmelden

Logo der Packaging Machinery Conference
(Bild: Hüthig Medien)

Nach der erfolgreichen Erstausgabe der Packaging Machinery Conference am 11. und 12. Juni 2024 stand schnell fest, dass unsere Veranstaltung für den Verpackungsmaschinenbau in die zweite Runde geht. Und zwar am 03. und 04. Juni 2025 in München.

Während Sie diese Zeilen lesen, sind wir eifrig dabei das Programm zu erstellen und spannende Referentinnen und Referenten zu verpflichten.

Details folgen also in Kürze – profitieren können Sie bereits jetzt: Denn wer sich jetzt bereits entschließt, Teil der Packaging Machinery Conference 2025 zu werden, zahlt für das zweitägige Event nur 1.049 Euro (reguläres Standardticket: 1.249 Euro).

Infos zur Veranstaltung, inklusive Rückblick und Anmeldung für 2025 gibt es hier.

Sie möchten gerne weiterlesen?