Pilz: Wie Unternehmen den Cyber Resilience Act vorbereiten können

Bereits während der Konzeption, Entwicklung und Herstellung ihrer Produkte müssen Maschinenhersteller grundlegende Vorgaben des CRA erfüllen – und für die erwartete Nutzungsdauer der Produkte gewährleisten. Pilz unterstützt bei der Umsetzung.

Der Cyber Resilience Act (CRA) wurde kürzlich im Amtsblatt der EU veröffentlicht. Die Verordnung enthält Vorgaben an die Cybersicherheit von Produkten mit digitalen Elementen. 36 Monate haben betroffene Unternehmen nun Zeit, die im CRA enthaltenen Anforderungen umzusetzen. Bestimmte Meldepflichten sind bereits in den nächsten 21 Monaten zu erfüllen. Wer genau steht in der Pflicht? Und was wird im CRA gefordert?

EU-Rechtsakt zur Cyberresilienz: Das Ziel des CRA ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen. Der CRA umfasst dafür eine Vielzahl an Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Dies schließt Hard- und Softwareprodukte mit ein. Betroffen sind also Produkte sowohl aus dem B2C-Bereich, wie etwa Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme.

Die wichtigsten Anforderungen für Maschinenhersteller:

• Risikobewertung und -gewährleistung: Hersteller müssen Produkte so konzipieren und entwickeln, dass während des gesamten Produktlebenszyklus ein angemessenes Maß an Cybersicherheit gewährleistet ist.

• Schwachstellenmanagement: Bekannte Schwachstellen sollen von dem Hersteller durch kostenlose Sicherheitsaktualisierungen beseitigt werden, sofern zwischen dem Hersteller und dem gewerblichen Nutzer nichts anderes vereinbart wurde.

• Dokumentation: Hersteller müssen Schwachstellen und Komponenten ihrer Produkte identifizieren und dokumentieren.

• Meldepflichten: Innerhalb 24 Stunden nach Bekanntwerden hat der Hersteller eine ausgenutzte Schwachstelle über die Meldeplattform der ENISA (European Union Agency for Cybersecurity) zu melden.

Was Maschinenhersteller jetzt tun können:

Als Experte für sichere Automatisierung empfiehlt Pilz allen Maschinenherstellern sich zeitnah mit den Anforderungen des CRA zu befassen und gemeinsam mit den Komponentenherstellern und den Betreibern Konzepte zur Zusammenarbeit zu entwickeln. In welcher Netzwerkzone soll eine Maschine betrieben werden? Wie soll mit Softwareupdates umgegangen werden? Wenn solche Fragen vorab geklärt sind, kann jeder Wirtschaftsakteur seine neuen organisatorischen und technischen Pflichten erfüllen. Pilz unterstützt seit Jahrzehnten Maschinenbauer und Anwender bei der Sicherheit ihrer Maschinen und Anlagen – auch bei den neuen Anforderungen zum Thema Industrial Security. Denn ohne Security ist eine Maschine samt getroffener Safety Maßnahmen angreifbar und ungeschützt. Hier gilt es Vorsorgemaßnahmen zu treffen.

Zwei Praxistipps zur Umsetzung der CRA-Vorgaben:

1. Stets auf dem Laufenden bleiben: Abonnements von Newslettern und RSS-Feeds auf eur-lex.europa.eu halten über Gesetzesänderungen auf EU-Ebene informiert.

2. Das Common Security Advisory Framework (CSAF) ist ein standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen, sogenannten Security Advisories.