Security
Sicherheitsstandards im Maschinen- und Anlagenbau – die Eckpfeiler für optimale Sicherheit.
Neue Sicherheitsstandards 2024 Die EU-Kommission hat klare Mindestsicherheitsanforderungen für IoT-Produkte festgelegt, die sowohl die Cybersicherheit stärken sollen als auch die Verantwortung der Hersteller, Betreiber und Integratoren deutlich erhöhen werden. Es wird dringend empfohlen, ab 2024 sicherzustellen, dass Produkte diesen Standards entsprechen, sodass diese weiterhin auf dem EU-Markt präsent sind.
Auch wir von der Janz Tec AG passen unseren Service an diese neuen Herausforderungen an, um den Sicherheitsanforderungen gerecht zu werden. Hier finden Sie alles, was Sie zu den Neuerungen wissen müssen.
Cyber Resilience Act
Was ist der CRA?
Eine von der Europäischen Kommission vorgeschlagene Verordnung zur Verbesserung der Cybersicherheit und Cyberresilienz in der EU durch gemeinsame Sicherheitsstandards für Produkte mit digitalen Elementen.
Wen betrifft der CRA?
Hersteller, Importeure und Händler von Produkten mit digitalen Elementen.
Wann tritt der CRA in Kraft?
Voraussichtlich Ende 2027, teilweise bereits Mitte 2026.
Der European Cyber Resilience Act (CRA) ist ein Gesetzesvorschlag, in dem klare Anforderungen an die Cybersicherheit von Hardware- und Softwareprodukten, welche in der Europäischen Union auf den Markt gebracht werden, formuliert sind. So soll gewährleistet werden, dass Hersteller die Sicherheit eines Produktes über den gesamten Lebenszyklus – unter anderem durch regelmäßig veröffentlichte Sicherheitsupdates – sicherstellen und, dass es Nutzer*innen ermöglicht wird, Cybersicherheit als Kriterium für die Produktauswahl heranziehen zu können. Die erfassten Produkte werden in normale (z.B. Festplatten), wichtige (z.B. Passwort-Manager) und kritische (z.B. CPUs) unterteilt, wobei für die beiden letzteren erhöhte Anforderungen zu erfüllen sind.
Zum Schutz personenbezogener sowie finanzieller Daten legt der CRA spezifische Sicherheitsanforderungen für IoT-Geräte fest. Dazu gehört der Schutz eben jener Daten, das Verbot der Verwendung schwacher Passwörter, die Verpflichtung zur Prüfung auf Sicherheitslücken sowie die Unterstützung durch regelmäßige Softwareupdates. Außerdem haben Verbraucher*innen das Recht, ihre Daten zu verwalten und zu löschen.
Allgemein gilt das Konzept „Secure-by-Design“. Das bedeutet, dass Hersteller bereits bei der Entwicklung ihre Produkte so gestalten müssen, dass sie sicher sind, anstatt nachträglich bzw. schrittweise Sicherheitsmaßnahmen zu implementieren. Cybersicherheit soll von der Entwicklungsphase bis zum Ende der Lebensdauer ein zentraler Bestandteil sein.
NIS2
Was ist NIS2?
Eine EU-Richtlinie, um das Niveau der Cyberresilienz in der Union zu stärken, indem Mitgliedsstaaten zur Erarbeitung nationaler Sicherheitsstrategien verpflichtet werden. Sie stellt strengere Anforderungen als die bisherige NIS-Richtlinie.
Wen betrifft NIS2?
Unternehmen, die im Bereich kritischer Infrastrukturen agieren oder dort digitale Dienstleistungen anbieten.
Wann tritt NIS2 in Kraft?
Ist am 16. Januar 2023 in Kraft getreten. Die Anwendung ist ab dem 18. Oktober 2024 erforderlich.
Die NIS2 Richtline der EU ist die Weiterentwicklung der NIS Richtline aus dem Jahre 2016.
Das Ziel der NIS2 ist es das allgemeine Niveau der Cybersicherheit in der kritischen Infrastruktur und deren angrenzenden Bereichen so wie entlang der Lieferketen der KRITIS zu verbessern. Die Richtline enthält eine Liste von Branchen, die unter die NIS2 fallen; zusätzlich hat die Anzahl der Angestellten sowie der Umsatz der Unternehmen Einfluss auf die verschiedenen Pflichten der Unternehmen.
Mögliche Pflichten sind…
… die Einrichtung eines Cyber-Risikomanagements.
… die Überprüfung der Sicherheit in den Lieferketten.
… die Überprüfung und Einrichtung von Verschlüsselung und Zugriffsbeschränkungen.
… die Implementierung eines Meldeverfahrens für Sicherheitsvorfälle.
Was passiert bei Nichteinhaltung?
Die Nichteinhaltung kann zu erheblichen Geldstrafen führen, die bis zu 10 Millionen Euro oder 2 % des Umsatzes betragen können. Gemäß dem Entwurf des NIS2 Umsetzungsgesetztes haften Leitungsorgane von Unternehmen mit Ihrem Privatvermögen.
IEC 62443
Was ist die IEC 62443?
Eine internationale Normenreihe über IT-Sicherheit für industrielle Kommunikationsnetze und -systeme. Die Normenreihe ist in verschiedene Bereiche unterteilt und beschreibt sowohl technische als auch prozessorale Aspekte der industriellen Cybersecurity.
Wen betrifft die IEC 62443?
Betreiber von industriellen Netzen und Anlagen.
Wann tritt die IEC62443 in Kraft?
Kann bereits angewendet werden.
Die Normenreihe IEC 62443 „Industrielle kommunikationsnetzte – IT-Sicherheit für Netz und System“ unterstütz Produzenten und Maschinenhersteller dabei, die Integration der Maschinen vorzubereiten. Sie definiert eine Reihe von Standards, die speziell auf die IT-Sicherheit von Steuerungs- und Automatisierungssystemen, also auf Industrial Security, abzielen.
Die Norm ist in vier Teile gegliedert:
- Der erste Teil General beschäftigt sich mit allgemeinen Konzepten, Terminologien und Methoden; das Dokument definiert Metriken zur Konformität.
- In Policies & Procedures werden neben technischen und organisatorischen Maßnahmen auch Prozesse zum Management von industrieller Sicherheit spezifiziert. Man findet in diesem Abschnitt einen engen Bezug zur Norm ISO 27001. Das Hauptziel des zweiten Kapitels ist es, eine Anleitung zu geben, um die Industrielle Cybersecurity kontinuierlich zu verbessern. Dies erfolgt durch eine Bewertung der Risiken und anhand von Vorgaben für Prozesse und die Organisation.
- Im Normteil System werden verschiedene Vorgaben für implementierbare Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen beschrieben. In diesen Bereich fällt auch die Steuerung und Überwachung von kontinuierlichen oder diskreten Herstellungsprozessen.
- Component & System Requirements ist schließlich für die eigentliche Ausarbeitung relevant. In diesem Abschnitt werden die Anforderungen an Prozesse der Produkt-, Geräte- oder Softwareentwicklung beschrieben.
Persönlich beraten lassen: