Neue EU-Regularien bringen Anforderungen mit sich, die ein Umdenken bisheriger Strukturen erfordern. Hersteller, Integratoren und Betreiber werden sich intensiv damit befassen müssen. (Quelle: Phoenix Contact)
Aus der Veröffentlichung der MVO im Amtsblatt der EU ergibt sich deren verpflichtende Umsetzung bis zum 20. Januar 2027. Ab diesem Datum dürfen Maschinen nur unter Berücksichtigung der neuen Anforderungen in Verkehr gebracht werden. Grundsätzlich ist eine Maschine so zu konstruieren, dass weder ihre Kommunikation mit einer angeschlossenen noch mit einer entfernt installierten Einrichtung zu einer gefährlichen Situation führen kann. Dies gilt sowohl beim bestimmungsgemäßen Gebrauch der Maschine als auch im Fall möglicher Manipulationen für die Hard- und Software. Anhang III, Punkt 1.1.9 der neuen MVO fordert künftig den Schutz gegen Korrumpierung, also die Verhinderung eines vorsätzlichen oder unbeabsichtigten Zugriffs oder einer daraus resultierenden unbeabsichtigten Veränderung. Mit der prEN 50742 liegt bereits ein Normenauftrag vor, aus dem konkrete Vorgehensweisen zur Realisierung dieser Anforderung hervorgehen werden. Folglich erhalten Securityaspekte eine neue und weitreichende Bedeutung, die auch bei der Risikobeurteilung einer Maschine beachtet werden müssen.
Änderungen durch NIS-2 und CRA
Die NIS-2-Richtlinie stellt Anforderungen an den cybersicheren Betrieb von wesentlichen und wichtigen Einrichtungen. Sie ist insbesondere für Betreiber von Maschinen und Anlagen gültig. NIS-2 wurde 2023 von der Europäischen Union verabschiedet und basiert auf der vorangegangenen Richtlinie „Network & Information Security“, die vorrangig den Bereich der kritischen Infrastruktur adressierte. Mit der zweiten NIS-Version erweitert sich der Geltungsbereich nun deutlich, um Security-Standards in weiten Teilen der Industrie zu etablieren. Die Richtlinie definiert drei Unternehmenskategorien: Kleinst- und Kleinunternehmen, wichtige Einrichtungen und wesentliche Einrichtungen, die jeweils branchenspezifisch unterteilt sind. Durch das vorgesehene lückenlose Lieferkettenmanagement wird NIS-2 unweigerlich Einfluss auf die Zulieferindustrie haben, sodass der cybersichere Betrieb von Maschinen und Anlagen sichergestellt ist.
Der Cyber Resilience Act (CRA), ebenfalls bekannt als Cyber-Resilienz-Verordnung (CRV), zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen über den gesamten Produktlebenszyklus zu verbessern. Mit der Verabschiedung im Jahr 2024 werden die Anforderungen im Dezember 2027 bindend. Aspekte, wie Zugriffsschutz, Vertraulichkeit, Integrität und Verfügbarkeit, spielen hierbei eine entscheidende Rolle. Zur Umsetzung dieser Aspekte verlangt der CRA ein Schwachstellenmanagement und verpflichtet Hersteller, Security-Updates bereitzustellen. Der Normenreihe IEC 62443 wird in diesem Zusammenhang eine große Bedeutung zugesprochen, da sie sowohl den Entwicklungsprozess als auch die Anforderungen an technische Systeme abdeckt. Aufgrund dieser Übereinstimmungen könnte die IEC 62443 als vielversprechende Basis für eine harmonisierte Norm des CRA dienen.