Vom „nice to have“ zu gesetzlich verpflichtenden Risikomanagementmaßnahmen.
Security war oft „Projektbeilage“: etwas Härten, ein paar Policies, etwas Monitoring. Nun zwingen NIS2, Betreiber und der CRA, Hersteller sich mit Haftungsthemen bei ausgenutzten Schwachstellen und Vorfällen auseinander zu setzen und das über den gesamten Lebenszyklus.
- NIS2 (Netz- und Informationssicherheit) EU-Richtlinie für kritische Infrastrukturen
- CRA (Cyber Resilience Act) EU-Verordnung für Produkte mit digitalen Elementen
- IEC 62443 (Norm für Cybersicherheit von Industriellen Automatisierungs- und Steuerungssystemen)
- CE (Europäische Konformität) Produkt-Kennzeichnung nach EU-Harmonisierten Security-Normen
NIS2 und der Cyber Resilience Act (CRA)
sind zwei unterschiedliche, aber eng verzahnte EU-Rechtsakte. Sie verfolgen dasselbe strategische Ziel: mehr Cybersicherheit in der EU – über die gesamte Wertschöpfungs- und Lieferkette hinweg. Beide setzen auf gemeinsame Prinzipien wie den risikobasierten Ansatz, Security by Design sowie Meldepflichten und Incident Handling. Während NIS2 die Betreiber in die Pflicht nimmt, adressiert der CRA die Hersteller von Soft- und Hardware.
IEC 62443 – Rahmenwerk für sichere Produkte und sicheren Betrieb
Die IEC 62443 hingegen ist keine Gesetzgebung, sondern eine internationale Security Norm für Hersteller von Steuerungssoftware und digitaler Hardware, Betreiber von Anlagen und deren Systemintegratoren. Module dieses „Best Practice" Standards werden nun zum Rahmenwerk um die Cybersichere Entwicklung und Betrieb (Update) von Produkten mit digitalen Komponenten (Hardware & Software) sicherzustellen.
CE-Kennzeichnung zur Cybersicherheit
Der CRA baut auf die bestehende CE-Kennzeichnungspflicht auf und erweitert sie um umfassende Cybersicherheitsanforderungen für Software und digitaler Hardware. Einer der populärsten gesetzlichen Verpflichtungen ist die 5 Jahre kostenfreie und zeitnahe Bereitstellung von Software-Patches zur Behebung bekannter Schwachstellen. Verstöße ahndet die europäische Cybersicherheitsbehörde ENISA und kann Bußgelder von bis zu 15 Mio. € / 2,5% des Umsatzes, Produktrückrufen und Marktverboten führen. Apropos, auch noch interessant, auf den Produkten, bzw. im Help der Software muss nach CE, das Support-Ende (End-of-Life) mit „Ablaufdatum“ für Cybersicherheit aufgeprägt sein. Dies hilft auch bei der NIS2 Asset Risikobewertung.
IEC 62443 als Brücke zur CE-Konformität
Hier kommt die IEC 62443 ins Spiel. Die Module 4-1, 4-2 und 3-3 stehen zukünftig als „EU-Harmonisierte Normen" als Referenz zur CE-Konformitätsbewertung zur Verfügung. Modul 4-1 definiert die Anforderungen an die sichere Produktentwicklung (Secure Development Lifecycle), Modul 4-2 legt technische Anforderungen an Hardware und Software fest, und Modul 3-3 beschreibt Systemanforderungen zur IT-Sicherheit sowie die Definition von Security Levels. Hersteller, die nach diesen Standards entwickeln und zertifizieren, schaffen damit die Grundlage für eine reibungslose CE-Konformität, ohne diese ab 10/2027 der EU-Markt nicht mehr zugänglich ist.
NIS2 Lieferketten-Risikomanagement
NIS2-konform muss die gesamte N-Tier-Lieferkette (Tier-1, Tier-2, Tier-3 usw.) von Produkten und Dienstleistungen nach deren Risiken bewertet werden. Ein Lieferant kann durch freiwillige Zertifizierung die Security-Widerstandsfähigkeit seiner Produkte/Anlagen nach den Maturity Level (ML 1-4) und Security Level (SL 1-4) nachweisen. Als OT-Dienstleister kann der Security-Reifegrad der Organisation durch eine IEC 62443-2-4 Zertifizierung nachgewiesen werden.
Management Summary
Im Fokus einer modernen Risikobetrachtung steht längst nicht mehr nur die Bonität von Lieferanten. Die Bewertung potenzieller Security-Lecks und Produktionsausfälle in der Lieferkette ist für alle Unternehmen entscheidend – auch für jene außerhalb des NIS2-Scopes. Wir bieten einen vernünftigen Weg zur Cybersicherheit UND Konformität. IT/OT-Risk-Assessment-Tests sind dabei die erste Wahl zur Identifizierung, Bewertung und Priorisierung von Cyber-Risiken. Normen und „Best Practice"-Standards bieten erprobte Methoden, um das Risiko – definiert als Eintrittswahrscheinlichkeit multipliziert mit der Tragweite des Schadens – in Zahlen auszudrücken und darauf aufbauend gezielte Risikomanagementmaßnahmen zu setzen. Was früher als notwendiges Übel galt, wird zum strategischen Wettbewerbsvorteil. Unternehmen, die diesen Wandel frühzeitig vollziehen, sichern sich nicht nur rechtlich ab – sie positionieren sich als verlässliche Partner in einer zunehmend vernetzten und verwundbaren Lieferkette.
Autor:
Erich Kronfuss ist ein anerkannter Experte für industrielle Cybersicherheit mit Schwerpunkt auf OT-/ICS-Umgebungen und regulatorische Compliance. Er wirkt in mehreren nationalen Normungsgremien des OVE (Österreichischer Verband für Elektrotechnik) und ASI (Austrian Standards International), sowie im Europäischen Komitee für Normung (CEN/CENELEC) mit. Als IEC-Experte ist er stv. Vorsitzender in der Arbeitsgruppe zur Normenreihe IEC 62443 und als Delegierter in der "Special Working Group on Cyber resilience Act" an der Entwicklung EU harmonisierter Normen beteiligt.
Kontakt: e.kronfuss@anapur.de | https://www.anapur.de
