Die Digitalisierung und Vernetzung von Maschinen und industriellen Anlagen bringen immense Vorteile, erhöhen jedoch auch die Risiken durch Cyberangriffe. Zwei zentrale EU-Rechtsakte setzen hier an: der Cyber Resilience Act (CRA) und die Maschinenverordnung. Beide verfolgen das Ziel, die Sicherheit von vernetzten Maschinen und deren Komponenten zu verbessern – jedoch mit unterschiedlichen Schwerpunkten und Anwendungsbereichen.
Cyber Resilience Act (CRA)
Der Cyber Resilience Act ist eine europäische Verordnung, die grundlegende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen definiert. Ziel ist es, sicherzustellen, dass in der EU in Verkehr gebrachte Hardware und Software über den gesamten Lebenszyklus hinweg sicher betrieben werden können.
Zentrale Elemente des CRAs sind dabei:
- Einheitliche Sicherheitsanforderungen für alle Produkte mit digitalen Elementen.
- Verpflichtende Sicherheitsupdates und Schwachstellenmanagement.
- Risikobasierter Ansatz zur Sicherheit von Produkten – vom Entwurf bis zur Außerbetriebnahme.
- Höhere Anforderungen an die Konformität für bestimmte Produktkategorien.
Der CRA verfolgt einen horizontalen Ansatz: Er gilt für sämtliche Produkte mit digitalen Elementen – unabhängig von deren Einsatzzweck – und fordert Hersteller auf, Sicherheitsmaßnahmen bereits im Entwicklungsprozess zu berücksichtigen.
Zur Umsetzung der Anforderungen werden derzeit harmonisierte Normen erarbeitet. Bis zu deren Veröffentlichung bieten sich etablierte Standards wie IEC 62443-4-1 (sicherer Entwicklungsprozess) und EN 18031 (technische Anforderungen für Funkanlagen) als praktikable Referenzrahmen an.
Maschinenverordnung
Die Maschinenverordnung ersetzt die bisherige Maschinenrichtlinie und erweitert die grundlegenden Sicherheitsanforderungen um Aspekte der Cybersicherheit. Hersteller müssen künftig auch gezielt Risiken durch digitale Manipulation adressieren.
Wichtige Neuerungen in der Maschinenverordnung:
- Cybersicherheit als Teil der grundlegenden Sicherheitsanforderungen.
- Schutz vor absichtlicher und unabsichtlicher Manipulation von Steuerungssystemen (Anhang III, Abschnitt 1.1.9).
- Anforderungen an die Zuverlässigkeit von Steuerungssystemen (Anhang III, Abschnitt 1.2.1).
- Dokumentationspflichten zur Nachvollziehbarkeit von Sicherheitsmaßnahmen.
Zur technischen Umsetzung wird derzeit die Norm EN 50742 entwickelt („Safety of Machinery – Electrotechnical aspect – Protection against corruption“). Sie konkretisiert die Anforderungen aus Anhang III und adressiert insbesondere Maßnahmen gegen unerwünschte Eingriffe – sowohl technischer als auch organisatorischer Art – über den gesamten Lebenszyklus hinweg.
Gemeinsamkeiten und Unterschiede zwischen CRA und Maschinenverordnung
Sowohl der CRA als auch die Maschinenverordnung verfolgen das Ziel, ein hohes Sicherheitsniveau für vernetzte Geräte und Maschinen zu schaffen. Beide fordern Sicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg und setzen auf Dokumentation sowie Nachweisbarkeit.
Der CRA regelt die Sicherheit aller Produkte mit digitalen Elementen – unabhängig von ihrem Einsatzzweck. Die Maschinenverordnung hingegen fokussiert sich spezifisch auf die Sicherheitsanforderungen von Maschinen und deren Steuerungssystemen. Während der CRA also einen breiten Fokus hat, geht die Maschinenverordnung stärker ins Detail und adressiert branchenspezifische Risiken.
Für Maschinen, die digitale Elemente enthalten und unter beide Verordnungen fallen, können Hersteller Synergien nutzen. Die Anforderungen des CRA an Schwachstellenmanagement und Sicherheitsupdates unterstützen die Erfüllung der Anforderungen der Maschinenverordnung, insbesondere in den Bereichen Manipulationsschutz und zuverlässige Steuerungssysteme.
Normen zur Umsetzung: IEC 62443, EN 18031 und EN 50742
Zur praktischen Umsetzung der Anforderungen aus dem Cyber Resilience Act (CRA) und der Maschinenverordnung stehen verschiedene Normen und technische Spezifikationen im Fokus – auch wenn bislang keine harmonisierten Normen gemäß CRA veröffentlicht wurden.
Die IEC 62443-Reihe ist ein international etablierte Normenreihe für industrielle Automatisierungs- und Steuerungssysteme. Insbesondere die Teile IEC 62443-4-1 (Anforderungen an sichere Entwicklungsprozesse) und IEC 62443-4-2 (technische Anforderungen an Komponenten) werden von Fachkreisen und Normungsorganisationen als zentrale Referenz für viele Anforderungen des CRAs herangezogen. Sie dienen als Grundlage für die Entwicklung zukünftiger harmonisierter Normen im Rahmen des CRA.
Die EN 18031 wurde im Rahmen der Delegierten Verordnung zur Funkanlagenrichtlinie (RED) entwickelt und enthält konkrete Anforderungen an die Cybersicherheit vernetzter Produkte. Auch sie wird als inhaltliche Ausgangslage für die Entwicklung von CRA-konformen, künftig harmonisierten Normen betrachtet – insbesondere für Geräte mit Funk- oder Netzwerkschnittstellen. Zwar ist sie nicht explizit auf den CRA ausgerichtet, ihre Struktur und ihr Detaillierungsgrad machen sie jedoch bereits heute als Referenz in der Praxis nutzbar.
Für die Maschinenverordnung wird aktuell die EN 50742 entwickelt („Safety of Machinery – Electrotechnical Aspect – Protection against Corruption“). Sie adressiert konkret die Anforderungen aus Anhang III der Verordnung, insbesondere in Bezug auf Manipulationsschutz und die Integrität von Steuerungssystemen. Nach ihrer Fertigstellung wird sie voraussichtlich als harmonisierte Norm zur Maschinenverordnung gelistet werden.
Praktische Auswirkungen für Hersteller
Hersteller von Maschinen mit digitalen Komponenten müssen künftig sowohl den Cyber Resilience Act als auch die Maschinenverordnung berücksichtigen. Cybersicherheit wird damit zum festen Bestandteil der Produktentwicklung, des Risikomanagements und der technischen Dokumentation.
In der Praxis bedeutet das: Sicherheitsanforderungen wie Schwachstellenmanagement, Sicherheitsupdates und Manipulationsschutz müssen frühzeitig geplant und über den gesamten Lebenszyklus umgesetzt werden. Gleichzeitig steigen die Anforderungen an Nachweisführung und Konformitätsbewertung.
Normen wie IEC 62443, EN 18031 und zukünftig EN 50742 helfen, diese Anforderungen systematisch umzusetzen und Synergien zwischen beiden Rechtsakten zu nutzen.
Fazit: Ein ganzheitlicher Ansatz ist unerlässlich
Der Cyber Resilience Act und die Maschinenverordnung zeigen klar, dass Cybersicherheit nicht isoliert betrachtet werden darf. Sicherheitsanforderungen müssen bereits in der Entwicklung verankert, über den gesamten Produktlebenszyklus hinweg gepflegt und dokumentiert werden.
Die Anwendung von etablierten Normen wie IEC 62443, EN 18031 und der kommenden EN 50742 wird entscheidend sein, um regulatorische Anforderungen effizient umzusetzen und gleichzeitig die Sicherheit von Maschinen und Steuerungssystemen nachhaltig zu verbessern.
Unterstützung bei der Umsetzung
Der Cyber Resilience Act und die Maschinenverordnung beschreiben Anforderungen an Cybersicherheit für Produkte und Maschinen. Für viele Hersteller ist ihre Umsetzung mit hohem Aufwand verbunden – sei es in der technischen Absicherung, der internen Prozessanpassung oder der Nachweisführung gegenüber Behörden und Prüfstellen.
Secuvise unterstützt Unternehmen dabei, regulatorische Anforderungen verständlich einzuordnen und systematisch umzusetzen. Ob erste Orientierung, konkrete Umsetzungsschritte oder Vorbereitung auf eine Konformitätsbewertung – wir helfen dabei, praktikable Lösungen zu finden, die den Vorgaben entsprechen und sich mit bestehenden Entwicklungsprozessen vereinbaren lassen.
Mehr dazu unter: secuvise.com
