EU Cyber Resilience Act : Das bringt der Cyber Resilience Act

Am 12. März dieses Jahres fiel so manchem Industriemanager wohl ein großer Stein vom Herzen. Die Parlamentarier verabschiedeten mit großer Mehrheit den Cyber Resilience Act (CRA) und industrielle Leitsysteme, Roboter, IIoT und Microcontroller gehören nicht mehr zu den als „critical“ oder als „important“ eingestuften Produkten. Das sah in einer früheren Version nach anders aus und bereitete so manchem Verantwortlichen Kopfschmerzen. Die “important entities” und “critical entities” müssen eine Prüfung durch Dritte durchlaufen, um eine Konformitätserklärung und somit das CE-Kennzeichen zu bekommen.

Vor allem bei den Robotikern herrschte Anspannung. „Sie müssen immer noch alle Anforderungen des CRA erfüllen und die Dokumentation (Declaration of conformity, technische Dokumentation, user instructions) erstellen“, ergänzt Sarah Fluchs. Sie ist die CTO von Admeritia. Das Unternehmen ist spezialisiert auf die OT-Security.

Nie mehr die wichtigsten News aus Österreichs Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in Ihrer Inbox. Hier geht’s zur Anmeldung!

2027 wird es jetzt also ernst, die Standardisierungsgremien müssen ihre Arbeit aufnehmen, aber eigentlich müssten die Unternehmen jetzt schon ihre Hausaufgaben machen. In der Industrie gibt man sich verschlossen. Kaum ein Maschinenbauer will über seine CRA-Strategie sprechen. Auch Steuerungsanbieter bevorzugen Gespräche ohne Nennung der Quelle. „Unsere großen Kunden beschäftigen sich schon länger mit dem Thema Cybersicherheit, fahren mittlerweile sogar schon strengere Regularien als der CRA vorsieht, Sorgen bereiten uns den kleineren Maschinenbauern“, berichtet der Security-Verantwortliche eines großen Automatisierungsunternehmens. „Da herrscht kaum Wissen und die Kunden sind froh, wenn sie von uns begleitet, werden“, erklärt der Fachmann.

Sarah Fluchs hat für die Industrie die nächsten Schritte in einem Blogbeitrag zusammengefasst, wir zitieren die wichtigsten Aussagen:

Wer ist betroffen von Cyber Resilience Act? Alle Hard- und Software, die während ihres Gebrauchs eine Daten- oder Netzwerkverbindung haben könnte. Noch kürzer: Alles, was digital kommuniziert.

Welche Anforderungen stellt der CRA? Es existieren Anforderungen während des Designs und Anforderungen während des Betriebs. Die Anforderungen stehen im Annex Dieser ist sehr kurz und die Anforderungen sind sehr generisch. Das ist Absicht, denn die konkrete Ausgestaltung der Anforderungen soll in sogenannten “harmonisierten Standards” erfolgen, berichtet Fluchs.

Was bedeutet das für die Entwicklungsphase beispielsweise? Es geht um die Authentifizierung, Zugangskontrollen, die Integrität der Daten oder das Logging. Im Betrieb geht es um Security Updates über sichere Kanäle, Test und Schwachstellen-Kommunikation. Der CRA spricht von „essential requirements“, die erfüllt werden müssen.

Darauf folgt die Dokumentation. „Die zentrale Dokumentation, die für Produkte vorliegen muss, ist das CE-Kennzeichen. Das darf man anbringen, wenn man eine “EU declaration of conformity” erstellt hat. Diese Konformitätserklärung ist im Prinzip erst einmal nur ein formales Schriftstück, das erklärt, das Produkt sei konform zu den vielen essential requirements“, schreibt Fluchs. Eine Prüfung durch Dritte fällt nur dann an, wenn das Produkt als kritisch eingestuft wird.

Darüber hinaus braucht es auch für jedes Produkt eine technische Dokumentation. „Die technische Dokumentation muss alle Informationen beinhalten, die für die Konformität mit den essential requirements notwendig sind“, ergänzt Fluchs.

Nie mehr eine wichtige News aus der Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in ihrer Inbox. Hier geht’s zur Anmeldung!

„Cybersecurity muss künftig bei der Entwicklung von Produkten berücksichtigt werden, und diese müssen über die Lebensdauer sicher betrieben werden können. Das bedeutet für die Hersteller, sämtliche eingesetzte Softwarekomponenten mit all ihren Schwachstellen zu kennen und das davon ausgehende Risiko zu bewerten. Maschinen und Geräte müssen updatefähig werden, um mögliche Schwachstellen beheben zu können.

Nutzer von Maschinen müssen -ebenso wie Behörden- sehr zeitnah und umfassend über entdeckte Schwachstellen informiert werden. Dies alles stellt umfangreiche Anforderungen an die Entwicklung von neuen Maschinen und Anlagen, aber auch an andere Unternehmensbereiche wie z.B. Einkauf und Kommunikation“, erklärt Lars Petermann, Director Public Sector & Partners von Asvin. Er rechnet mit „Engpässen auf der Seite der zertifizierenden Stellen.“ Ob 2027 zu halten ist?

Dazu kommt bei vielen Maschinenbauer die Frage nach einer Update-Strategie. „Den USB-Stick wird es noch sehr lange geben. Die meisten Unternehmen werden das Thema mit den Wartungsvertrag aufnehmen“, prophezeit ein Maschinenbauer. Manche Automatisierer setzen auf Plattformen, um sowohl Maschinenoptimierungen als auch Updates zu fahren. Lenze beispielsweise. Die Plattform Nupano ist eng mit dem Maschinenpark des Kunden verbunden und ermöglicht es auch Anwendern ohne IT-Kenntnisse, IT-basierte Anwendungen zu implementieren und zu nutzen.

Lesen Sie dazu auch: Warum Maschinenbauer ihre China-Strategie überdenken

„Das Release-Management ermöglicht es Maschinenbauern, ihre Maschinen zu verwalten und die Einführung neuer, IT-basierter Technologien zu beschleunigen. Jede Maschine kann über ihren Lebenszyklus individuell mit neuen App-Versionen ausgestattet werden“, erklärte Werner Paulin, Head of New Automation Technologies von Lenze unlängst in einem Interview. Es geht erstens um Transparenz: Welche Software läuft in welcher Version auf welcher Maschine. Aber auch dann um die schnelle Anpassung der Software auf neue Versionen. „Mit diesem Wissen kann er gezielt Maschinen aktualisieren und kann damit eine zentrale Vorgabe des CRA umsetzen“, heißt es bei Lenze.

Lesen Sie hier noch: Keba, B&R, DS Automotion: Österreichs beste Automatisierer.

Und Sarah Fluchs gibt vielen Entscheidern einen guten Rat. „Man kann als Hersteller auf den CRA schimpfen— er kommt aber sowieso. Dann kann man ihn eigentlich auch gleich als Chance begreifen, das lästige Security-Thema endlich strukturiert anzugehen, oder? Die gute Nachricht ist, dass die geforderte Dokumentation sowohl die richtigen Anreize und den Freiraum dafür bietet, die Kommunikation der Security seiner Produkte richtig gut zu machen — und sich damit positiv vom Wettbewerb abzuheben.“ Und sie meint: Auf harmonisierte Standards zu warten wäre falsch. Die Unternehmen sollten jetzt beginnen.

Lesen Sie auch: Cybersecurity in Österreichs Industrie: Bedrohung durch Hacker