Ein Security-Vorfall kann Folgen für Maschine, Unternehmen und Mensch haben, von Produktionsausfällen, über den Verlust von Daten bis hin zur Gefährdung der Mitarbeiter, die die Maschine bedienen. Auch gezielte oder unbewusste Manipulationen innerhalb eines Unternehmens können den Betrieb lahmlegen und sind somit ein wichtiger Grund, Sicherheitsvorkehrungen zu treffen. Der Gesetzgeber hat die Bedeutung von Security erkannt. Die EU-Richtlinie NIS 2, der Cyber Resilience Act (CRA) und die Maschinenverordnung nehmen europäische Unternehmen in die Pflicht, ihre Maschinen und Anlagen sicher hinsichtlich Industrial Security zu machen.
NIS 2: Mehr Pflichten für mehr Unternehmen
Die Richtlinie für Netz- und Informationssystemsicherheit 2 EU 2022/2555 (NIS 2) gibt Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union vor. Das IT-Sicherheitsgesetz, die bisherige nationale Umsetzung der NIS 1, galt vorwiegend für kritische Infrastruktur und Anbieter relevanter digitaler Dienste. NIS 2 erweitert die Sektoren beispielsweise um das produzierende Gewerbe: Hersteller von Maschinen- und Anlagen, Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Kraftwagen und Kraftwagenteilen sowie aus dem sonstigen Fahrzeugbau. Innerhalb dieser Branchen sind Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz beziehungsweise einer Jahresbilanz von über 10 Millionen Euro betroffen.
Diese Betriebe werden künftig verpflichtet, Risikomanagementmaßnahmen für die Cybersicherheit zu ergreifen, etwa Risikoanalysen und Sicherheitskonzepte zu erstellen für Informationssysteme, den Schutz der Lieferkette und die Sicherheit des Personals, ebenso Konzepte für die Zugriffskontrolle und das Management von Anlagen. Hinzu kommen verpflichtende Schulungen für das Management. Bei bestimmten Security-Vorfällen, sogenannten „significant incidents“, muss binnen 24 Stunden eine Frühwarnung und binnen 72 Stunden eine Meldung an die zuständige Behörde erfolgen.
Bei Verstößen drohen empfindliche Sanktionen wie Geldbußen von 7 Millionen Euro oder 1,4 Prozent des Gesamtjahresumsatzes, außerdem können natürliche Personen (leitende Angestellte) haftbar gemacht werden. Die Richtlinie wurde Ende 2022 durch das Europäische Parlament und den Rat der EU verabschiedet. Wie alle EU-Richtlinien ist auch NIS 2 in den einzelnen EU-Mitgliedsstaaten nicht unmittelbar wirksam und verbindlich, sondern müssen durch die Mitgliedsstaaten in nationales Recht umgesetzt werden. Bis 18. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht überführen. In Deutschland arbeitet das Bundesministerium des Innern am NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG).
CRA: Sicherheit für den Produktlebenszyklus
Im September 2022 hat die Europäische Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Dieser Cyber Resilience Act (CRA) richtet sich an Hersteller von Produkten mit digitalen Elementen (Hard- und Software), die in der Lage sind, mit anderen Produkten zu kommunizieren. Betroffen sind also Produkte sowohl aus dem B2C-Bereich, beispielsweise Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie zum Beispiel Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme.
Wie groß die Auswirkungen tatsächlich sein werden, hängt davon ab, welche Kriterien am Ende für die Einstufung der Produkte angelegt werden. Laut Cyber Resilience Act dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten – und zwar über den gesamten Lebenszyklus eines Produkts. Experten gehen davon aus, dass die Verordnung 2024 verabschiedet wird. Der Cyber Resilience Act ist eine EU-Verordnung und wird somit in den EU-Mitgliedsstaaten unmittelbar gültig sein.
Maschinenverordnung: Cybersecurity wird Pflicht
Wer für den europäischen Markt Maschinen und Anlagen herstellt oder betreiben möchte, der kommt an der neuen Maschinenverordnung der EU nicht vorbei. Wer Maschinen in der EU einführen oder betreiben will, ist verpflichtet, das Konformitätsbewertungsverfahren durchzuführen. Durch die Anbringung des CE-Zeichens bestätigt der Hersteller, dass die Maschinen oder Anlagen alle erforderlichen Sicherheits- und Gesundheitsschutzanforderungen, wie etwa der Maschinenverordnung, erfüllen.
Nachdem die neue Maschinenverordnung am 29. Juni 2023 veröffentlicht wurde, haben Maschinenhersteller und -betreiber nun bis zum 20. Januar 2027 Zeit, die neuen Anforderungen zu erfüllen. Die Maschinenverordnung ersetzt die bisherige Maschinenrichtlinie und bringt eine Reihe von großen und kleinen Neuerungen mit sich. Eine bedeutende Änderung ist die Verpflichtung von Security an der Maschine. War die Maschinenrichtlinie eine reine Betrachtung der Safety (Schutz von Mensch und Umwelt), wurde in der Verordnung das Schutzziel Security (Schutz der Maschine) unter „Protection against corruption“ in die „Essential health and safety requirements“ (EHSR) mit aufgenommen: Die Sicherheitsfunktionen der Maschine dürfen durch unbeabsichtigte oder vorsätzliche Verfälschung nicht beeinträchtigt werden.
Mit den Vorgaben zum Schutz von Daten gegen Korrumpierung hält damit die Security Einzug in das wichtigste europäische Gesetzeswerk für die Maschinensicherheit. Künftig müssen Maschinenbauer nachweisen, dass ihre Maschinen nicht nur funktional sicher sind, sondern auch gegen Manipulationen geschützt sind. Ohne Security wird es künftig keine CE-Kennzeichnung mehr geben.
Auch wenn die Maschinenverordnung erst ab 20. Januar 2027 verpflichtend angewendet werden muss, ist es wichtig, Prozesse und langfristige Projekte bereits jetzt entsprechend zu planen, damit die Konstruktion zukünftige Anforderungen berücksichtigt.
Mit dem neuen „Industrial Security Consulting Service“ (ISCS) unterstützt der Automatisierungsexperte Pilz Unternehmen dabei, ihre Maschinen und Anlagen „secure“ zu machen. Ziel des modular aufgebauten Dienstleistungsangebots ist es, Sicherheitsschwachstellen aufzudecken und Lösungsansätze zu finden – auf Basis aktueller gesetzlicher Vorgaben und der herausfordernden, bevorstehenden Änderungen. Damit gewährleisten Unternehmen den Schutz ihrer Maschinen, Anlagen und vor allem Mitarbeiter.
Orientierung im Gesetzesdschungel
Der ISCS von Pilz besteht aus vier Modulen: Schutzbedarfsanalyse, Industrial-Security-Risikobewertung, Industrial-Security-Konzept und Industrial-Security-System-Verifikation. Mit Abschluss des ISCS sind Maschinenhersteller und -betreiber mit Blick auf Industrial Security gut gerüstet und die aktuellen und künftigen gesetzlichen Vorgaben, wie etwa zur CE-Konformität, erfüllt.
Bild: PilzNils Bücker
Produktmanager bei Pilz GmbH & Co. KG
Hier finden Sie mehr über:
