Die zunehmende Vernetzung von Geräten und Maschinen ist einerseits ein Segen, weil sie beruflich wie auch privat Vieles erleichtert und enorme Chancen für Wirtschaft und Gesellschaft bietet. Andererseits erhöht sie auch die Cyberrisiken, weil sie Hackern oft Tür und Tor öffnet. Um die IT-Sicherheit zu stärken, hat die Europäische Union als eine von mehreren Maßnahmen daher den Cyber Resilience Act (CRA) auf den Weg gebracht. Ziel ist es, vernetzte Produkte einschließlich Industriemaschinen über den gesamten Lebenszyklus vor unberechtigtem Zugriff und Manipulation zu schützen. Damit sind für Hersteller und Händler eine Reihe neuer Vorgaben verbunden.

Stufenweise Regulierung mit Augenmaß

Dabei sollen aber gewisse Abstufungen gelten, um die Entwicklung und Nutzung von Technologien nicht zu behindern. Daher unterscheidet der CRA zwischen verschiedenen Kategorien oder Klassen. 90 Prozent der Endgeräte und Softwarekomponenten dürften laut Security Insider in die Standardkategorie fallen, die keine sicherheitsrelevanten Aufgaben erfüllen. Gemeint sind etwa Smart-TVs, Smartphones, Social-Media-Apps und vernetzte Haushaltsgeräte.

Strengere Auflagen und Prüfmechanismen gelten für wichtige cybersicherheitsrelevante Produkte der Klasse I, wozu etwa Antiviren-Software und Netzwerkkomponenten gehören. Die darauf folgende Kategorie der Klasse II betrifft wichtige und hoch sicherheitsrelevante Produkte, deren Manipulation zudem auch weitreichende Folgen für andere digitale Produkte hätte.

In die Kategorie der Klasse III fallen unter anderem industrielle Firewalls. Die letzte und höchste Stufe bildet die Kategorie der Klasse IV, die insbesondere für Produkte gilt, welche im Bereich kritischer Infrastrukturen (KRITIS) wichtige Sicherheitsfunktionen einnehmen. Dazu gehören zum Beispiel Smart-Metering-Gateways, die es ermöglichen, Energieflüsse in Echtzeit zu messen und zu steuern.

OT- und IT-Sicherheit in Einklang bringen

Was die für Deutschland so wichtige Fertigungsindustrie angeht, soll der Cyber Resilience Act (CRA) vor allem auch dazu beitragen, die IT- und OT-Sicherheit zu stärken. Damit folgt das Gesetz, das nach Zustimmung durch den Europäischen Rat bis 2027 EU-weit wirksam werden soll, praktisch dem was Konzerne wie VINCI Energies bereits vor Jahren erkannt haben. Denn um die vielfach noch vernachlässigte Sicherheit der Betriebstechnik (OT) auf ein vergleichbares Level mit der IT-Sicherheit zu bringen und entsprechende Lösungen auszuarbeiten, hat das französische Unternehmen zusammen mit den Tochtergesellschaften Axians, Actemium und Omexom 2021 in Basel ein eigenes IT & OT Security Operations Center eröffnet.

Die drei führenden Dienstleister mit den jeweiligen Schwerpunkten ICT/ITK-, Industrie- und Infrastrukturlösungen entwickeln dort gemeinsame Konzepte und zeigen entsprechende Möglichkeiten auf, die IT- und OT-Sicherheit zusammenzuführen und somit insgesamt zu stärken. Weitere Informationen über die erfolgreichen Zusammenarbeit speziell von Axians und Actemium im Bereich der OT Security finden Sie hier.

Die Umsetzung des CRA in der Praxis

Harmonisierte Standards sind im vorliegenden Entwurf des CRA noch nicht endgültig festgelegt. In Industriekreisen geht man aber davon aus, dass die Normenreihe IEC 62443, „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ betreffend, eine hohe Relevanz für die Erfüllung des CRA haben wird. Denn in den vier Teilbereichen der Norm sind grundsätzliche Begriffe, Konzepte und Modelle sowie Vorgehensweisen und Vorgaben für die Sicherung von Steuerungs- und Automatisierungslösungen definiert, wie aus einem Gastbeitrag in Industrielle Automation hervorgeht. Da heißt es auch, dass nach einer dreijährigen Übergangsfrist alle Produkte mit CE- Kennzeichen zwingend den CRA erfüllen müssen.

Das dürfte bis dahin einige Unternehmen noch vor mehr oder weniger große Herausforderungen stellen. Vor allem, da zeitgleich weitere Cybersicherheitsregularien auf sie zukommen, wie der Digital Chiefs Experte Alain De Pauw in diesem Beitrag zeigt. Der Divisionsleiter Security bei Axians Schweiz geht dabei besonders auch auf die NIS2-Richtlinie für die Netzwerk- und Informationssicherheit im KRITIS-Umfeld ein. Diese bringt nahezu zeitgleich mit dem CRA verschärfte Anforderungen für Unternehmen mit sich.

Business-, IT- und OT-Verantwortliche finden die jetzt notwendige Unterstützung bei der Umsetzung der neuen gesetzlichen Anforderungen bei IT-Dienstleistern wie Axians. Mehr zu den umfassenden Cybersecurity-Leistungen von Axians erfahren Sie hier.

Quelle Titelbild: Adobe Stock / Bijac