Bilder

© Hlib Shabashnyi/shutterstock.com

Der Cyber Resilience Act (CRA) betrifft alle "Produkte mit digitalen Elementen", die Kommunikationsfähigkeit haben und umfasst dabei sowohl Hard- als auch Software. Er orientiert sich am "New Legislative Framework", macht also verbindliche Vorgaben, die bei der Bereitstellung der Produkte auf dem Markt eingehalten werden müssen. Hard- und Software, die konform zu diesen Bestimmungen sind, tragen das CE-Kennzeichen. Im Umkehrschluss bedeutet dies, dass Produkte, die nicht konform sind, nicht mehr in Verkehr gebracht werden dürfen. Erfüllen sie die Anforderungen der Cyber Security nicht, ist der Verkauf von Bestandsprodukten ebenfalls einzustellen. Eine Ausnahme gibt es lediglich für Hard- und Software, die als Ersatzteile dienen sollen.

Die Cyber-Gesetzgebungen zum sicheren Betrieb sowie zu sicheren Produkten gehen Hand in Hand. © Phoenix Contact

Hersteller werden zukünftig nach einem sicheren Entwicklungsprozess arbeiten und vor der Freigabe für die Realisierung sämtlicher Security-Maßnahmen sorgen müssen. Es entstehen somit zusätzliche Aufwände in der Entwicklung, Konstruktion und im Test, die sich auf die personellen Ressourcen und/oder erforderlichen Zeit auswirken. Da der Support-Zeitraum mit einer für den Anwender kostenlosen Produktpflege einhergeht, sind die Hersteller gut beraten, die Qualität der Hard- und Software bei deren Entwicklung sicherzustellen. Hierzu steht die Pflicht im Einklang, Produkte ohne ausnutzbare Schwachstellen auszuliefern. Wahrscheinlich werden diese Vorgaben die Veröffentlichung neuer Hard- und Software oder von deren Versionen verlangsamen. Für die Anwender eröffnet der CRA große Vorteile, weil das Sicherheitsniveau erheblich steigen wird und sich Cyber-Security-Risiken deutlich reduzieren.

Ergänzende Umsetzung organisatorischer Maßnahmen

In den letzten Jahren hat sich in der Automatisierungstechnik die IEE 62443 als relevanter Standard für Cyber Security etabliert. Die essenziellen Anforderungen aus dem Cyber Resilience Act werden durch den sicheren Entwicklungsprozess gemäß IEC 62443-4-1 und die funktionalen Anforderungen nach IEC 62443-4-2 bereits gut abgedeckt. Selbst wenn der sichere Entwicklungsprozess im CRA nicht ausdrücklich gefordert ist, wird er in der Praxis unverzichtbar sein. Die Ausentwicklung der IEC 62443-4-2 zu einem harmonisierten Standard, der die Konformitätsvermutung bietet, scheint absehbar. Dabei muss insbesondere auf die Prüfung und Abnahme eingegangen werden.

Verfolgt der Cyber Resilience Act grundsätzlich gute Konzepte, bestehen noch viele Herausforderungen in den Details. So sieht der Gesetzesentwurf eine Umsetzungsfrist von lediglich drei Jahren vor. Das wird für zahlreiche Hersteller schwierig bis unmöglich zu realisieren sein, möglicherweise sind Produktportfolios um- oder neu zu entwickeln. Erschwerend kommt hinzu, dass je nach Bereich Normen neu erarbeitet oder wenigstens angepasst werden müssen. Folglich finden Entwicklungen statt, ohne dass die Details abschließend geklärt sind.

Der CRA wird die Cyber Security erheblich verbessern. Ein höherer Zugriffsschutz der Produkte allein reicht jedoch nicht aus. Die Hard- und Software muss darüber hinaus sicher eingerichtet und betrieben werden. Im Unternehmenskontext erweist sich also weiterhin ein Informationssicherheits-Managementsystem (ISMS) als notwendig, das ebenfalls die erforderlichen organisatorischen Maßnahmen berücksichtigt. In diesem Kontext hat die EU bereits die Richtlinie "Network and Information System" (NIS) in der Version 2 veröffentlicht, die hier auch neue oder erweiterte gesetzliche Anforderungen stellt. |

Dr.-Ing. Lutz Jänicke, Corporate Product & Solution Security Officer, Phoenix Contact