Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Mehr Resilienz im Digitalen

Die jüngst erlassene Cyberresilienz-Verordnung (CRV) bedeutet neue Vorgaben für viele Bereiche. Unsere Autoren liefern einen Überblick zu den wichtigsten Aspekten der CRV und gehen im Besonderen auch auf die Verpflichtung zu mehr Cyber-Sicherheit für das produzierende Gewerbe sowie den Maschinenbau ein.

Mirco KlossComplianceRecht
Lesezeit 13 Min.

Von Mirco Kloss, Hamburg

Mit der relativ neuen EU-Maschinenverordnung (EU) 2023/1230 [1] und der jüngst erlassenen Cyberresilienz-Verordnung (CRV, engl. Cyber-Resilience-Act, CRA) steht unter anderem das produzierende Gewerbe vor bedeutenden Veränderungen. Denn diese Verordnungen verlangen erstmals verbindliche Cyber-Sicherheitsstandards für alle Maschinen und digitalen Produkte – sowohl für IT, als auch Operational Technology (OT, Betriebstechnik). Betroffene Unternehmen müssen sich damit befassen, welche neuen Anforderungen auf sie zukommen, wie die Konformitäts-Bewertungsverfahren angepasst wurden und welche spezifischen Cyber-Sicherheitsmaßnahmen erforderlich sind.

Durch präventive Malware-Scans, umfassende Malware-Schutzstrategien und Netzwerksicherheitsanwendungen können Unternehmen die neuen regulatorischen Vorgaben erfüllen. Um die Compliance sicherzustellen, sind praktische Lösungsansätze erforderlich, welche die Sicherheit im gesamten Lebenszyklus von Produktionsanlagen gewährleisten.

Maschinenverordnung

Am 29. Juni 2023 kündigten das Europäische Parlament und der Rat der Europäischen Union die Verordnung (EU) 2023/1230 an, welche die bestehende Maschinenrichtlinie 2006/42/EG ersetzen wird. Mit dieser aktualisierten Verordnung werden der Produktumfang und die Konformitäts-Bewertungsverfahren überarbeitet, die ursprünglich von der Richtlinie 2006/42/EG abgedeckt wurden. Produkte, die in den Anwendungsbereich der neuen Verordnung (EU) 2023/1230 [1] fallen, müssen nun die in den Abschnitten 1.1.9 und 1.2.1 des Anhangs III aufgeführten Cybersicherheits-Anforderungen erfüllen. Die Verordnung trat am 19. Juli 2023 in Kraft, ihre vollständige Umsetzung ist bis zum 14. Januar 2027 vorgesehen.

Brückenschlag zur Resilienz

Darüber hinaus hat die Europäische Union mit der Cyberresilienz-Verordnung (CRV) weitere neue Cybersicherheits- Vorschriften eingeführt. Diese Vorgabe ist insofern von Bedeutung, da sie Sicherheitsstandards für nahezu alle digitalisierten Einheiten festlegt – von Software bis hin zu Systemen des Internet of Things (IoT) sowie mechanischen Geräten. Durch die Einbeziehung von „Produkten mit digitalen Elementen“ erweitert die CRV auch die Cybersicherheits-Anforderungen für Produkte, die in den Anwendungsbereich der Verordnung (EU) 2023/1230 fallen: Maschinen mit bestimmten Komponenten, wie Chips und Software, sowie alle Geräte mit „Anwendungen“ sind davon betroffen. Die Einhaltung der Cybersicherheitsvorgaben der CRV kann allerdings ebenfalls dazu beitragen, die Anforderungen der Verordnung (EU) 2023/1230 zu erfüllen.

Es ist das erste Mal in der Geschichte der EU, dass eine Verordnung verbindliche Cyber-Sicherheitsanforderungen für den gesamten Lebenszyklus von Hardware- und Software-Produkten vorschreibt. Die Verordnung soll sicherstellen, dass Produkte, die mit dem CE-Kennzeichen versehen sind, grundlegende Anforderungen erfüllen. Außerdem müssen sie mindestens fünf Jahre lang Sicherheitsunterstützung erhalten, sodass ihre Nutzung über einen längeren Zeitraum hinweg gewährleistet ist.

Ziele der Cyberresilienz-Verordnung (CRV)

Im Einzelnen sieht die CRV Folgendes vor:

  • Sie legt Regeln für die Markteinführung von Produkten mit digitalen Elementen fest und konzentriert sich dabei auf deren Cyber Sicherheit.
  • Sie definiert grundlegende Anforderungen an den Entwurf, die Entwicklung und die Produktion solcher Produkte und bestimmt, welche Verantwortung die Wirtschaftsakteure bei der Erfüllung der Anforderungen haben.
  • Sie legt wesentliche Leitlinien dafür fest, wie Hersteller verschiedene Schwachstellen in solchen Produkten während des gesamten Lebenszyklus handhaben sollten – einschließlich der Verantwortlichkeiten der Wirtschaftsakteure.
  • Sie umfasst Maßnahmen zur Marktüberwachung und Durchsetzung der genannten Vorschriften und Anforderungen.

Aktueller Stand der CRV

Am 30. November 2023 haben das Europäische Parlament und der Rat eine politische Einigung über die CRV erzielt, die von der Europäischen Kommission ursprünglich im September 2022 vorgeschlagen worden war.

Am 12. März 2024 gab das Europäische Parlament grünes Licht für die neuen Standards, die alle digitalen Produkte in der EU vor Cyber-Bedrohungen schützen sollen, am 24. Juli hat das Parlament die CRV verabschiedet. Am 10. Oktober 2024 hat auch der Europäische Rat den Rechtsakt angenommen [2] – nach Unterzeichnung durch den Präsidenten des Rates und die Präsidentin des Europäischen Parlaments wurde die CRV am 20. November 2024 im Amtsblatt der EU veröffentlicht [3] und trat 20 Tage danach in Kraft. Unternehmen haben nun noch 36 Monate Zeit, um sich an die meisten neuen Regeln anzupassen – die vorgesehenen Meldepflichten werden jedoch schon früher, nämlich 21 Monate nach Verabschiedung der Verordnung, also bis August 2026, verbindlich. Ab November 2027 müssen Unternehmen dann mit allen Anforderungen konform sein [4].

Generelle Aspekte der CRV

Die CRV wirkt sich auf Hersteller, Importeure und Vertreiber von Hardware- und Software-Produkten auf dem EU-Markt aus. Hersteller sollten folgende Anforderungen beachten:

  • Cyber-Sicherheit ist in jeder Phase des Produktlebenszyklus – von der Planung und dem Entwurf bis hin zur Entwicklung, Produktion, Lieferung und Wartung – zu berücksichtigen.
  • Alle Cyber-Sicherheitsrisiken sind zu dokumentieren.
  • Alle ausgenutzten Schwachstellen und Vorfälle sind zu melden.
  • Schwachstellen sind während der gesamten erwarteten Lebensdauer des Produkts effektiv zu verwalten.
  • Für die Verwendung von Produkten mit digitalen Elementen sind klare und leicht verständliche Anweisungen bereitzustellen.
  • Sicherheitsaktualisierungen sind für mindestens fünf Jahre bereitzustellen.

Importeure (Unternehmen in der EU, die Produkte unter dem Namen oder der Marke eines Nicht-EU-Unternehmens vermarkten) und Händler (die Produkte auf dem EU-Markt anbieten, ohne deren Leistung zu verändern) tragen ebenfalls Verantwortung: Sie müssen künftig prüfen, ob die Hersteller die CRV einhalten – einschließlich der ordnungsgemäßen Anbringung des CE-Zeichens, das die Übereinstimmung mit den EU-Normen anzeigt.

Geltungsbereich

Hersteller müssen selbst herausfinden, ob ihre Produkte in den Geltungsbereich des EU-Gesetzes fallen, um die Vorschriften ordnungsgemäß zu erfüllen. Das Gesetz teilt Produkte dabei in drei Kategorien ein, die jeweils einen anderen Ansatz zur Einhaltung der Vorschriften erfordern (vgl. Tab. 3):

  • Wichtige Produkte der Klasse I: benötigen entweder eine Bewertung durch Dritte oder müssen selbst erklären, dass sie die festgelegten Standards erfüllen.
  • Wichtige Produkte der Klasse II: erfordern zwangsläufig eine Bewertung durch Dritte.
  • Kritische Produkte: werden unter der Schirmherrschaft der nationalen Behörden von Dritten bewertet.

Tabelle 1: Sicherheitsanforderungen in Bezug auf die Eigenschaften von Produkten mit digitalen Elementen Quelle: Europäisches Parlament

Tabelle 1

Category

Description

Vulnerability Mitigation

Products must be free of known exploitable vulnerabilities before being released to the market.

Security by Default

Products should come with a secure default configuration, including the option to reset to the original state, unless otherwise agreed with business users for customized products.

Vulnerability Remediation

Vulnerabilities should be addressed through security updates, including automatic updates enabled by default within an appropriate timeframe, with a clear opt-out mechanism and user notification.

Unauthorized Access Protection

Protect against unauthorized access through appropriate control mechanisms like authentication and identity management, with reporting on possible unauthorized access.

Confidentiality Protection

Encrypt stored, transmitted, or processed data using state-of-the-art mechanisms to ensure its confidentiality.

Integrity Protection

Protect the integrity of stored, transmitted, or processed data against unauthorized manipulation or modification, and report corruptions.

Data Minimization

Process only necessary and relevant data in relation to the product’s intended purpose.

Availability Protection

Preserve the availability of essential functions, even after incidents, through resilience and mitigation measures against denial-of-service attacks.

Minimize Negative Impact

Minimize the impact of incidents on the availability of services provided by other devices or networks.

Attack Surface Reduction

Design, develop, and produce products to limit attack surfaces, including external interfaces.

Incident Impact Reduction

Reduce the impact of incidents using appropriate exploitation mitigation mechanisms and techniques.

Security Information Provision

Provide security-related information by recording and monitoring internal activity, with an opt-out mechanism for users.

Secure Data Removal

Provide users with the ability to securely and easily remove all data and settings permanently, ensuring secure data transfer to other products or systems when applicable.

Tabelle 2: Anforderungen der CRV an die Handhabung von Schwachstellen
Quelle: Europäisches Parlament

Tabelle 2

Category

Description

Identify Vulnerabilities and
Components

Identify and document vulnerabilities and components in digital products; this includes creating a Software Bill of Materials (SBOM) covering at least the top-level dependencies.

Remediate Vulnerabilities

Address and fix vulnerabilities promptly, especially those posing risks to digital products, by providing security updates separately from functionality updates whenever technically possible.

Apply Effective and Regular Tests

Regularly test and review the security of digital products for optimal effectiveness.

Publicly Disclose Information about Fixed Vulnerabilities

Share information about fixed vulnerabilities publicly, including their description, affected products, impacts, severity, and guidance on remediation. Delay disclosure only in justified cases where the risks of disclosure outweigh the benefits until users have had the opportunity to apply patches.

Disclose Vulnerabilities

Establish and enforce a policy on coordinated vulnerability disclosure. Provide a contact address for reporting discovered vulnerabilities.

Share Information About Potential Vulnerabilities

Facilitate sharing information about potential vulnerabilities in digital products and third-party components, including by providing a contact address for vulnerability reporting.

Securely Distribute Updates for Products

Implement mechanisms to securely distribute updates for digital products to fix or mitigate vulnerabilities in a timely manner, including automatic distribution for security updates where applicable.

Disseminate Security Patches or Updates for Free

Security updates addressing identified issues should be disseminated promptly and free of charge, unless otherwise agreed for tailor-made products. Provide advisory messages with relevant information for users, including recommended actions.

Die CRV gilt jedoch nicht für jedes Produkt. Bestimmte Arten, die bereits von anderen EU-Verordnungen abgedeckt werden, sind davon ausgenommen. Dazu zählen:

  • Medizinprodukte, die unter EU 2017/745 fallen (Medical Device Regulation, MDR, oder Europäische Medizinprodukte-Verordnung)
  • In-vitro-Diagnostika gemäß EU 2017/746 (IVDR)
  • Produkte für die Straßenverkehrssicherheit gemäß EU 2019/2144 (Verordnung über die Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge im Hinblick auf ihre allgemeine Sicherheit und den Schutz der Fahrzeuginsassen und von ungeschützten Verkehrsteilnehmern, …)
  • Ausrüstung für die Zivilluftfahrt und den Luftverkehr gemäß EU 2018/1139 (Verordnung zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit, …)
  • Schiffsausrüstung, die unter die Richtlinie 2014/90/EU fällt (Schiffsausrüstungsrichtlinie, engl. Maritime-Equipment-Directive, MED)
  • Produkte, die speziell für nationale Sicherheits- oder Verteidigungszwecke oder für den Umgang mit Verschlusssachen bestimmt sind, fallen ebenfalls nicht unter die CRV

Spezielle Aspekte für OT

Sicherheitsinspektion vor der Auslieferung

Vor der Auslieferung ist es für Maschinenhersteller von entscheidender Bedeutung, einen umfassenden Malware-Scan jeder Maschine durchzuführen. Dieser Prozess umfasst die Erkennung und Dokumentation jeglicher Schadprogramme. Darüber hinaus müssen ständig Informationen zu den einzelnen Assets gesammelt werden, um eine Inventarliste zu erstellen, die IT/OT-Transparenz sicherstellt und Schatten-IT/-OT ausmerzt. Diese vorbeugende Maßnahme gewährleistet, dass Maschinen bei der Übergabe sicher sind und wie vorgesehen funktionieren.

Umfassende Malware-Schutz-Strategien für die Geschäftskontinuität

Für Maschinen jeder Größe, die mit Windows-Betriebssystemen arbeiten, stellt Endpunkt-Anti-Malware- Software die effektivste Verteidigungsstrategie dar. Diese Software sollte die folgenden Funktionen umfassen:

  • Operations-Behaviour-Anomaly-Detection: Fortschrittliche Algorithmen können anormales Verhalten im Systembetrieb idealerweise in Echtzeit erkennen. Diese Anomalie-Erkennung verbessert die Sicherheit, indem sie frühzeitige Detektion und prompte Warnungen ermöglicht, was eine schnelle Untersuchung und Entschärfung bis hin zur Verhinderung verdächtiger Aktivitäten erleichtert.
  • Schutzmodus: prüft aktiv das System und seine Umgebung, um Bedrohungen zu erkennen und zu entschärfen.
  • Lock-Down-Modus: erstellt eine Whitelist mit vertrauenswürdigen Anwendungen und verhindert automatisch jede Software, die nicht ausdrücklich zugelassen ist. Dieser Modus ist entscheidend für die Aufrechterhaltung einer strengen Kontrolle darüber, was auf dem System ausgeführt werden darf, und stärkt so den Schutz vor bösartigen Eingriffen.

Verbesserung der Netzwerksicherheit zum Schutz gegen Sicherheitsverstöße

Netzwerksicherheitsanwendungen spielen eine wichtige Rolle beim Schutz von Maschinen, besonders von solchen, die aus der Ferne verwaltet werden. Für OT-Umgebungen ist der Einsatz einer OT-zentrierten Firewall unerlässlich, um Netzwerkverbindungen zu sichern. Zusätzlich sollte man auf OT zugeschnittene Intrusion-Prevention-Systems (IPS) einsetzen, um bösartige Datenpakete und nicht autorisierte Netzwerkbefehle präventiv abzuwehren.

Abzuraten ist von IT-Sicherheitslösungen, die als „auch OT-tauglich“ angepriesen und somit nur in anderem Gewand vermarktet werden. OT-Sicherheit ist ein Bereich für sich, der spezialisierte Produkte erfordert, die Maschinen aller Art und ihre besonderen Anforderungen abdecken. Diese Systeme können in Größe und Ansatz variieren:

  • Eingebetteter Formfaktor: Kleinere IPS-Geräte lassen sich beispielsweise direkt in einzelne Maschinen integrieren.
  • OT-Netzwerk-Segmentierung: umfasst eine Reihe von Sicherheitsfunktionen, die eine effektive Segmentierung ermöglichen – sei es logisch oder physisch, basierend auf den für jede Zone definierten Stufen.
  • Signaturbasiertes virtuelles Patching: Durch virtuelles Patching verfügt ein Netzwerk über eine leistungsstarke, erste Verteidigungslinie gegen bekannte Bedrohungen. Benutzer haben dadurch eine bessere Kontrolle über den Patching-Prozess, was eine präventive Verteidigung bei Zwischenfällen ermöglichen und zusätzlichen Schutz für ältere Systeme bieten kann.
  • Lösungen in größerem Maßstab: Größere Einheiten können das Netzwerk für mehrere Rechner oder Maschinen gleichzeitig schützen und bieten so eine skalierbare Lösung für Herausforderungen der OT-Netzwerksicherheit.

Tabelle 3: Unterscheidung wichtiger und kritischer Produkte mit digitalen Elementen nach der CRV
Quelle: Europäisches Parlament

Tabelle 3

Product Category

Important Products

Critical Products

Category

Class I

Class II

Critical

Criteria

• At least one of the following criteria:

• This digital-element product primarily performs critical cybersecurity functions for other products, networks, or services.

• The functions of this digital element product may directly manipulate and pose serious risks to the health and safety of a large number of other products or users.

• Class II products pose greater risks and their compromise have more serious impact due to their functions compared to Class I products.

• These products are essential dependencies for critical entities to the infrastructure as outlined in the relevant directives.

• Their criticality necessitates various forms of certification, and they are included under European cybersecurity certification schemes.

Conformity Assessment

• Self-declaration of meeting application standards or confirmation via third-party assessment

• Third-party assessment

• A higher-level European cybersecurity certification

Fazit

Mit der Einführung der Cyberresilienz-Verordnung (CRV) soll sichergestellt werden, dass Sicherheit „ab Werk“ ein zentraler Bestandteil der Entwicklung künftiger digitaler Geräte ist. Das bedeutet, dass Hersteller die Art und Weise, wie sie Produkte entwickeln, überdenken müssen! In der Vergangenheit haben sie sich häufig auf andere Merkmale ihrer Geräte konzentriert – etwa Funktionalität oder Energieeffizienz. Jetzt müssen sie auch die digitale Sicherheit von Anfang an ernsthaft mit betrachten.

Die CRV bringt erhebliche Kosten und Herausforderungen mit sich, um die neuen Vorschriften einhalten zu können. Das gilt für Hersteller, Importeure und Vertreiber: Sie müssen sich an die neuen Anforderungen und Standards anpassen, alle Vorfälle oder Schwachstellen überwachen und melden – und bei Nichteinhaltung der Vorschriften mit Sanktionen oder Haftbarmachung rechnen. Der Verstoß gegen die grundlegenden Sicherheitsanforderungen der CRV kann zu Geldbußen führen, die je nach Art des Verstoßes zwischen 5 und 15 Millionen Euro oder 1–2,5 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen können – je nachdem, welcher Betrag höher ist. Darüber hinaus können Behörden auch verlangen, dass nicht-konforme Produkte vom EU-Markt genommen werden.

Idealerweise sollten Hersteller ergo gewährleisten, dass die Sicherheit während der gesamten Produktentwicklung im Mittelpunkt steht. Im Bereich der OT können native Sicherheitslösungen dabei helfen, Bedrohungen zu identifizieren, die Angriffsfläche und Risiken zu reduzieren, denen Geräte ausgesetzt sind, sowie Wege zur Abwehr dieser Bedrohungen zu finden. Darüber hinaus ist ein Zero-Trust-Defense-Ansatz für die OT sowohl in Unternehmen als auch in industriellen Anlagen empfehlenswert, um Sicherheitsmaßnahmen schnell und gründlich zu verbessern.

Mirco Kloss ist Business Development Director DACH bei TXOne Networks.

Literatur

[1] Europäische Union, Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates vom 14.Juni 2023 über Maschinen und zur Aufhebung der Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates und der Richtlinie 73/361/EWG des Rates, in: Amtsblatt der Europäischen Union L 165, S. 1, Juni 2023, berichtigt im Juli 2023, konsolidierte Fassung: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02023R1230-20230629

[2] Europäischer Rat, Cyberresilienzgesetz: Rat verabschiedet neues Gesetz über Sicherheitsanforderungen für digitale Produkte, Pressemitteilung, Oktober 2024, www.consilium.europa.eu/de/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-
new-law-on-security-requirements-for-digital-products/

[3] Europäische Union, Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung), in: Amtsblatt der Europäischen Union, November 2024, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847

[4] Bundesamt für Sicherheit in der Informationstechnik, Cyber Resilience Act, Cybersicherheit EU-weit gedacht, Oktober 2024, www.bsi.bund.de/dok/cra

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.