Integrierte Sicherheitsstrategie : Sicher mit Synergie (1) : Wie sich aus EU- und UN-Regulatorik ein integriertes Sicherheitsfundament für die Industrie ableiten lässt
Aktuelle Regulierungen können – richtig verstanden – aufgrund ihres konvergierenden Sicherheitsverständnisses als Katalysator für nachhaltig strukturierte und robuste Sicherheitsarchitekturen dienen, die sowohl ein hohes Schutzniveau als auch eine effiziente Compliance ermöglichen. Unsere Autoren verdeutlichen dies anhand von UN-Regelwerken aus dem Automotive-Bereich sowie dem Cyber-Resilience-Act (CRA) und der EU-Maschinenverordnung (MVO) – dabei können auch branchenspezifische Regulierungen durchaus als Vorlage für moderne, vernetzte Architekturen und Produkte der Industrie in anderen Bereichen dienen.
Die fortschreitende digitale Vernetzung von Produkten verändert die Spielregeln industrieller Sicherheit fundamental und rückt Cybersecurity-Aspekte in ein neues Licht: Was einerseits Produktivität, Effizienz und innovative Geschäftsmodelle ermöglicht, eröffnet zugleich neue Angriffsflächen. Eine gut integrierte und nachhaltig verankerte Sicherheitsarchitektur bildet daher das strategische Fundament, um dem wachsenden Bedrohungsspektrum wirksam zu begegnen. Um dieser dynamischen Entwicklung standzuhalten, braucht es moderne Sicherheitsstrukturen, die technische und regulatorische Perspektiven gleichermaßen berücksichtigen und in ein kohärentes Gesamtkonzept überführen.
CRA und MVO
Vor diesem Hintergrund rücken konkrete regulatorische Initiativen zunehmend in den Fokus, um verbindliche Rahmenbedingungen für sicherheitsrelevante Anforderungen zu schaffen. Der Cyber-Resilience-Act (CRA, [1]) verfolgt das Ziel, Produkte mit digitalen Elementen über ihren gesamten Lebenszyklus hinweg sicher zu gestalten. Cybersecurity wird dabei als kontinuierliche Herstellerverantwortung definiert, die weit über das Inverkehrbringen selbst hinausreicht und dadurch klar die Verantwortung vom Konsumenten zum Hersteller verlagert. Der CRA ist bereits im Dezember 2024 in Kraft getreten (vgl. Abb. 1), wobei erste Pflichten, wie etwa die Meldepflicht von Schwachstellen, ab dem 11. September 2026 verpflichtend gelten. Der 11. Dezember 2027 markiert dann den Stichtag für die vollständige Anwendbarkeit aller CRA-Anforderungen auf „Produkte mit digitalen Elementen“.
Die EU-Maschinenverordnung (MVO, [2]) wurde schon 2023 veröffentlicht und hat die bis dato gültige Maschinenrichtlinie 2006/42/EG abgelöst. Ab dem 20. Januar 2027 ist sie für neu auf den Markt gebrachte Produkte vollständig anzuwenden. Sie bildet einen zentralen rechtlich bindenden Rahmen für die grundlegende Produktsicherheit von Maschinen und verknüpft funktionale Sicherheit erstmals systematisch mit den digitalen Aspekten der Cybersecurity. Zentrale Zielsetzung ist der physische Schutz von Menschen, Haustieren und Eigentum vor Gefährdungen durch Maschinen – betroffen sind Hersteller, Importeure sowie Händler von Maschinen (vgl. [3]).
Überschneidungen zwischen CRA und MVO werden vor allem dort sichtbar, wo die funktionale Sicherheit einer Maschine unmittelbar von der Integrität ihrer digitalen Komponenten abhängt: Moderne Industrieanlagen sind zunehmend softwaregesteuert, vernetzt und updatefähig, wodurch sich klassische mechanische Risiken hin zu digitalen Einflussfaktoren verschieben, die sicherheitsrelevante Funktionen direkt beeinträchtigen können. Da beide Vorgaben als EU-Verordnungen unmittelbar und einheitlich in allen EU-Mitgliedstaaten gelten, sind keine nationalen Umsetzungsschritte erforderlich. Dadurch entsteht ein konsistenter regulatorischer Rahmen, der die Verzahnung von funktionaler Sicherheit und Cybersecurity verbindlich adressiert und strukturell zusammenführt.
Einordnung CRA/MVO in EU-Produktregulierungen
EU-Verordnungen lassen sich grundsätzlich nach ihrem Anwendungsbereich in „horizontale“ und „vertikale“ Regulierungen einteilen: Während horizontale Regulierungen sektorübergreifend für viele oder alle Branchen gelten, sind vertikale Regulierungen branchen- oder produktspezifisch zugeschnitten. Die MVO ist eine klassische vertikale Produktregulierung, da sie konkrete Sicherheitsanforderungen für Maschinen definiert. Im Kontrast dazu steht der CRA als horizontale Regulierung, der allgemeine, sektorübergreifende Cybersecurity-Anforderungen für Produkte mit digitalen Elementen festlegt (siehe auch [4]).
Zur europäischen Cybersecurity-Landschaft gehören darüber hinaus der EU Cybersecurity-Act, die NIS‑2- Richtlinie sowie die Datenschutz-Grundverordnung (DSGVO). Wo der CRA die Cybersecurity von Produkten stärkt, legt NIS-2 organisationsbezogene Anforderungen für die Sicherheit kritischer und wichtiger Dienste fest – ergänzend dazu regelt die DSGVO als horizontale Datenschutzregulierung den Umgang mit personenbezogenen Daten über alle Sektoren. Kumuliert bilden sie ein abgestimmtes Regulierungsgefüge für Produkt-, Organisations- und Datensicherheit.
UNECE und Cybersecurity
Neben dem allgemeinen europäischen Rahmen für Cybersecurity und Produktsicherheit lohnt sich ein Blick auf den Mobilitätssektor, in dem bereits früh ein vergleichbarer, jedoch deutlich spezialisierter Regelungsansatz etabliert wurde. Die „United Nations Economic Commission for Europe“ (UNECE) nimmt im Bereich Cybersecurity eine bewusst vorauslaufende Rolle ein: Sie betrachtet etwa die Absicherung vernetzter Fahrzeugarchitekturen nicht als isolierte IT-Disziplin, sondern als grundlegende Voraussetzung für sichere Fahrzeugfunktionen und damit für die Verkehrssicherheit insgesamt. Im regulatorischen Kontext wird explizit hervorgehoben, dass moderne Fahrzeuge zunehmend als vernetzte digitale Systeme agieren und daher gegen externe Manipulation, unautorisierte Eingriffe und systemische Cyberrisiken zu schützen sind [5].
UN R155 zu Cybersecurity und UN R156 zu Software-Updates
Mit den Regelwerken UN R155 „Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system“ [6] sowie UN R156 „Uniform provisions concerning the approval of vehicles with regards to software update and software updates management system“ [7] vollzieht die UNECE einen grundlegenden Paradigmenwechsel in der Bewertung und Genehmigung moderner Fahrzeuge (siehe auch [8, 9]): Cybersecurity wird nicht länger als isolierte technische Einzelmaßnahme verstanden, sondern als integraler Bestandteil der Fahrzeugzulassung und damit zur systemischen Voraussetzung für die Marktfähigkeit.
Gerade UN R155 verschiebt die Perspektive von punktuellen technischen Schutzmaßnahmen hin zu einem ganzheitlichen, organisatorisch verankerten Cybersecurity-Management-System (CSMS), das den gesamten Fahrzeuglebenszyklus umfasst und damit erstmals eine strukturierte, prozessuale Verantwortung für Cyberrisiken im Fahrzeugbereich etabliert. UN R156 ergänzt diesen Ansatz durch die verbindliche Regelung des Software-Update-Lebenszyklus und überführt damit auch die kontinuierliche Weiterentwicklung von Fahrzeugsoftware in einen regulierten, nachvollziehbaren Rahmen.
UN R157 zu hochautomatisiertem Fahren
UN R155 und UN R156 folgen der grundlegenden Philosophie, Sicherheit moderner Fahrzeuge über den gesamten Betriebszeitraum hinweg sicherzustellen – UN R157 „Uniform provisions concerning the approval of vehicles with regard to Automated Lane Keeping Systems“ [10] erweitert diese sicherheitsorientierte Grundlage in das Feld des hochautomatisierten Fahrens und markiert damit einen regulatorischen Übergang hin zu SAE-Level‑3- Systemen wie einem „Automated Lane Keeping System“ (ALKS), das unter klar definierten Bedingungen die vollständige Fahrzeugführung übernehmen kann (vgl. Abb. 2 und [11]). Hier werden somit Anforderungen an Safety und Security eines hochgradig automatisierten und „gefährlichen“ Systems beschrieben.
Erstmals wurde die UN R157 im Jahr 2020 im Rahmen von WP.29 verabschiedet und seither durch mehrere Addenda weiterentwickelt, allem voran hinsichtlich Leistungsumfang, zulässiger Einsatzbereiche und Fahrzeugklassen. Der Anwendungsbereich, der ursprünglich für Personenkraftfahrzeuge der Klasse M1 konzipiert war, wurde sukzessive auf schwere Nutzfahrzeuge sowie Busse und Reisebusse ausgeweitet.
Die Regelung definiert einen klar abgegrenzten Betriebsbereich, typischerweise auf Autobahnen oder autobahnähnlichen Straßen, zunächst bis 60 km/h und in späteren Erweiterungen bis zu 130 km/h, abhängig von technischer Auslegung und nationaler Umsetzung. Im Kern beschreibt ALKS ein System, das innerhalb seiner Operational Design-Domain (ODD) den vollständigen „Dynamic Driving-Task“ übernehmen kann: Das umfasst Längs- und Querführung sowie die kontinuierliche Wahrnehmung und Interpretation der Verkehrssituation. Außerhalb des definierten Bereichs bleibt der Fahrer als Rückfallebene erforderlich und muss jederzeit übernahmebereit sein. UN R157 stellt hierzu ein strukturiertes Set technischer und funktionaler Anforderungen bereit, das als Grundlage für die Typgenehmigung automatisierter Fahrfunktionen dient und damit einen zentralen Schritt zur Einführung von Level-3- Automatisierung im realen Straßenverkehr markiert.
Automotive als Blueprint
Der Automotive-Sektor zeigt im Kontext von UN R155–R157 somit exemplarisch, wie sich Cybersecurity, Software-Lifecycle-Management und integrierte Systemanforderungen frühzeitig als zentrale Designprinzipien in die Entwicklung softwareintensiver und vernetzter technischer Systeme einbetten lassen. So entstehen strukturierte Ansätze zur Absicherung komplexer Produkte über ihren gesamten Lebenszyklus hinweg.
Vor diesem Hintergrund stellt sich die Frage, inwiefern sich vergleichbare Grundprinzipien auch in anderen regulatorischen Rahmenwerken wiederfinden lassen und wie eine frühzeitige, ganzheitliche Integration von Leitlinien und Sicherheitsanforderungen systematisch verankert werden kann.
Grundprinzipien einer integrierten Sicherheitsstruktur
Die aktuelle Regulierungslandschaft sollte nicht als Restriktion verstanden werden, sondern als Katalysator für nachhaltig strukturierte und robuste Sicherheitsarchitekturen, die sowohl ein hohes Schutzniveau als auch eine effiziente Compliance ermöglichen. Moderne Produkte erfordern durchgängige, miteinander verzahnte Sicherheitsprinzipien, die über den gesamten Lebenszyklus hinweg wirksam sind.
Cybersecurity als Teil nachhaltiger Produktverantwortung
Alle angesprochenen Verordnungsansätze folgen einem gemeinsamen Grundschema: Cybersecurity wird als strategische Kernfunktion verstanden und als integraler, lebenszyklusübergreifender Bestandteil der Produktverantwortung verankert. Die komplementäre Verzahnung von funktionaler Sicherheit und Cybersecurity eröffnet unterschiedliche Perspektiven auf Risiken, basierend auf derselben Systemarchitektur, jedoch mit jeweils eigenen Schutz- und Bewertungslogiken (vgl. [3, 11]).
Vernetzte Systeme sind dynamisch, softwaregetrieben und kontinuierlich Bedrohungen ausgesetzt. Daher ist ihr Sicherheitsniveau kontinuierlich zu pflegen, zu überwachen und weiterzuentwickeln. Bereits ab der Konzeptund Designphase gilt es, Risiken, die durch Lieferketten oder andere externe Schnittstellen entstehen können, gezielt zu kontrollieren. Im laufenden Betrieb stehen Fähigkeiten wie das Monitoring, aber auch die Anpassung an neue Bedrohungen im Vordergrund. Und auch die Phase der Außerbetriebnahme ist sicherheitsrelevant, etwa im Hinblick auf konforme Datenlöschung oder die Deaktivierung von Kommunikationsschnittstellen.
Von technischen Maßnahmen zur Governance-Struktur
Technische Komponenten – beispielsweise Firewalls, Verschlüsselung oder sichere Update-Prozesse – bleiben zweifellos unverzichtbare, integrale Bestandteile der Security, entfalten ihre volle Wirksamkeit allerdings erst durch Einbettung in übergeordnete GovernanceStrukturen.
Auch Standards wie ISO 26262 „Road vehicles – Functional safety“ oder ISO 21448 „Road vehicles – Safety of the intended functionality“ reflektieren diese Grundlogik aus einer variierten Perspektive: Sicherheit entsteht nicht allein durch innovative Technik, sondern durch organisatorisch verankerte Prozesse, klare Verantwortlichkeiten und kontinuierliche Risikoentscheidungen. Ein solcher Governance-Ansatz stärkt die Resilienz von Organisationen und ermöglicht es ihnen, auf neue Bedrohungslagen strukturiert und priorisiert zu reagieren.
Zwischenfazit
Cybersecurity hat sich mit der zunehmenden Digitalisierung von Produkten, der Vernetzung von Wertschöpfungsketten sowie neuen regulatorischen Anforderungen von einer Technikdisziplin zur Managementaufgabe gewandelt und ist heute eine zentrale Voraussetzung für Marktzugang, Wettbewerbsfähigkeit und langfristige Wirtschaftlichkeit. Die aktuellen Entwicklungen verdeutlichen, dass transparente und organisatorische Verankerungen erforderlich sind.
Die Spielregeln für die Industrie verändern sich: Regulatorisch wird nicht nur der Nachweis sicherer Produktentwicklung, sondern auch die permanente Wirksamkeit der Maßnahmen über den gesamten Produktlebenszyklus hinweg eingefordert. Risiken sind kontinuierlich zu bewerten, Schwachstellen und Vorfälle nachweisbar zu managen und Updates über den gesamten Produktlebenszyklus sicher bereitzustellen. Auch Governance-Strukturen müssen etabliert werden und machen Cybersecurity zu einer wesentlichen Komponente der Produktsicherheit und nicht zu einem optionalen „Add-on“.
Die Überschneidungen zwischen CRA, MVO, UNECE und weiteren Regelwerken sind kein Zufall, sondern Ausdruck eines konvergierenden Sicherheitsverständnisses. Die aktuelle Regulierungslandschaft entfaltet ihre Wirkung durch Synergien und Parallelen: Obwohl die individuellen Schutzziele variieren, greifen alle Richtlinien auf dieselben technischen Architekturen, Systeme und Wertschöpfungsketten zurück – dadurch entsteht ein komplementärer Ordnungsrahmen, der funktionale Sicherheit und Cybersecurity konsistent verbindet.
Wie sich hiermit – auch über den Anwendungsbereich der Automotive-Industrie hinaus – Synergien und hilfreiche Strukturen schaffen lassen, belegen branchenübergreifende Fallbeispiele in Teil 2 dieses Beitrags. Außerdem wird darin die praktische Verzahnung von Organisation und Technik erörtert.
Patrick Smuda ist Project Manager, Dr.-Ing Wolfgang K. Walter ist Partner im Bereich Informationssicherheit, IT- und Cyber-Security bei der EFS Unternehmensberatung GmbH.
Literatur
[1] Europäische Union, Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen … (Cyberresilienz-Verordnung), in: Amtsblatt der Europäischen Union L 20. November 2024, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
[2] Europäische Union, Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates vom 14. Juni 2023 über Maschinen …, in: Amtsblatt der Europäischen Union L 165, S. 1, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32023R1230
[3] TÜV Austria, EU-Maschinenverordnung und Cyber Resilience Act (CRA) – Was Hersteller jetzt beachten müssen, Pressemitteilung, November 2025, www.ots.at/presseaussendung/OTS_20251030_OTS0061/eu-maschinenverordnung-und-cyber-resilience-act-crawas-hersteller-jetzt-beachten-muessen
[4] European Commission, Cyber Resilience Act – Standardisation, Januar 2026, https://digital-strategy.ec.europa.eu/en/policies/cra-standardisation
[5] United Nations Economic Commission for Europe (UNECE), Consolidated Resolution on the Construction of Vehicles (R.E.3), Revision 7, Mai 2023, https://unece.org/transport/documents/2023/05/standards/consolidated-resolution-construction-vehicles-re3-revision-7
[6] United Nations Economic Commission for Europe (UNECE), Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system, UN Regulation R155, März 2021, https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-andcyber-security
[7] United Nations Economic Commission for Europe (UNECE), Uniform provisions concerning the approval of vehicles with regards to software update and software updates management system, UN Regulation R156, März 2021, https://unece.org/transport/documents/2021/03/standards/un-regulation-no-156-software-update-and-software-update
[8] Patrick Smuda, Wolfgang K. Walter, Sichere Digitalisierung im Automotive-Sektor (1), UNECE R155 – Cybersicherheits-Managementsysteme als Erfordernis der digitalisierten Zukunft, 2023# 4, S. 65, www.kes-informationssicherheit.de/print/titelthema-supplychain-security-integritaet-digitaler-artefakte/sichere-digitalisierung-im-automotive-sektor-1/ (<kes>+)
[9] Patrick Smuda, Wolfgang K. Walter, Sichere Digitalisierung im Automotive-Sektor (2), UNECE R156 – Softwareupdate-Managementsysteme und die Bedeutung für Lieferanten, 2023# 5, S. 30, www.kes-informationssicherheit.de/print/titelthema-erschoepfung-nach-erpressung-it-teams-am-limit/sichere-digitalisierung-im-automotive-sektor-2/ (<kes>+)
[10] United Nations Economic Commission for Europe (UNECE), Uniform provisions concerning the approval of vehicles with regard to Automated Lane Keeping Systems, UN Regulations R157, März 2021, https://unece.org/transport/documents/2021/03/standards/unregulation-no-157-automated-lane-keeping-systemsalks
[11] Thomas Paulsen, Autonomes Fahren: Die 5 Stufen zum selbst fahrenden Auto, ADAC-Infos zu Ausstattung, Technik & Zubehör, August 2025, www.adac.de/rund-ums-fahrzeug/ausstattung-technik-zubehoer/autonomes-fahren/grundlagen/autonomes-fahren-5- stufen/