Industrial Security wird durch mehrere europäische Regelwerke und normnahe Anforderungen geprägt. Im Mittelpunkt stehen die Maschinenverordnung, die NIS-2-Richtlinie, der Cyber Resilience Act sowie Anforderungen im Umfeld von ISO 13849-1:2023 und der CE-Kennzeichnung. Diese Regelwerke betreffen unterschiedliche Adressaten und greifen an verschiedenen Stellen in Entwicklung, Inverkehrbringen, Betrieb und Veränderung technischer Systeme ein.
Maschinenverordnung
Mit der Maschinenverordnung werden mehrere Änderungen eingeführt. Genannt werden Security im Sinn des Schutzes vor Korrumpierung, eine aktualisierte Liste der Hochrisikomaschinen, die künftig dynamisch angepasst werden soll, die Berücksichtigung von künstlicher Intelligenz, ein geändertes Konformitätsbewertungsverfahren, die digitale Betriebsanleitung, signifikante Änderungen an einer Maschine sowie die Tatsache, dass Software von Safety-Komponenten ausdrücklich adressiert wird.
Für Maschinenprodukte wird der Schutz vor Korrumpierung als Anforderung genannt. Die Security steht dabei mit einem Schwerpunkt auf der funktionalen Sicherheit. Damit wird Security im Maschinenkontext nicht isoliert behandelt, sondern in enger Beziehung zu sicherheitsbezogenen Funktionen von Maschinen.
NIS 2
Die NIS-2-Richtlinie adressiert wesentliche Einrichtungen und wichtige Einrichtungen. Im Zusammenhang mit Industrial Security werden für NIS 2 Maßnahmen zur Bewältigung von Securityrisiken genannt. Nach Artikel 21 sind Risikomanagement, technische Maßnahmen und organisatorische Maßnahmen zu treffen. Zusätzlich ist eine Benachrichtigung über bedeutende Securityvorfälle vorgesehen.
Im Veränderungsprozess werden kritische Infrastrukturen als wesentliche Einrichtungen eingeordnet. Maschinenbauer und Hersteller von Elektrogeräten werden als wichtige Einrichtungen dargestellt. Damit reicht die Wirkung von NIS 2 über klassische Betreiber kritischer Infrastrukturen hinaus in industrielle Wertschöpfungs- und Lieferstrukturen hinein.
Maßnahmen nach NIS 2
Für die in NIS 2 adressierten Betreiber werden mindestens die folgenden Maßnahmen zur Cybersecurity genannt:
- Grundsätze in Form von Richtlinien für Risiken und Informationssicherheit
- Incident Management zur Vorbeugung, Erkennung und zum Management von Cyber-Vorfällen
- Kontinuität durch Krisenmanagement und Schwachstellenmanagement
- Security in der Lieferkette zur Sicherung der Entwicklung bei Zulieferern
- Prüfung und Audit durch Methoden zur Messung der Wirksamkeit der Informations-Security
- technische Maßnahmen wie Kryptographie, sichere Kommunikation und Multi-Faktor-Authentifizierung
- personelle Security durch Ausbildung und Zugangskontrolle
Berichterstattung und Anmeldung
Betreiber müssen ihre nationale Cybersecuritybehörde unverzüglich über erhebliche Störungen, Zwischenfälle und Cyber-Bedrohungen ihrer kritischen Dienste informieren. Kritische Betreiber von digitalen Diensten und Infrastrukturen müssen sich bei der ENISA registrieren lassen, die wiederum die nationalen Behörden informiert.
Betriebspflichten und Sanktionen
Betreiber, die unter NIS 2 fallen, müssen ihre IT nach dem Stand der Technik secure betreiben. Im Einvernehmen mit den Aufsichtsbehörden kann die staatliche Behörde die Beseitigung von Securitymängeln verlangen, wenn diese festgestellt werden.
Als nicht-monetäre Strafen werden genannt:
- Konformitätsaufträge
- verbindliche Anweisungen
- Aufträge zur Durchführung von Securityaudits
- Anordnungen von Drohungen an die Kunden der Unternehmen
Als monetäre Strafen werden für wesentliche Unternehmen mindestens 10.000.000 Euro oder 2 Prozent des weltweiten Jahresumsatzes genannt, je nachdem, welcher Betrag höher ist. Für wichtige Unternehmen werden bis zu mindestens 7.000.000 Euro oder 1,4 Prozent des weltweiten Jahresumsatzes genannt, je nachdem, welcher Betrag höher ist.
Sektoren und Größenklassen
Die NIS-2-Richtlinie ersetzt die bisherige EU-NIS-Richtlinie und richtet sich an Betreiber kritischer Infrastrukturen sowie an wesentliche oder wichtige Unternehmen. Zu den wesentlichen Sektoren der kritischen Infrastruktur werden genannt:
- Energie
- Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser und Abwasser
- digitale Infrastruktur
- ICT-Service-Management B2B
- öffentliche Verwaltung
- Weltraum
Zu den wichtigen Sektoren der kritischen Infrastruktur werden genannt:
- Abfallwirtschaft
- Chemikalien
- Lebensmittel
- Industrie
- Post- und Kurierdienste
- digitale Dienste
- Forschung
Für die Auslegung der Richtlinie werden drei Schritte genannt:
- Das Unternehmen muss einschätzen, in welchen Sektor es fällt.
- Es muss ermittelt werden, ob das Unternehmen der Unternehmensgrößentabelle entspricht.
- Es müssen die Schwellenwerte des jeweiligen Sektors und der jeweiligen Einrichtung ermittelt und bewertet werden.
Als Beispiel für einen sektorspezifischen Schwellenwert wird die Zahl von 500.000 Personen genannt, die eine Dienstleistung in Anspruch nehmen. Dazu wird ein Beispiel genannt: Ein Kraftwerk mit mindestens 420 MW Nennleistung kann rechnerisch 500.000 Menschen versorgen.
Für die deutsche Umsetzung wird folgende Zuordnung dargestellt:
- Großunternehmen: wesentlich
- mindestens 250 Mitarbeiter
- mehr als 50 Mio. Euro Umsatz
- mehr als 43 Mio. Euro Bilanzsumme
- Mittelunternehmen: wichtig
- mindestens 50 und weniger als 250 Mitarbeiter
- mehr als 10 Mio. Euro und höchstens 50 Mio. Euro Umsatz
- mehr als 10 Mio. Euro und höchstens 43 Mio. Euro Bilanzsumme
- Kleinunternehmen: nicht reguliert
- mindestens 1 und weniger als 50 Mitarbeiter
- höchstens 10 Mio. Euro Umsatz
- höchstens 10 Mio. Euro Bilanzsumme
Als Ausnahme wird genannt, dass KRITIS-Betreiber als Teilmenge der wesentlichen Einrichtungen betrachtet werden.
Cyber Resilience Act
Der Cyber Resilience Act enthält Kernanforderungen für Produkte mit digitalen Elementen. Genannt werden:
- Secure-by-Design
Produkte müssen so konzipiert sein, dass Securityrisiken minimiert werden. Während ihres Lebenszyklus müssen Securityaktualisierungen vorhanden sein. - Berichterstattung über Vorfälle
Hersteller müssen Securityschwachstellen und Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden. - Bewertung der Konformität
Produkte müssen Konformitätsbewertungen unterzogen werden, um die Einhaltung von Cybersecuritystandards nachzuweisen, bevor sie auf den EU-Markt gelangen. - Lebenszyklus-Securitymanagement
Hersteller müssen die Security ihrer Produkte während des gesamten Lebenszyklus unterstützen und für rechtzeitige Aktualisierungen und Patches sorgen.
Implikationen für die Industrial Security
Für Hersteller von Industrial Control Systems wird genannt, dass Cybersecuritymaßnahmen sowohl in Hardware- als auch in Softwarekomponenten umgesetzt werden müssen.
Für Anbieter kritischer Infrastrukturen wird genannt, dass sichergestellt werden muss, dass alle angeschlossenen Systeme den CRA-Standards entsprechen, um Geldstrafen und Securityverstöße zu vermeiden.
Für die Lieferkette wird genannt, dass Lieferanten von Software und Komponenten ebenfalls die CRA-Anforderungen erfüllen müssen, damit Schwachstellen in der gesamten Lieferkette behoben werden.
ISO 13849-1:2023 und Zugänge zu FS-Steuerungen
Für die Zugänge zu den FS-Steuerungen werden Anforderungen genannt. Neu ist, dass die Fähigkeiten der Arbeitnehmer ausdrücklich erwähnt werden. Der Zugang ist nur für qualifiziertes Personal vorgesehen. Damit wird der Zugang zu sicherheitsbezogenen Steuerungsteilen personell und organisatorisch enger gefasst.
NIS 2 und CE-Kennzeichnung
Für NIS 2 wird ausdrücklich festgehalten, dass sie keine direkten Auswirkungen auf die CE-Kennzeichnung hat. Sie beeinflusst aber Organisationen, die strengere Cybersecuritymaßnahmen einhalten müssen, zum Beispiel durch die Umsetzung von Risikomanagement und Meldepflichten für Vorfälle.
Hinzu kommt die Sicherung der Lieferketten, was sich auf CE-gekennzeichnete Produkte auswirken kann, wenn sie in kritischen Sektoren verwendet werden. NIS 2 konzentriert sich auf die Cybersecurity von Organisationen, betrifft aber indirekt CE-gekennzeichnete Produkte, die in kritischen Sektoren eingesetzt werden. Zusätzlich wird eine Angleichung der Cybersecurityanforderungen an den CRA und andere Vorschriften genannt, damit CE-gekennzeichnete Produkte die erforderlichen Standards erfüllen.
CRA und CE-Kennzeichnung
Für die CE-Kennzeichnung im Zusammenhang mit dem CRA wird festgehalten, dass Hersteller zur Erlangung der CE-Kennzeichnung sicherstellen müssen, dass die CRA-Anforderungen eingehalten werden. Daraus folgen drei Punkte:
- Produkte mit digitalen Komponenten wie Software, IoT-Geräte und Hardware müssen Cybersecurityanforderungen erfüllen, bevor sie in der EU verkauft werden dürfen.
- Der CRA schreibt Security-by-Design vor und verpflichtet Hersteller, Schwachstellen während des gesamten Lebenszyklus eines Produkts zu beheben.
- Die CE-Kennzeichnung im Rahmen des CRA erfordert Konformitätsbewertungsverfahren, die je nach Risikostufe des Produkts eine Selbst- oder Fremdzertifizierung beinhalten können.
Zusammenfassung
Die Maschinenverordnung führt Security im Sinn des Schutzes vor Korrumpierung in den Maschinenkontext ein und adressiert dabei auch Software von Safety-Komponenten, digitale Betriebsanleitungen, signifikante Änderungen und neue Konformitätsfragen. NIS 2 richtet sich an wesentliche und wichtige Einrichtungen und fordert Risikomanagement, technische und organisatorische Maßnahmen, Vorfallmeldung, Auditierung und Sanktionen. Der Cyber Resilience Act verpflichtet Hersteller digitaler Produkte zu Secure-by-Design, Vorfallmeldung, Konformitätsbewertung und Lebenszyklus-Securitymanagement. ISO 13849-1:2023 verschärft den Blick auf Zugänge zu FS-Steuerungen durch die ausdrückliche Bezugnahme auf die Fähigkeiten der Arbeitnehmer und auf qualifiziertes Personal. Im Verhältnis zur CE-Kennzeichnung wirkt NIS 2 indirekt über organisatorische und lieferkettenbezogene Anforderungen, während der CRA direkte Auswirkungen auf Produkte mit digitalen Elementen und deren Konformitätsbewertung hat.