Home Elektroinstallation Elektrische Maschinen Cybersicherheit für Industrie und Gewerbe (2)

Der Cyber Resiliance Act (CRA)

Cybersicherheit für Industrie und Gewerbe (2)

Fachartikel | 07.02.2025

Hier folgt der zweite Teil zum Thema Cybersicherheit, bei dem wir den Schwerpunkt u. a. auf den Cyber Resilience Act (CRA) legen und dessen Bedeutung für Unternehmen in den Mittelpunkt stellen.

Korrektur zur Ausgabe 1-2.2025

Liebe Leserin, lieber Leser,

leider ist uns bei der Übergabe der Druckdaten an die Druckerei ein Fehler unterlaufen. Auf Seite 25 im Heft wurde die letzte Spalte im Beitrag nicht abgedruckt und Sie finden eine weiße Fläche vor. Das bitten wir zu entschuldigen. Sie finden den fehlenden Text hier am Ende dieses Online-Beitrags. Zusätzlich können Sie das Druck-PDF des gesamten Beitrags (Teile 1 und 2) am Ende dieser Veröffentlichung herunterladen.

Bevor wir tiefer in die Thematik einsteigen, hier noch eine kleine Anknüpfung an das bisher Gesagte: wir betrachteten uns im ersten Teil die Cyber­sicherheit in der digitalen Welt und stellten uns die Fragen, was der Begriff Cybersicherheit bedeutet und warum Cybersicherheit für alle so wichtig ist. Es folgten eine Gegenüberstellung der wichtigsten Normen und Standards in Form von der IEC 62443 und ISO 27001. Die Schwerpunkte des zweiten Teils finden Sie in Bild 1.

Bild 1: Übersicht zu den Themen des zweiten Teils
Bild 1: Übersicht zu den Themen des zweiten Teils
(Bild: M. Wiener)

Der Cyber Resilliance Act (CRA) – ein umfassender ­Überblick

Was ist der CRA?

Der CRA ist ein neues Gesetz der Europäischen Union, das darauf abzielt, die Cybersicherheit in der EU zu stärken und Unternehmen sowie Bürger besser vor Cyberangriffen zu schützen. Er stellt einen Meilenstein in der europäischen Cybersecurity-Strategie dar und soll dazu beitragen, die digitale Widerstandsfähigkeit der EU zu erhöhen. Der CRA ist noch nicht vollständig in Kraft getreten. Es gab jedoch bereits mehrere wichtige Meilensteine:

  • Einführung in das Europäische Parlament: Der CRA wurde im September 2022 in das Europäische Parlament eingebracht.
  • Verabschiedung: Im März 2024 wurde der CRA vom Europäischen Parlament angenommen.
  • Inkrafttreten: Am 20.11.2024 wurde der CRA in einem Amtsblatt der EU veröffentlicht und ist seit 11.12.2024 wirksam (Bild 2). Als Hersteller von Produkten, die dem CRA unterliegen, müssen die Anforderungen des Cyber Resilience Acts ab dem 11.12.2027 erfüllt werden.

Hintergrund und Ziele

  • Steigende Cyberbedrohungen: Die Zunahme und Komplexität von Cyberangriffen in den letzten Jahren hat gezeigt, dass ein umfassenderer und einheitlicherer Ansatz zur Cybersicherheit in der EU erforderlich ist.
  • Fragmentierte Landschaft: Vor dem CRA war die Cybersicherheit in der EU durch eine Vielzahl nationaler Gesetze und Vorschriften gekennzeichnet, was zu einer fragmentierten Landschaft führte.
  • Schwachstellen in der Lieferkette: Der CRA zielt auch darauf ab, Schwachstellen in der Lieferkette von Produkten mit digitaler Funktionalität zu schließen.
  • Höhere Sicherheitsstandards: Durch die Einführung strengerer Anforderungen an die Sicherheit von Produkten und Dienstleistungen soll ein höherer Sicherheitsstandard in der gesamten EU erreicht werden.
  • Verbesserte Transparenz: Unternehmen müssen künftig mehr Informationen über die Sicherheit ihrer Produkte und Dienstleistungen offenlegen.
  • Stärkere Zusammenarbeit: Der CRA fördert die Zusammenarbeit zwischen den Mitgliedstaaten und den EU-Institutionen im Bereich der Cybersicherheit.
  • Reaktion auf Cyberangriffe: Durch die Einführung von Meldepflichten soll eine schnellere Reaktion auf Cyberangriffe ermöglicht werden.

Kernpunkte des CRA

  • Anforderungen an Produkte: Der CRA enthält detaillierte Anforderungen an die Sicherheit von Produkten mit digitaler Funktionalität, wie z. B. Software, IoT-Geräte und industrielle Steuerungssysteme.
  • Risikobewertung: Hersteller müssen eine Risikobewertung durchführen, um Schwachstellen in ihren Produkten zu identifizieren und zu beheben.
  • Sicherheitsupdates: Unternehmen müssen sicherstellen, dass ihre Produkte regelmäßig mit Sicherheitsupdates versorgt werden.
  • Meldepflichten: Hersteller müssen bestimmte Cybervorfälle melden, um eine schnellere Reaktion auf Bedrohungen zu ermöglichen.
  • Zertifizierung: Der CRA sieht die Einführung eines europäischen Zertifizierungssystems für Cybersecurity-Produkte vor.
Bild 2: Mit der Einführung des CRA will die EU eine weitgehende Vereinheitlichung der Cybersicherheitsstandards für die Mitgliedsstaaten erreichen
Bild 2: Mit der Einführung des CRA will die EU eine weitgehende Vereinheitlichung der Cybersicherheitsstandards für die Mitgliedsstaaten erreichen
(Bild: artjazz – stock.adobe.com)

Was bedeutet der CRA für Unternehmen?

Der CRA stellt Unternehmen vor neue Herausforderungen, da sie ihre Produkte und Prozesse an die neuen Anforderungen anpassen müssen. Dies kann erhebliche Investitionen erfordern. Gleichzeitig bietet der CRA auch Chancen, da Unternehmen, die sich frühzeitig an die neuen Regeln anpassen, ­einen Wettbewerbsvorteil gewinnen können.

Aktiv werden: Was können Betriebe jetzt tun?

Nachfolgend gebe ich einen wesentlichen Überblick, im Abschnitt Praxisbeispiel erfolgt eine ausführliche Betrachtung zu einem möglichen Vorgehen in der Praxis.

  • Risikoanalyse durchführen: Unternehmen sollten eine umfassende Risikoanalyse durchführen, um ihre aktuelle Sicherheitslage zu bewerten und Schwachstellen zu identifizieren.
  • Compliance-Management-System einführen: Ein solches System hilft Unternehmen, die neuen Anforderungen des CRA umzusetzen und nachzuweisen.
  • Schulungen für Mitarbeiter: Mitarbeiter müssen für die Bedeutung von Cybersecurity sensibilisiert werden.
  • Lieferanten überprüfen: Unternehmen sollten ihre Lieferanten auf deren Cyber­security-Praktiken prüfen.
  • Zertifizierungen anstreben: Eine Zertifizierung nach den neuen europäischen Standards kann ein Wettbewerbsvorteil sein.

Aber Moment mal, IEC 62443, ISO 27001 und CRA, gibt es hier Verbindungen? Dies betrachten wir ausführlich im nächsten Abschnitt.

Zusammenspiel von CRA, IEC 62443 und ISO 27001

Der CRA bildet einen übergreifenden Rahmen für die Cybersicherheit in der EU. Innerhalb dieses Rahmens spielen die Normen IEC 62443 und ISO 27001 eine entscheidende Rolle, denn sie bieten konkrete technische und organisatorische Maßnahmen zur Umsetzung der im Act formulierten Ziele.

  • IEC 62443: Der CRA bezieht sich in vielerlei Hinsicht auf die IEC 62443, die als ­De-facto-Standard für die Sicherheit von industriellen Automatisierungssystemen gilt. Unternehmen, die in diesem Bereich tätig sind, müssen die Anforderungen der IEC 62443 erfüllen, um dem CRA zu entsprechen.
  • ISO 27001: Der CRA bezieht sich ebenfalls auf die ISO 27001, da sie einen etablierten Rahmen für den Aufbau und die kontinuierliche Verbesserung von Informations­sicherheit bietet. Unternehmen können die ISO 27001 nutzen, um die im CRA geforderten Anforderungen an die Informa­tionssicherheit umzusetzen.

CRA, IEC 62443 und ISO 27001: Dann ist ja alles klar?!

Leider nein! Denn es gibt kein »Rezept« für Cybersicherheit. Weder der CRA noch Normen wie IEC 62443 oder ISO 27001 bieten eine Schritt-für-Schritt-Anleitung, die für ­jedes Unternehmen und jede Situation gleichermaßen geeignet ist. Doch was sind die Gründe dafür, dass es keine einheitliche Vorgehensweise gibt? Folgende Punkte geben Antworten:

  • Dynamische Bedrohungslandschaft: Cyber-Bedrohungen entwickeln sich ständig weiter. Was heute als sicher gilt, kann morgen schon überholt sein.
  • Individuelle Anforderungen: Jedes Unternehmen hat andere Anforderungen, Strukturen und Risiken. Eine starre Vor­gabe würde vielen Unternehmen nicht ­gerecht werden.
  • Technologische Vielfalt: IT-Landschaften sind heterogen und komplex. Eine Universallösung für alle Technologien und Systeme gibt es nicht.

Der Nutzen für Unternehmen

Diese Richtlinien und Normen dienen als Rahmen und definieren Grundprinzipien für ein solides Cybersicherheitsmanagement. Sie bieten aus praktischer Sicht:

  • Bewährte Verfahren: Bewährte Methoden und Verfahren, die in der Praxis erprobt und getestet wurden.
  • Anforderungen: Spezifische Anforderungen, die Unternehmen erfüllen sollten, um ein angemessenes Sicherheitsniveau zu ­erreichen.
  • Strukturierung: Sie helfen dabei, einen systematischen Ansatz zur Verbesserung der Cybersicherheit zu entwickeln.

Die Umsetzung liegt aber in den Händen der Unternehmen. Die eigentliche Herausforderung besteht darin, diese Rahmenbedingungen an die spezifischen Bedürfnisse des Unternehmens anzupassen und umzusetzen. Daher folgt an dieser Stelle ein Praxisleit­faden, den ich aufgrund meiner Erfahrung erstellt habe, natürlich ohne Anspruch auf Vollständigkeit.

Praktischer Leitfaden zur Umsetzung des CRA

Die Umsetzung des Cyber Resilience Act (CRA) und die Einhaltung von Normen wie IEC 62443 und ISO 27001 stellen Organisa­tionen vor große Herausforderungen. Dieser Leitfaden soll Ihnen helfen, einen strukturierten Ansatz für die Umsetzung zu entwickeln.

1. Bestandsaufnahme und Risikoanalyse

  • Erfassen Sie die IT-Landschaft: Erstellen Sie eine detaillierte Bestandsaufnahme Ihrer IT-Systeme, Anwendungen und Daten.
  • Identifizieren Sie geschäftskritische Prozesse: Bestimmen Sie, welche Prozesse für Ihr Unternehmen am wichtigsten sind und welche Daten am sensibelsten sind.
  • Bewerten Sie Risiken: Führen Sie eine ­umfassende Risikobewertung durch, um potenzielle Bedrohungen und Schwachstellen zu ermitteln.
  • Analysieren Sie die rechtlichen Anforderungen: Prüfen Sie, welche spezifischen Anforderungen der CRA und anderer einschlägiger Gesetze für Ihr Unternehmen gelten.

2. Zielsetzung und Strategieentwicklung

  • Definieren Sie Ziele: Setzen Sie klare und messbare Ziele für Ihre Cybersicherheitsinitiativen.
  • Entwickeln Sie eine Strategie: Erstellen Sie auf der Grundlage Ihrer Risikoanalyse eine umfassende Cybersicherheitsstrategie, die Ihre Ziele unterstützt.
  • Erstellen Sie einen Fahrplan: Entwickeln Sie einen detaillierten Umsetzungsplan mit spezifischen Maßnahmen und Zeitplänen.

3. Umsetzung der Maßnahmen

  • ISMS einführen: Führen Sie ein Infor­ma­tions­sicherheits-Managementsystem (ISMS) nach ISO 27001 ein, um Ihre Informationssicherheit systematisch zu gewährleisten.
  • Technische Maßnahmen: Implementierung geeigneter technischer Maßnahmen wie Firewalls, Intrusion Detection Systeme, Verschlüsselung und Zugangskontrollen.
  • Organisatorische Maßnahmen: Führen Sie Mitarbeiterschulungen durch, legen Sie Prozesse für den Umgang mit Sicherheitsvorfällen fest und sensibilisieren Sie Ihre Lieferanten für das Thema Cybersicherheit.
  • OT-Sicherheit: Unternehmen mit industriellen Automatisierungssystemen sollten die Anforderungen der IEC 62443 umsetzen.

4. Kontinuierliche Verbesserung

  • Überwachung und Bewertung: Überwachen Sie kontinuierlich Ihre Sicherheitsmaßnahmen und führen Sie regelmäßige Bewertungen durch.
  • Anpassen: Passen Sie Ihre Sicherheitsmaßnahmen an neue Bedrohungen und technologische Entwicklungen an.
  • Reaktion auf Vorfälle: Entwickeln Sie ­einen wirksamen Plan zur Reaktion auf Vorfälle, um schnell und angemessen auf Sicherheitsvorfälle zu reagieren.

5. Unterstützung durch Beratung

  • Externes Fachwissen: Holen Sie sich externe Unterstützung von Cybersicherheits­experten, um Ihre Projekte zu begleiten.
  • Zertifizierung: Ziehen Sie eine Zertifizierung nach ISO 27001 oder IEC 62443 in Betracht, um die Wirksamkeit Ihrer Maßnahmen nachzuweisen.

Fazit

In diesem zweiteiligen Artikel haben wir uns der Cybersicherheit mit einer Analogie aus dem Privatleben genähert und später den Blick auf die Bedeutung für die Industrie gelenkt. Durch die detaillierte Betrachtung der Normen ist klar geworden, dass Cybersicherheit für jedes Unternehmen individuell betrachtet werden muss und eine ganzheitliche Aufgabe darstellt. Im Rahmen dieses Beitrags konnte nur ein Überblick verschafft werden, für eine Umsetzung in Ihrem Unternehmen empfehle ich Spezialisten zu konsultieren und eine maßgeschneiderte Lösung für den individuellen Fall zu finden.

Mit einem Klick auf den nachfolgenden Button, können Sie sich den gesamten Beitrag herunterladen.

Artikel als PDF herunterladen

Sollte es Probleme mit dem Download geben oder sollten Links nicht funktionieren, wenden Sie sich bitte an kontakt@elektro.net

Über den Autor
Autorenbild
Michael Wiener

M.Eng, Dozent am Fachbereich Elektro- und Informationstechnik der Hochschule Fulda

Verwandte Artikel
Interessante Artikel
ema-Newsletter

Das Neueste der
ema direkt in Ihren Posteingang!

Veranstaltungen
ALLE VERANSTALTUNGEN
Specials
Alle Specials
Praxisprobleme
Weitere Praxisprobleme

Whitepaper

Alle Whitepaper
Heftarchiv
ema
Aktuelle Ausgabe

ema 1-2/2025

Services
Archiv
Kostenlos testen
Abo
ema 1-2/2025
Newsletter

Das Neueste der
ema direkt in Ihren Posteingang!

Neu auf elektro.net
Integrierter Bremschopper für weitere Baugrößen verfügbar
Sinamics V20
Integrierter Bremschopper für weitere Baugrößen verfügbar
Das elektrische Feld
de+ Inhalt
Grundlagen zum elektrischen Feld (2)
Das elektrische Feld
Digitale Betriebsmittelverwaltung für Werkstatt und Baustelle
Verfügbarkeit von Maschinen und Werkzeug optimieren
Digitale Betriebsmittelverwaltung für Werkstatt und Baustelle
Weniger Planungsfehler durch (teil-)automatisierte Lichtplanung
de+ Inhalt
Effiziente Prozesse mit BIM (1)
Weniger Planungsfehler durch (teil-)automatisierte Lichtplanung
eltefa eltefa-thon
de+ Inhalt
Die Digitalisierung weiter voranbringen
Der »eltefa-thon« auf der »eltefa 2025« in Stuttgart
Migration Breitbandkabelnetze
de+ Inhalt
Vom Kupferkabel zur Glasfaser
Migration in Breitbandkabelnetzen
Bild 1: In den neuen in München entstandenen Appartements für Azubis bereiten elektrische Durchlauferhitzer das Warmwasser hygienisch und effizient
de+ Inhalt
Appartements für Azubis
Einsatz von dezentraler Warmwasserversorgung
Schaltanlage für die Sekundärverteilung cgm.zero24
Für die Primär- und Sekundärverteilung
F-Gas-freie Lösungen
Fachzeitschrift de
Kostenlose de-Leseprobe anfordern
Eine Ausgabe Probe lesen und ein genaues Bild machen
Stellenangebote
Meister / Techniker / Geselle (m/w/d) im Bereich Maschinenbau oder Elektrotechnik
Queisser Pharma GmbH & Co. KG
Vom 19.02.2025 Flensburg
Elektriker / Elektroniker (m/w/d) für gewerbliche Photovoltaik & Energiesysteme
1KOMMA5°
Vom 25.01.2025 remote/deutschlandweit
Vertriebsaußendienst für Bayern & Baden-Württemberg (m/w/d)
Helestra Leuchten GmbH
Vom 27.01.2025
Zum Stellenmarkt
Stellenanzeige schalten
Hüthig Shop: Fachwissen für Profis
Medien
ALLE BILDERGALERIEN
ALLE VIDEOS
Für jeden das richtige de-Abo

Firmenverzeichnis

Aug. Winkhaus SE & Co. KG

my-PV GmbH

Testfirma September 2023
Alle Firmen
Ihre Firma hinzufügen