In Punkto Sicherheit, kommt einiges auf die Industrie zu. So findet etwa bei den Normen und Gesetzen für die Sicherheit im industriellen Umfeld derzeit ein Umbruch statt. Getrieben wird dieser durch die Themen Security und Künstliche Intelligenz (KI). Für den Maschinen- und Anlagenbau sind beim Thema Security drei neue bzw. kommende gesetzliche Vorgaben relevant: Die EU-Richtlinie NIS 2, die neue Maschinenverordnung und der Cyber Resilience Act.
Mehr Pflichten, mehr Sanktionen
Die EU-Richtlinie NIS (Netz- und Informationssicherheit) zur Stärkung der Cybersicherheit galt bislang für Anbieter im Bereich kritische Infrastrukturen. Sie mussten mit Blick auf die Security angemessene Sicherheitsvorkehrungen treffen und gravierende Cybersicherheitsvorfälle melden. Der Nachfolger NIS 2 trat Anfang 2023 in Kraft und muss bis Herbst 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Richtlinie gilt jetzt auch für den Maschinenbau und die Automobilindustrie – für Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10Mio.€. Europaweit sind laut VDMA rund 9.000 Unternehmen betroffen. Sie müssen künftig nachweisen, dass sie technische, operative und organisatorische Security-Maßnahmen ergreifen. Dazu gehört zunächst die Risikoanalyse von bestehenden Systemen auch in Produktionsumgebungen. Dann folgen die Ausarbeitung und Umsetzung spezifischer Prozesse und Maßnahmen wie Passwortschutz oder Verschlüsselung sowie, Weiterbildung und Schulung von Mitarbeitern. Cybersicherheitsvorfälle müssen innerhalb von 24 Stunden den zuständigen Behörden gemeldet werden. Neu ist auch die ausdrückliche Einbeziehung von Lieferketten. Zusammengefasst betrifft NIS 2 nun mehr Unternehmen, erweitert die Pflichten und sieht strengere Sanktionen vor. Unternehmen, die keine Maßnahmen ergreifen, drohen empfindliche Strafen.
Security für den gesamten Produktlebenszyklus
Im September 2022 hat die EU-Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Dieser Cyber Resilience Act richtet sich an Hersteller von Produkten mit digitalen Elementen. Damit ist sowohl Hard- als auch Software (bzw. Firmware) gemeint. Die Verordnung bezieht sich hierbei sowohl auf Consumer- als auch auf Industrieprodukte, z.B. Maschinensteuerungen. Laut der Verordnung dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten. Des Weiteren werden Hersteller verpflichtet, Kunden über Sicherheitslücken so schnell wie möglich zu informieren und diese zu schließen. Die Verordnung betrifft also den gesamten Lebenszyklus eines Produktes. Das bedeutet, dass Hersteller nun auch über den üblichen Gewährleistungszeitraum hinaus Softwareupdates anbieten müssen, um auch zukünftige Bedrohungen abzuwehren. Es ist davon auszugehen, dass die Verordnung Ende 2024 verabschiedet wird. Im Zuge einer Smart-Factory-Potenzialanalyse für ihren Kunden KSB identifizierte die Managementberatung NEONEX Opti mierungschancen bei der Beschaffung der Lieferantendokumentation sowie der Erstellung von Unterlagen zur Qualitätsprüfung entlang der Supply-Chain. ‣ weiterlesen
Signifikante Ressourceneinsparung bei Pumpenhersteller KSB
NEONEX, Fabasoft Approve & KSB: „Win-win-win-Situation“ durch starke Partnerschaft
Signifikante Ressourceneinsparung bei Pumpenhersteller KSB
Die dritte neue gesetzliche Security-Vorgabe ist die Maschinenverordnung der EU. Ihre Veröffentlichung steht kurz bevor. Da sie eine Verordnung ist, muss sie nicht erst in nationales Recht übertragen werden. Maschinenhersteller haben 42 Monate Zeit, die neuen Anforderungen zu erfüllen. Die Maschinenverordnung ersetzt die bisherige Maschinenrichtlinie und macht – im Unterschied zur Vorgängerin – Cybersecurity verpflichtend. War die Maschinenrichtlinie eine reine Betrachtung der Safety, wurde in der Verordnung das Schutzziel Security unter „Protection against corruption“ in die „Essential health and safety requirements EHSR“ mit aufgenommen: Die Sicherheitsfunktionen der Maschine dürfen durch unbeabsichtigte oder vorsätzliche Verfälschung nicht beeinträchtigt werden. Bisher ist bekannt, dass ein Erfüllen der Vorgaben aus dem Cyber Resilliance Act zu einer Konformitätsvermutung für die Maschinenverordnung führt.
Wer muss sich um was kümmern?
Welche Bedeutung haben die gesetzlichen Vorgaben nun? Anhand des Sektors Stromerzeugung lassen sich die Zusammenhänge gut darstellen: Bislang war nur der Stromversorger von der NIS-Richtlinie zur betroffen. Mit NIS 2 müssen künftig auch Maschinenbauer, etwa Hersteller von Windkraftanlagen, die Vorgaben erfüllen. Die Maschinenbauer benötigen etwa Automatisierungslösungen, Steuerungen oder Sensoren. Ab einer bestimmten Größe fallen also auch Hersteller von elektrischen Komponenten unter NIS 2. Und da auch die Berücksichtigung der Lieferanten vorgeschrieben wird, muss sich auch ein Unternehmen wie Pilz um sichere Lieferketten kümmern und Anforderungen an ihre Lieferanten stellen. NIS 2 deckt also die komplette Lieferkette ab. Seit jeher müssen Maschinenbauer, um Maschinen in Europa einführen zu können, das Konformitätsbewertungsverfahren durchlaufen an dessen Ende die CE-Kennzeichnung steht. Jetzt, mit der neuen Maschinenverordnung, müssen Maschinenbauer nachweisen, dass ihre Maschinen auch gegen Manipulationen geschützt sind. Und schließlich unterliegt der Hersteller der elektrischen Komponenten den künftigen Vorgaben des geplanten Cyber Resilience Acts.
