Durch die EU-Vorgaben an IT- und Maschinensicherheit geraten Hersteller, Betreiber und Integratoren in direkte Verantwortung für Risiken. Unternehmen, die diese Anforderungen umsetzen, erhöhen ihre Resilienz und steigern das Vertrauen bei Kunden und Partnern.
EU-Cybersicherheitsvorgaben: Cyberangriffe auf Anlagen und Maschinen sind bittere Realität. Aspekte wie unsichere Fernwartungszugänge oder ein vernachlässigtes Patch-Management entwickeln sich schnell zum Betriebsrisiko. Die Tage der abgeschotteten Operational Technology sind vorbei, stattdessen sind die Systeme heute dauerhaft mit dem Firmennetzwerk verbunden. Die strukturelle Verwundbarkeit, die dieser Paradigmenwechsel mit sich gebracht hat, haben bislang nicht alle Unternehmen erkannt.
ür den Schutz sensibler Systeme, Anwendungen und Produktionsabläufe greifen nationale Gesetzgeber und die EU mit ihren EU-Cybersicherheitsvorgaben inzwischen in Bereiche ein, die bisher als rein technische oder organisatorische Entscheidungsfelder galten. Hersteller, Betreiber und Integratoren geraten nun in die direkte Verantwortung für Risiken, die bislang oft unsichtbar blieben – und die erstmals systematisch überprüft werden können. Der IT-Dienstleister NTT DATA hat die drei wichtigsten Bestimmungen genauer unter die Lupe genommen.
Cyber Resilience Act: EU-Cybersicherheitsvorgaben für die Industrie
Der Cyber Resilience Act verpflichtet Hersteller von Produkten mit digitalen Elementen, Sicherheitsrisiken bereits in der Entwicklungsphase zu berücksichtigen. Produkte dürfen nicht mit bekannten Schwachstellen in Verkehr gebracht werden, Standardkonfigurationen müssen ab Werk sicher ausgelegt sein und unbefugte Zugriffe sowie Manipulationen sind technisch zu verhindern. Hersteller müssen außerdem während des gesamten Produktlebenszyklus Sicherheits-Updates sowie Patches bereitstellen und sind verpflichtet, Schwachstellen aktiv zu kommunizieren – sowohl gegenüber Kunden als auch gegenüber zuständigen Behörden. Für Komponenten der Operational Technology wie Steuerungen, Gateways und industrielle Geräte im Internet der Dinge bedeutet das einen Paradigmenwechsel: Sie gelten regulatorisch nicht mehr als reine Funktionsträger, sondern als sicherheitskritische Systeme mit dauerhafter Pflegepflicht.
EU-Maschinenverordnung
Die EU-Maschinenverordnung erweitert den bisherigen Sicherheitsbegriff und verankert Cyberrisiken als festen Bestandteil der Maschinensicherheit. Hersteller müssen nachweisen, dass vernetzte Maschinen auch bei Angriffen, fehlerhaften Daten, gestörten Verbindungen oder Softwaremanipulationen keine Bedrohung für Abläufe und das Firmennetzwerk darstellen. Steuerungs- und Sicherheitssysteme sind nach der Verordnung so zu gestalten, dass sie sowohl widerstandsfähig gegenüber Cyberangriffen als auch robust gegenüber Hardware- und Softwarefehlern sind. Veränderungen an Software und Parametern müssen nachvollziehbar protokolliert werden. Hinzu kommen neue Anforderungen für den Einsatz von Künstlicher Intelligenz in teil- oder vollautonomen Maschinen, insbesondere im Hinblick auf Nachvollziehbarkeit von Entscheidungen und die sichere Begrenzung von Fehlfunktionen.
NIS2
Die NIS2-Richtlinie (Network and Information Security Directive 2) macht aus der IT-Sicherheit von einer technischen Aufgabe eine unternehmerische Pflicht. Unternehmen in kritischen und wichtigen Sektoren müssen ihre Cyberrisiken systematisch analysieren und geeignete technische sowie organisatorische Maßnahmen nachweisen. Zudem sind sie verpflichtet, Sicherheitsvorfälle innerhalb enger Fristen zu melden. Sicherheitsanforderungen beschränken sich nicht mehr auf klassische IT, sondern erfassen ausdrücklich auch Operational Technology und Produktionsumgebungen. Zusätzlich rückt die Lieferkette in den Fokus, sodass Risiken bei Zulieferern und Dienstleistern regulatorisch relevant werden. Die Geschäftsleitung trägt damit eine deutlich verschärfte Verantwortung, da Versäumnisse bei der Cybersicherheit haftungs- und sanktionsrechtliche Folgen haben können.
„Weder NIS2, die EU-Maschinenverordnung noch der Cyber Resilience Act sind reine Bußgeldthemen, sondern längst zentrale Voraussetzungen für den Marktzugang und die Wettbewerbsfähigkeit“, warnt Christian Koch, Senior Vice President Cybersecurity IT/OT, Innovations & Business Development bei NTT DATA DACH. „Nur die Unternehmen, die diese Anforderungen konsequent umsetzen, bauen die notwendigen Sicherheitsstrukturen auf, erhöhen ihre Krisenfestigkeit und stärken das Vertrauen bei Kunden und Partnern.“ Jürgen Frisch
🎓Empfehlung der Redaktion Trovarit AG, anbieterneutraler Ansprechpartner bei der Auswahl, Einführung und Einsatzoptimierung von Business-Software, weitet ihr Webinar-Programm aus:
Webinare zum Thema Business Software
