Gezielte Cyberangriffe auf Anlagen und Maschinen sind längst Realität. Unsichere Fernwartungszugänge oder ein vernachlässigtes Patch-Management machen dabei aus mangelnder IT- und OT-Sicherheit ein echtes Betriebsrisiko. Mit CRA, NIS2 und der neuen EU-Maschinenverordnung reagiert der Gesetzgeber nicht nur mit klaren Empfehlungen, sondern auch mit konkreten Meldepflichten, Vorgaben und Sanktionen. NTT Data fasst zusammen, was hinter den drei Vorgaben steckt und welche Auswirkungen sie haben.
- Der Cyber Resilience Act (CRA): Der CRA verpflichtet Hersteller von Produkten mit digitalen Elementen, Sicherheitsrisiken bereits in der Entwicklungsphase systematisch zu berücksichtigen. Produkte dürfen nicht mit bekannten Schwachstellen in Verkehr gebracht werden, Standardkonfigurationen müssen ab Werk sicher ausgelegt sein und unbefugte Zugriffe sowie Manipulationen sind technisch konsequent zu verhindern. Hersteller müssen außerdem während des gesamten Produktlebenszyklus Sicherheits-Updates sowie Patches bereitstellen und sind verpflichtet, Schwachstellen aktiv zu kommunizieren – sowohl gegenüber Kunden als auch gegenüber zuständigen Behörden. Damit gelten OT-nahe Komponenten wie Steuerungen, Gateways und industrielle IoT-Geräte regulatorisch nicht mehr als reine Funktionsträger, sondern als sicherheitskritische Systeme mit dauerhafter Pflegepflicht.
- Die EU-Maschinenverordnung: Die neue EU-Maschinenverordnung erweitert den bisherigen Sicherheitsbegriff deutlich und verankert Cyberrisiken als festen Bestandteil der Maschinensicherheit. Hersteller müssen nachweisen, dass vernetzte Maschinen auch bei Angriffen, fehlerhaften Daten, gestörten Verbindungen oder Softwaremanipulationen keine Bedrohung für Abläufe und das Firmennetzwerk darstellen. Steuerungs- und Sicherheitssysteme sind nach der Verordnung so zu gestalten, dass sie sowohl widerstandsfähig gegenüber Cyberangriffen als auch robust gegenüber Hardware- und Softwarefehlern sind. Veränderungen an Software und Parametern müssen nachvollziehbar protokolliert werden. Hinzu kommen neue Anforderungen für den Einsatz von KI in teil- oder vollautonomen Maschinen, insbesondere im Hinblick auf Nachvollziehbarkeit von Entscheidungen und die sichere Begrenzung von Fehlfunktionen.
- NIS2: Durch die NIS2-Richtlinie müssen Unternehmen in kritischen und wichtigen Sektoren ihre Cyberrisiken systematisch analysieren, geeignete technische und organisatorische Maßnahmen nachweisen und Sicherheitsvorfälle innerhalb enger Fristen melden. Sicherheitsanforderungen beschränken sich nicht mehr auf klassische IT, sondern erfassen ausdrücklich auch Produktions- und OT-Umgebungen. Zusätzlich rückt die Lieferkette in den Fokus, sodass Risiken bei Zulieferern und Dienstleistern regulatorisch relevant werden. Die Geschäftsleitung trägt somit eine deutlich verschärfte Verantwortung, da Versäumnisse bei der Cybersicherheit haftungs- und sanktionsrechtliche Folgen haben können.
„Weder NIS2, die EU-Maschinenverordnung noch der CRA sind reine Bußgeldthemen, sondern längst zentrale Voraussetzungen für den Marktzugang und die Wettbewerbsfähigkeit“, sagt Christian Koch, Senior Vice President Cybersecurity IT/OT, Innovations & Business Development bei NTT Data DACH.
