SMCC Working Group 8: Erster Workshop zur Umsetzung des Cyber Resilience Acts (CRA) für die Halbleiterindustrie

Am 20. und 21. Februar 2025 fand in Brüssel der erste Face-to-Face Workshop der Working Group 8 des Semiconductor Manufacturing Cybersecurity Consortiums (SMCC) statt. Die neu gegründete Arbeitsgruppe widmet sich der Umsetzung des Cyber Resilience Acts (CRA) für die Halbleiterindustrie und arbeitet daran, einheitliche Sicherheitsstandards zu definieren. 

Auch wir engagieren uns aktiv in der SMCC Working Group 8, um die neuen Richtlinien mitzugestalten und den bestmöglichen Schutz für alle Anwender des CRA sicherzustellen. Für uns war Maximilian Junge, Sales Manager für unser Softwareframework ToolCommander® für Anlagensteuerungen, beim ersten Arbeitstreffen vor Ort in Brüssel. Wir haben ihm nach dem Treffen des SMCC ein paar Fragen gestellt. 

1. Wie setzt sich die Arbeitsgruppe zusammen und was waren die zentralen Fragestellungen der Teilnehmerinnen und Teilnehmer? 

Maximilian: Die Arbeitsgruppe besteht aus allen Akteuren entlang der Halbleiterlieferkette – von Komponentenherstellern und Softwarelieferanten wie wir als Kontron AIS, über OEMs bis zu den Betreibern der Fabs selbst. Eine zentrale Frage, die alle beschäftigte: Warum gibt es den CRA? Schließlich ist Cybersecurity für uns in der Halbleiterindustrie längst selbstverständlich. Diese Frage hat uns ein an der Ausarbeitung des Cyber Resilience Acts Beteiligter beantwortet:

• Fokus auf Unternehmen mit Nachholbedarf: Der CRA soll Cybersecurity vor allem bei Unternehmen in der EU in den Fokus rücken, die sich bisher nicht mit dem Thema Sicherheit beschäftigen.
• Grundsicherheit und langfristige Verpflichtung: Es soll ein grundsätzliches Sicherheitsniveau hergestellt werden, damit sich Unternehmen verbindlich mit Sicherheitsaspekten auseinandersetzen und diese langfristig garantieren. Dadurch sollen vor allem Verbraucherinnen und Verbraucher, Infrastruktur und industrielles Know-how besser geschützt werden.

Die Formulierungen des CRA sind sehr vage, da er branchenübergreifend für alle Produkte gilt. Daraus ergaben sich zwei weitere zentrale Fragen: 

1. Was sind die Mindestanforderungen an ein sicheres Produkt?
2. Wann ist die Konformität mit dem CRA erreicht? 

Obwohl der Cyber Resilience Act eine grundsätzliche Unterteilung in konform oder nicht konform vornimmt, gibt es hier keine klare Antwort. Die Mindestanforderungen hängen stark von der Komplexität des jeweiligen Produkts ab. Für Softwarelieferanten ist der Weg zur CRA-Konformität kürzer als für Maschinenbauer, deren Anlagen aus einzelnen Komponenten mehrerer Zulieferer sowie aus Software und Eigenentwicklungen besteht. Aufgrund der Produktkomplexität bestehen hier wesentlich größere Herausforderungen. 

Je weiter ein Produkt in der Lieferkette fortgeschritten ist, desto komplexer wird das Thema Cybersecurity. Unternehmen müssen Nachweise über die Cybersicherheit erbringen und neue Prozesse in ihre Arbeitsabläufe integrieren. Das führt zu einem hohen zusätzlichen Verwaltungsaufwand, der schwer kalkulierbar ist – besonders wegen der Unklarheit, welche Mindestanforderungen an ein sicheres Produkt tatsächlich gelten. Die Branchen selbst sind zuständig, dieses Mindestmaß für ihre Produkte zu definieren und müssen sich dabei am CRA orientieren. 

Zusätzlich gibt es Ausnahmeregelungen: Bestimmte Produkte und Branchen, wie die Pharma- und Automotive-Industrie, sind vom CRA ausgeschlossen, da sie von der EU als selbstregulierte Bereiche von der EU anerkannt wurden.

2. Welche Handlungsoptionen ergeben sich für Unternehmen der Halbleiterindustrie, um die Konformität mit dem CRA zu erreichen? 

Maximilian: Es gibt drei mögliche Wege:

1. CRA Compliance: Die direkte Erfüllung der im CRA definierten Anforderungen. Nur bei Konformität mit dem CRA dürfen die Produkte in der EU verkauft werden.
2. Sektoriale Vereinbarungen: Diese Option basiert darauf, dass die Halbleiterindustrie eine Anerkennung als selbstregulierter Bereich durch die EU erwirkt – ähnlich wie es bereits in der Pharma- und Automobilbranche geschehen ist.Dafür müssen umfassende, industriespezifische Sicherheitsstandards erarbeitet werden, die dann die Anforderungen des CRA eigenständig abdecken.
3. Vertragsregelungen: Eine weitere Möglichkeit ist die Erfüllung des CRA durch das Produkt, wobei vertragliche Regelungen mit Kunden Graustufen ermöglichen. Beispiel: Der CRA verlangt, dass für eine Anlage über die typische Nutzungsdauer hinweg – etwa 15 Jahre – Support und Updates bereitgestellt werden. Zusätzlich könnte jedoch eine vertragliche Vereinbarung zwischen Kunde und Lieferant getroffen werden, die besagt, dass Updates aufgrund typischer Release-Zyklen im Softwarebereich nach zwei Jahren kostenpflichtig sind und sich an der technischen Umsetzbarkeit orientieren. 

3. Welchen Weg sieht die SMCC-Arbeitsgruppe für die Halbleiterindustrie als praktikabel an?

Maximilian: Es wird angestrebt als selbstregulierter Bereich anerkannt zu werden. Der zentrale Vorteil dabei ist, dass wir Regelungen und Anforderungen spezifisch zugeschnitten auf unsere Industrie entwickeln können – praxisnah, umsetzbar und gleichzeitig mit dem erforderlichen Maß an Sicherheit. Dazu sind die bisherigen SEMI-Standards hinsichtlich Cybersecurity (SEMI E187, E188 und E191) jedoch noch nicht ausreichend. Der nächste Schritt besteht daher darin, den Austausch mit anderen Arbeitsgruppen des Semiconductor Manufacturing Cybersecurity Consortiums (SMCC) zu intensivieren, um auf bereits bestehende Vorarbeiten aufzubauen. Gleichzeitig müssen die Regelungen der internationalen Märkte, beispielsweise in Asien und Amerika, einbezogen werden, um eine global einheitliche Regulierung zu entwickeln. 

4. Hält die Arbeitsgruppe die Anerkennung der Halbleiterindustrie als Ausnahme im CRA durch die EU bis zur vollständigen Wirksamkeit des CRA im Dezember 2027 für realisierbar?

Maximilian: Neben der Bündelung der bisherigen Arbeiten der einzelnen Gruppen des SMCC müssen dazu mehrere wesentliche Schritte berücksichtigt werden. 

1. Risikoeinschätzung: Jedes Unternehmen im Halbleiterumfeld muss eine individuelle Risikoeinschätzung für seine Produkte vornehmen. Je nach Art des Produkts treten unterschiedliche Risiken auf, die analysiert, bewertet und mit entsprechenden Maßnahmen adressiert werden müssen.
2. Ausweitung der SEMI Cybersecurity-Standards: Die neuen Standards müssen unter Berücksichtigung der Anforderungen an verschiedene Produktgruppen – Hardware wie Software – geschrieben werden. Die entscheidende Herausforderung ist, dass diese Standards dann von der EU als ausreichend anerkannt werden, um als alternative Regelung zum CRA zu gelten.
3. EU-Ansprechpartner und Verfahren: Es muss geklärt werden, wer die relevanten Ansprechpartnerinnen und Ansprechpartner innerhalb der EU sind und welche konkreten Verfahren durchlaufen werden müssen, um die Halbleiterindustrie als selbstregulierten Bereich ausweisen zu lassen.

Innerhalb des SMCC besteht Konsens, dass der Zeitraum bis 11. Dezember 2027 ausreicht, um die Risiken zu überblicken und zu bewerten. Ein zentrales Problem ist jedoch, dass die heutigen Sicherheitsmaßnahmen und ggf. notwendigen Handlungsnotwendigkeiten noch nicht bewertet werden können, da die Umsetzung der CRA-Anforderungen in nationales Recht in der Verantwortung der einzelnen EU-Mitgliedsstaaten liegt. Jedes Land wird eigene Überwachungsstellen einrichten und nationale Interpretationen der Vorgaben umsetzen, wodurch sich die Anforderungen je nach Land unterscheiden können. Umso wichtiger ist die Anerkennung als selbstregulierter Bereich mit fundierten eigenen Standards, die weltweit Anwendung finden. 

Die drei wichtigsten Take-Aways des SMCC Working Group 8 CRA-Workshops in Brüssel:

• Die SEMI strebt an, von der EU als selbstregulierter Bereich anerkannt zu werden, um so eine Ausnahme im Cyber Resilience Acts zu bilden.
• Um die Anforderungen des CRA abzudecken, müssen weitere SEMI-Standards entstehen.
• Die schwer planbaren Kosten des Overheads, der durch die zusätzlichen Cybersecurity-Anforderungen entsteht, müssen möglichst schnell kalkulierbar werden. Dafür sind klare Mindestanforderungen an ein Produkt in der Halbleiterindustrie essenziell. 

Welche Maßnahmen wir bereits getroffen haben und was gelebte Cybersecurity in unserer Entwicklung bedeutet, erfahren Sie im Interview mit Michael Arndt, Product Owner des Anlagensteuerungsframeworks ToolCommander^® und der SEMI-konformen Schnittstellenlösung FabLink^® für SECS/GEM-, GEM300- und EDA-Interfaces.