• Ressourcen
  • Blog
  • Sechs Sicherheitsstandards, die Sie als Maschinen- und Anlagenbauer 2025 kennen sollten

Sechs Sicherheitsstandards, die Sie als Maschinen- und Anlagenbauer 2025 kennen sollten

Ihr Kompass zu EU Data Act, Cyber Resilience Act, NIS-2, IEC 62443, RED und EU-Maschinenverordnung 2023/1230  

28. August 2025
Produkte
Teilen auf:
Illustration Kompass in Tür von Safe

2025 ist ein entscheidendes Jahr für Hersteller von Komponenten, Geräten und Maschinen für das Industrial Internet of Things (IIoT)

2025 wird für Hersteller von Komponenten, Geräten und Maschinen für das Industrial Internet of Things (IIoT) ein entscheidendes Jahr. Vier neue Sicherheitsstandards der Europäischen Union treten in Kraft und stellen klare Anforderungen an die Cybersicherheit von IoT-Produkten. Diese Standards erhöhen nicht nur die Sicherheit, sondern auch die Verantwortung von Herstellern, Betreibern und Integratoren. Unternehmen, die auch künftig erfolgreich auf dem EU-Markt agieren möchten, müssen sicherstellen, dass ihre Produkte ab 2025 diesen Vorgaben entsprechen.

Die neuen Standards im Überblick

Die neuen EU-Anforderungen umfassen den EU Data Act, den Cyber Resilience Act (CRA), die Richtlinie über Netz- und Informationssicherheit (NIS-2) und die internationale Norm IEC 62443 zur IT-Sicherheit in industriellen Kommunikationsnetzwerken. Diese Standards sorgen dafür, dass IoT-Geräte in Bezug auf Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit gegen Cyber-Bedrohungen geschützt sind.

Darüber hinaus sollten Hersteller vernetzter Geräte die neuen Cybersicherheitsanforderungen gemäß den delegierten Rechtsakten der Funkgeräterichtlinie (RED) kennen, die ab dem 1. August 2025 für viele mit dem Internet verbundene drahtlose Geräte gelten werden, sowie die neue EU-Maschinenverordnung (Verordnung (EU) 2023/1230) , die die Maschinenrichtlinie ersetzen und die Sicherheits- und Konformitätsvorschriften für Maschinen und zugehörige Komponenten modernisieren wird.

Risiken der Nichteinhaltung

Wer diese Standards nicht einhält, setzt sich ernsthaften Risiken aus: Hackerangriffe, Sicherheitsverletzungen und Rufschädigung sind nur einige der möglichen Folgen. Darüber hinaus drohen finanzielle und rechtliche Konsequenzen – von Bußgeldern bis hin zu Umsatzeinbußen durch verlorenes Vertrauen der Kunden.

Handeln Sie jetzt

Jetzt ist die Zeit, die Sicherheitsstrategie für IoT-Geräte zu überdenken. Hier finden Sie alle wesentlichen Informationen, um Ihr Unternehmen optimal auf diese neuen Anforderungen vorzubereiten und den aktuellen sowie zukünftigen Herausforderungen gerecht zu werden.

Das sind die neuen Gesetzgebungen und ihre Auswirkungen

EU Data Act

  • Der EU Data Act ist eine neue Verordnung, die einheitliche Regeln für den Zugang zu Daten, den Wechsel von Cloud-Anbietern und Interoperabilitätsanforderungen in der EU festlegt. Sie gilt sowohl für personenbezogene als auch für nicht-personenbezogene Daten und zielt darauf ab, Hindernisse für die Nutzung und Weiterverwendung nicht-personenbezogener Daten, insbesondere von Daten, die von vernetzten Produkten und damit verbundenen Diensten erzeugt werden, zu beseitigen. Ziel ist es, einen Markt für Daten in der EU zu schaffen und den Datenfluss zu fördern.

  • Der EU Data Act wurde am 27. November 2023 vom Europäischen Rat angenommen1 und ist am 11. Januar 2024 in Kraft getreten. Es gilt eine Übergangsfrist von 20 Monaten bis zum 12. September 2025, nach deren Ablauf der Data Act in der gesamten EU unmittelbar geltendes Recht wird. Einige Anforderungen treten später in Kraft – beispielsweise gelten die Designverpflichtungen für neue vernetzte Produkte ab dem 12. September 2026, und die Wechselgebühren für Cloud-Anbieter werden bis zum 12. Januar 2027 schrittweise abgeschafft.

  • Der EU Data Act betrifft viele vernetzte Produkte, die Daten über ihre Nutzung oder Umgebung erfassen und übertragen können. Dazu zählen smarte Haushaltsgeräte, Wearables, vernetzte Autos, Industrieroboter und medizinische Geräte. Auch verbundene Dienste zur Steuerung dieser Geräte und Cloud-Dienste sind erfasst. Hersteller vernetzter Geräte und Unternehmen, die Daten sammeln oder verarbeiten, müssen die Vorgaben erfüllen, auch wenn sie außerhalb der EU ansässig sind.

Zugang zu Daten und Verbraucherrechten

Der EU Data Act regelt nicht nur den Zugang zu, sondern auch die Nutzung von Daten, die von IoT-Geräten generiert werden. Verbraucher*innen erhalten das Recht, in Echtzeit auf ihre Daten zuzugreifen und diese für Mehrwertdienste wie vorausschauende Wartung zu nutzen. Dieser Ansatz fördert nicht nur die Transparenz, sondern stärkt auch ihre Position in Bezug auf die Kontrolle über die eigenen Daten.

Förderung des Wettbewerbs im After-Sales-Markt

Ein wichtiger Schwerpunkt des EU Data Act ist die Schaffung eines einheitlichen Marktes für den freien Datenverkehr innerhalb der EU. Hersteller könnten verpflichtet werden, bestimmte Daten mit Reparatur- oder Serviceanbietern zu teilen. Dies könnte zu mehr Wettbewerb im After-Sales-Markt führen, da Verbraucher*innen mehr Auswahl und besseren Zugang zu Dienstleistungen hätten.

Datensicherheit und Standortbeschränkungen

Das Gesetz enthält auch Bestimmungen zur Datensicherheit, einschließlich des Verbots, bestimmte Daten außerhalb der EU zu speichern oder zu verarbeiten. Damit sollen sensible Informationen geschützt und gleichzeitig die Entwicklung von Interoperabilitätsstandards gefördert werden, um die Wiederverwendung von Daten in verschiedenen Wirtschaftszweigen zu erleichtern.2

Was bedeutet der EU Data Act für Maschinen- und Anlagenbau sowie Komponenten- und Gerätehersteller?

Für Hersteller von IoT-Geräten bedeutet die Einführung des EU Data Acts eine erhöhte Compliance-Verantwortung. Dazu gehört nicht nur die Sicherstellung des Datenzugangs für Nutzer*innensondern auch der umfassende Schutz ihrer Daten und die Einhaltung der Datensicherheit. Die Berücksichtigung dieser Anforderungen wird für Unternehmen entscheidend sein, um Strafen zu vermeiden und in der sich entwickelnden datengesteuerten Wirtschaft der EU wettbewerbsfähig zu bleiben.

Um in Zukunft mit dem EU-Datenschutzrecht konform zu sein, müssen die Hersteller sicherstellen, dass ihre Produkte und die damit verbundenen Dienstleistungen für den Kunden zugänglich sind und dass die von den Produkten erzeugten Daten und deren Verwendung transparent sind. Darüber hinaus müssen sie ihre Produkte so gestalten, dass die Kunden direkt und einfach auf die Daten zugreifen und sie an Dritte weitergeben können, wobei angemessene Sicherheitsvorkehrungen gewährleistet sind.3

Cyber Resilience Act (CRA)

  • Der European Cyber Resilience Act (CRA) ist eine europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Ziel ist es, die Cybersicherheit in der Europäischen Union zu erhöhen und sicherzustellen, dass Hersteller die Sicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg berücksichtigen. Die Vorschriften gelten in allen EU-Mitgliedstaaten und werden schrittweise umgesetzt.4

  • Der Cyber Resilience Act (CRA) wurde im Oktober 2024 verabschiedet und trat am 10. Dezember 2024 in Kraft. Die Umsetzung der Anforderungen erfolgt dann schrittweise, sodass alle neuen Produkte spätestens Ende 2027 den CRA-Vorgaben entsprechen müssen.4

    • Ab dem 11. Juni 2026: Vorschriften für benannte Stellen und Konformitätsbewertungsverfahren
    • Ab dem 11. September 2026: Meldepflichten für Sicherheitslücken
    • Ab dem 11. Dezember 2027: alle anderen Anforderungen, einschließlich für neue Produkte, die in Verkehr gebracht werden

  • Alle Produkte, die digitale Elemente oder Software enthalten und ab Ende 2027 neu auf den EU-Markt gebracht werden, müssen den CRA-Anforderungen entsprechen. Ausnahmen gelten für Produkte, die bereits durch andere EU-Sektorgesetze geregelt sind (z. B. Medizinprodukte, Fahrzeuge, Zivilluftfahrt), sowie für freie und nicht-kommerzielle Open-Source-Software. Auch Elemente der Fernverarbeitung von Daten in Produkten fallen darunter.

Der Cyber Resilience Act (CRA) markiert einen wichtigen Meilenstein in der EU-Gesetzgebung: Er ist der weltweit erste Gesetzesentwurf, der sich gezielt mit der Cybersicherheit von Produkten mit digitalen Komponenten, insbesondere im IoT-Bereich, befasst. Die Verordnung soll Mindeststandards und regelmäßige Updates festlegen, um digitale Produkte, einschließlich IoT-Geräten, besser zu schützen und die Cybersicherheit insgesamt zu stärken.

Fokus auf Security-by-Design

Ein zentrales Element des CRA ist die Verpflichtung zu den Prinzipien „Security-by-Design“ und „Security-by-Default“. Hersteller müssen Cybersicherheitsmaßnahmen schon in der Produktentwicklungsphase einplanen. Dazu gehört auch die Erstellung einer „Software Bill of Materials“ (SBOM), die auflistet, welche Softwarekomponenten im Produkt enthalten sind. Dahinter steht die Idee, Produkte von Anfang an so zu gestalten, dass sie von Grund auf sicher sind, anstatt Sicherheitsmaßnahmen nachträglich zu implementieren.

Herstellerverantwortung über den gesamten Lebenszyklus

Der CRA überträgt die Verantwortung für die Cybersicherheit digitaler Produkte auf die Hersteller und umfasst den gesamten Lebenszyklus eines Produkts. Das bedeutet: kontinuierliche Überwachung und aktives Schwachstellenmanagement, um während der gesamten Supportzeit – in der Regel fünf Jahre – Sicherheitsupdates bereitzustellen.

Spezielle Sicherheitsanforderungen für IoT-Geräte

Der CRA enthält spezifische Sicherheitsanforderungen, um den Schutz persönlicher und finanzieller Daten zu gewährleisten. Ein neues zentrales Meldesystem soll den Austausch über Schwachstellen und Sicherheitsvorfälle erleichtern.

Produktkategorien und Bewertungsverfahren

Das Gesetz klassifiziert Produkte anhand ihrer Kritikalität in verschiedene Kategorien. Kritische Produkte müssen von einer unabhängigen Stelle bewertet werden, während für nicht kritische Produkte lediglich eine Selbstzertifizierung des Herstellers hinsichtlich der Einhaltung des Gesetzes erforderlich ist. Diese Differenzierung stellt sicher, dass Produkte mit höherem Risiko strengeren Tests unterzogen werden.

Was bedeutet Cyber Resilience Act für Maschinen- und Anlagenbau sowie Komponenten- und Gerätehersteller?

Mit der Einführung des CRA stehen Hersteller von Komponenten und Geräten vor grundlegenden Veränderungen in der Produktentwicklung und -vermarktung. Der CRA verpflichtet sie, die Sicherheit digitaler Produkte von der Entwurfs- bis zur Entwicklungsphase und darüber hinaus sicherzustellen – einschließlich Hardware- und Software-Updates sowie neuer Produktversionen. Gleichzeitig schafft der CRA einen einheitlichen Rahmen für Cybersicherheit und steigert die Transparenz der Sicherheitseigenschaften. Unternehmen und Verbraucher*innen können so digitale Produkte sicherer nutzen.

Die Nichteinhaltung der Anforderungen des Gesetzes kann zu empfindlichen Strafen von bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes führen.7

Richtlinie über Netz- und Informationssicherheit (NIS-2)

  • Die NIS-2-Richtlinie ist eine EU-weite Rechtsvorschrift, die rechtliche Maßnahmen zur Verbesserung des allgemeinen Niveaus der Cybersicherheit in der EU vorsieht, indem sie die Bereitschaft und Zusammenarbeit zwischen den Mitgliedstaaten sicherstellt und die wichtigsten Akteure in den Schlüsselindustrien verpflichtet, Sicherheitsmaßnahmen zu ergreifen und Vorfälle zu melden.8

  • Die EU-Mitgliedstaaten waren dazu verpflichtet, die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Da viele diese Frist jedoch nicht eingehalten haben, leitete die Europäische Kommission im November 2024 Vertragsverletzungsverfahren ein. In Deutschland wurde das nationale NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 30. Juli 2025 vom Bundeskabinett verabschiedet und soll noch vor Ende des Jahres in Kraft treten.

  • Von der NIS-2-Richtlinie sind Betreiber kritischer Infrastrukturen wie Energie-, Transport-, Wasser- und Gesundheitssektoren sowie digitale Infrastrukturen betroffen. Auch Anbieter digitaler Dienste, öffentliche Verwaltungen und wichtige Lieferketten fallen unter die Regelung. Sie gilt für Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro.

Die NIS-2-Richtlinie betrifft verschiedene Sektoren und bringt eine erweiterte Reichweite im Vergleich zur bisherigen NIS-Richtlinie. Sie umfasst wesentliche und wichtige Einrichtungen, darunter Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste sowie öffentliche Verwaltungen. Auch Maschinenbauer und Hersteller von Komponenten und Geräten müssen sich mit NIS-2 auseinandersetzen, wenn sie unter diese Kategorien fallen. Der Geltungsbereich erweitert sich erheblich, da Unternehmen ab 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro erfasst werden.

Sicherheitskontrollen und Überwachung gemäß NIS-2

NIS-2 setzt auf eine umfassende Implementierung von Sicherheitskontrollen, um das Risiko von Cyberangriffen  zu minimieren. Dies beinhaltet die Implementierung ganzheitlicher und strenger Sicherheitsmaßnahmen sowie eine verstärkte Überwachung. Die Richtlinie legt großen Wert auf die Identifizierung von Schwachstellen, die Stärkung der Sicherheit, die Aufrechterhaltung der Wachsamkeit und die Verhinderung von Cyberschäden an Systemen und Daten.

Was bedeutet NIS-2 für Maschinen- und Anlagenbauer sowie Hersteller von Komponenten und Geräten in kritischen Infrastrukturen?

  • Priorisierung der Sicherheit in der Lieferkette: Hersteller müssen die Sicherheit ihrer Lieferkette bewerten und Risiken mindern. Dies schließt Maßnahmen zur Sicherung von Lieferanten, Partnern und Auftragnehmern ein.
  • Fokus auf Risikomanagement: Hersteller, die als "wichtig" eingestuft werden, müssen verpflichtend Risikomanagementprozesse einführen. Dies kann Investitionen in neue Tools und zusätzliches Fachpersonal erfordern.
  • Verstärkte Zusammenarbeit mit IT-Dienstleistern: Um die NIS-2-Anforderungen zu erfüllen, müssen Fertigungsunternehmen enger mit IT-Dienstleistern zusammenarbeiten. Dies kann zu höheren Kosten und Änderungen der Geschäftsmodelle führen.9

Insbesondere Unternehmen in kritischen Infrastrukturen müssen die NIS-2-Konformität ernst nehmen. Die Nichteinhaltung kann zu erheblichen Geldstrafen führen, die bis zu 10 Millionen Euro oder 2 % des Umsatzes betragen können.

Internationale Normenreihe über „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ (IEC 62443)

  • IEC 62443 ist eine internationale Normenreihe, die sich mit der Cybersicherheit für die Betriebstechnik in Automatisierungs- und Steuerungssystemen befasst. Sie enthält Richtlinien für die Absicherung von industriellen Steuerungssystemen (Industrial Control Systems, ICS) und Netzwerken der Betriebstechnik (Operational Technology, OT) und wurde ursprünglich für die industrielle Prozessindustrie entwickelt, ist aber mittlerweile auf eine Vielzahl von Branchen anwendbar. Die Standards verfolgen einen risikobasierten Ansatz zur Cybersicherheit und bieten einen Rahmen für die systematische Bewertung, Minderung und das Management von Cybersicherheitsrisiken in industriellen Automatisierungs- und Steuerungssystemen, um die Zuverlässigkeit und Sicherheit kritischer industrieller Prozesse und Infrastrukturen sicherzustellen.10

  • Die Normenreihe IEC 62443 ist keine Vorschrift mit einem festen Datum für das Inkrafttreten, sondern eine Reihe freiwilliger internationaler Normen, die im Laufe der Zeit entwickelt wurden. Beispielsweise wurde IEC 62443-4-1, die Prozessanforderungen für die sichere Entwicklung von Produkten für IACS festlegt, im Februar 2018 veröffentlicht.

Was bedeutet IEC 62443 für Komponenten- und Gerätehersteller?

Die IEC  62443 ist ein wichtiger Leitfaden für Hersteller im Bereich der industriellen Automatisierung, um den wachsenden Herausforderungen im Bereich der Cybersicherheit zu begegnen. Die Integration eines effektiven Risikomanagements, die Implementierung sicherer Entwicklungspraktiken von Anfang an, die Möglichkeit der Produktzertifizierung sowie der Schutz der Lieferkette sind zentrale Aspekte, die Hersteller dabei unterstützen, Produkte von höchster Qualität und Sicherheit anzubieten. Das Lebenszyklusmanagement nach IEC  62443 stellt sicher, dass Produkte nicht nur bei ihrer Einführung, sondern während ihres gesamten Lebenszyklus den höchsten Sicherheitsstandards entsprechen. Insgesamt bietet die Norm Herstellern eine klare Struktur und Anleitung, um ihre Produkte widerstandsfähig gegen Cyberangriffe  aufzustellen und die Integrität industrieller Automatisierungssysteme sicherzustellen.  

Die IEC 62443 ist in vier Teile gegliedert:

  1. General: Im ersten Teil sind die grundsätzlichen Begriffe, Konzepte, Modelle und Richtlinien beschrieben, die für die gesamte Normenreihe gelten.
  2. Policies and Procedures: Der zweite Teilt konzentriert sich auf Methoden und Prozesse im Zusammenhang mit der IEC-Sicherheit. Hier werden die Anforderungen an Sicherheitsprogramme für die verschiedenen Rollen in der Industrie wie Betreiber, Integratoren und Dienstleister definiert.
  3. System: Der dritte Teil befasst sich speziell mit der Bewertung von Sicherheitsrisiken für den Systementwurf und das Risikomanagement und bietet einen systematischen Ansatz zur Vermeidung und Handhabung von Sicherheitsrisiken in industriellen Automatisierungs- und Steuerungssystemen.
  4. Component and system requirements: Dieser letzte Teil beschreibt die detaillierten Anforderungen an die sichere Produktentwicklung und die sicherheitstechnischen Merkmale von IEC-Komponenten.12

Hinweis: Der Nachweis der Konformität mit den relevanten Teilen der Norm IEC 62443 kann Herstellern auch dabei helfen, die Cybersicherheitsanforderungen der CRA, der RED und der EU-Maschinenverordnung für vernetzte Industrieprodukte zu erfüllen.

Radio Equipment Directive (RED)

  • Die Radio Equipment Directive (RED) regelt das Inverkehrbringen von Funkgeräten in der EU. Die Delegierte Verordnung (EU) 2022/30 führt spezifische Cybersicherheitsanforderungen für bestimmte Kategorien von internetfähigen Geräten mit Funkfunktionalität ein.

  • Sie gelten ab dem 1. August 2025. Zur Unterstützung der Einhaltung stehen harmonisierte Normen (EN 18031-Reihe) zur Verfügung.

  • Produkte, die über das Internet kommunizieren, wie Smartphones, Smart-Home-Geräte, Wearables und industrielle drahtlose IoT-Komponenten, sofern sie unter Artikel 3(3)(d), (e) oder (f) der RED fallen, der den Schutz von Netzwerken, den Schutz personenbezogener Daten und der Privatsphäre sowie Schutzmaßnahmen gegen Betrug umfasst.

Was bedeutet RED für Komponenten- und Gerätehersteller?

Für Hersteller von funkfähigen und internetverbundenen Geräten bringen die delegierten Cybersicherheitsanforderungen der Funkanlagenrichtlinie (Delegierte Verordnung (EU) 2022/30) klare Pflichten mit sich:

  • Sicherstellen, dass das Gerät Netze vor Schäden schützt, personenbezogene Daten und die Privatsphäre wahrt und das Betrugsrisiko verringert (insbesondere bei zahlungsfähigen Geräten).
  • Technische Unterlagen aktualisieren, um Cybersicherheitsmaßnahmen und Risikobewertungen zu dokumentieren.
  • Das korrekte Konformitätsbewertungsverfahren durchführen und die EU-Konformitätserklärung vor dem Inverkehrbringen aktualisieren.
  • Gegebenenfalls harmonisierte Normen (EN-18031-Reihe) anwenden, um die Konformität nachzuweisen.

Diese Anforderungen gelten ab 1. August 2025. Ihre frühzeitige Berücksichtigung in der Produktentwicklung verkürzt die Markteinführungszeit und stärkt das Vertrauen der Kunden. 

EU-Maschinenverordnung (Verordnung (EU) 2023/1230)

  • Die Maschinenverordnung ersetzt die Maschinenrichtlinie (2006/42/EG), um die EU-Sicherheitsvorschriften für Maschinen und bestimmte verwandte Produkte zu modernisieren und an die Digitalisierung, Robotik und KI-Integration anzupassen.

  • Sie trat am 19. Juli 2023 in Kraft und gilt ab dem 20. Januar 2027.

  • Maschinen, Sicherheitsbauteile, auswechselbare Ausrüstungen, Ketten, Seile und Gurte zum Heben sowie unvollständige Maschinen. Viele industrielle IoT-fähige Maschinen und Komponenten fallen darunter.

Was bedeutet die EU-Maschinenverordnung für Komponenten- und Gerätehersteller?

Für Komponenten- und Gerätehersteller bringt die EU-Maschinenverordnung (Verordnung (EU) 2023/1230) modernisierte Sicherheits- und Konformitätsanforderungen, die an den Stand der Technik in den Bereichen Digitalisierung, Robotik und KI angepasst sind. Hersteller müssen:

  • Sicherheit – einschließlich Cybersicherheit, sofern relevant – bereits in der Entwurfs- und Entwicklungsphase berücksichtigen, um zu verhindern, dass vernetzte Maschinen als Cyber-Einstiegspunkt missbraucht werden können.
  • Technische Unterlagen aktualisieren und umfassende Risikobewertungen durchführen, die mechanische, elektrische und cybersicherheitsrelevante Gefahren abdecken.
  • Die neuen Konformitätsbewertungsverfahren für Hochrisiko-Maschinenkategorien gemäß Anhang I einhalten, was gegebenenfalls die Einbindung einer benannten Stelle erfordert.
  • Die Abstimmung mit anderen relevanten EU-Rechtsvorschriften wie dem CRA und der RED sicherstellen, insbesondere bei vernetzten Maschinen.

Frühzeitige Compliance-Planung ist entscheidend, um Verzögerungen und kostenintensive Nachbesserungen zu vermeiden – insbesondere bei Produkten, die zusätzlich unter CRA- oder RED-Pflichten fallen.

Mehr Informationen zur EU-Maschinenverordnung

3 Tipps für Komponenten- und Gerätehersteller, um diesen Sicherheitsstandards zu begegnen

1. Sicherheit fest im Entwicklungsprozess verankern

Sicherheitsstandards sollten nicht als bloße Pflicht, sondern als essenzieller Bestandteil jeder Entwicklungsphase verstanden werden. Die Einbindung von Sicherheit von Anfang an – im Design und im gesamten Entwicklungszyklus – hilft, Risiken frühzeitig zu identifizieren und zu minimieren. Hierbei unterstützt die Norm IEC 62443 maßgeblich. Besonders Teil 4-1, „Anforderungen an den Lebenszyklus der sicheren Produktentwicklung“, legt klare Leitlinien für eine konsequente Sicherheitsintegration fest und gilt sowohl für Hardware- als auch Softwareentwicklung. Für Maschinen und angeschlossene Geräte unterstützt dies auch die Einhaltung der CRA- und Maschinenverordnung.

2. Team kontinuierlich für Sicherheit schulen

Die regelmäßige Weiterbildung Ihrer Mitarbeiter*innen ist entscheidend. Fortlaufende Schulungen und funktionsübergreifende Austauschformate stärken das Bewusstsein für Sicherheitsrisiken und befähigen Ihr Team, Bedrohungen proaktiv zu begegnen. Dies ist besonders wichtig für die Integration der Verpflichtungen aus RED und NIS-2, die sowohl organisatorische als auch technische Maßnahmen erfordern.

3. IoT-Device-Management mit KontronGrid: Geräte sicher vernetzen

Mit der IoT-Device-Management-Lösung KontronGrid verwalten Sie alle Geräte weltweit in einer Cloud-basierten Edge-Umgebung – und das auf höchstem Sicherheitsniveau. Unsere Lösung basiert auf der Oracle Cloud Infrastructure (OCI), die den C5-Katalog des Bundesamts für Sicherheit in der Informationstechnik erfüllt. Der C5-Katalog, der Sicherheitsstandards für Cloud Computing festlegt, hat sich als zentraler Benchmark für Cloud-Anbieter etabliert und unterstützt Unternehmen in ihrem Risikomanagement und bei der Einhaltung regulatorischer Anforderungen. Dies ist ein klarer Wettbewerbsvorteil in der heutigen schnelllebigen Geschäftswelt.

Sicherheit im IoT: Nicht optional, sondern unerlässlich

Mit den neuen IoT-Sicherheitsstandards der EU wird klar: Sicherheit ist im IoT kein „Nice-to-have“ mehr, sondern der Grundstein für Hersteller, Betreiber und Integratoren. Für Unternehmen, die proaktiv agieren, wird Sicherheit zum entscheidenden Differenzierungsmerkmal im Markt. Hersteller, die Sicherheit als integralen Bestandteil ihrer Produktentwicklung betrachten, gewinnen nicht nur das Vertrauen ihrer Kunden, sondern sichern sich nachhaltigen Erfolg.

Die Zukunft des IoT liegt in den Händen derjenigen, die Sicherheit als strategische Chance begreifen. Die neuen Vorschriften schaffen eine verlässlichere, sicherere IoT-Welt – und der Weg zu nachhaltigem Erfolg führt über die Bereitschaft, diesen Anforderungen gerecht zu werden.

Kontaktieren Sie uns

Lassen Sie uns darüber sprechen, wie IoT-Device-Management Sie bei der Compliance unterstützen kann!

Martin Falsner Sales Manager Kontron AIS GmbH
Martin Falsner
Sales Manager
Digitalization
vCard
LinkedIn
martin.falsner@kontron-ais.com
+49 351 2166 1625
Jetzt Termin vereinbaren

1https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/; 09.01.2024

2 ec.europa.eu/commission/presscorner/detail/en/ip_23_3491; 09.01.2024

3 https://www.eu-data-act.com/; 09.01.2024

4 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Management_Blitzlicht/Management_Blitzlicht_CRA.pdf; 30.10.2024

5 https://ec.europa.eu/commission/presscorner/detail/en/IP_23_6168; 09.01.2024

6 www.lexology.com/library/detail.aspx; 09.01.2024

7https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet; 09.01.2024

8 https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf; 09.01.2024

9 https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html; 12.11.2024

10 https://nis2directive.eu/manufacturing/; 09.01.2024

11https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards; 09.01.2024

12 www.iec.ch/blog/understanding-iec-62443; 09.01.2024