• Ressourcen
  • Blog
  • Vier Sicherheitsstandards, die Sie als Maschinen- und Anlagenbauer 2025 kennen sollten

Vier Sicherheitsstandards, die Sie als Maschinen- und Anlagenbauer 2025 kennen sollten

Ihr Kompass zu EU Data Act, Cyber Resilience Act, NIS2 und IEC 63442

Lara Rißland
1. November 2024
Produkte
Teilen auf:
Illustration Kompass in Tür von Safe

2025 wird für Hersteller von Komponenten, Geräten und Maschinen für das Industrial Internet of Things (IIoT) ein entscheidendes Jahr. Vier neue Sicherheitsstandards der Europäischen Union treten in Kraft und stellen klare Anforderungen an die Cybersicherheit von IoT-Produkten. Diese Standards erhöhen nicht nur die Sicherheit, sondern auch die Verantwortung von Herstellern, Betreibern und Integratoren. Unternehmen, die auch künftig erfolgreich auf dem EU-Markt agieren möchten, müssen sicherstellen, dass ihre Produkte ab 2025 diesen Vorgaben entsprechen.

Die neuen Standards im Überblick

Die neuen EU-Anforderungen umfassen den EU Data Act, den Cyber Resilience Act (CRA), die Richtlinie über Netz- und Informationssicherheit (NIS2) und die internationale Norm IEC 62443 zur IT-Sicherheit in industriellen Kommunikationsnetzwerken. Diese Standards sorgen dafür, dass IoT-Geräte in Bezug auf Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit gegen Cyber-Bedrohungen geschützt sind.

Risiken der Nichteinhaltung

Wer diese Standards nicht einhält, setzt sich ernsthaften Risiken aus: Hackerangriffe, Sicherheitsverletzungen und Rufschädigung sind nur einige der möglichen Folgen. Darüber hinaus drohen finanzielle und rechtliche Konsequenzen – von Bußgeldern bis hin zu Umsatzeinbußen durch verlorenes Vertrauen der Kunden.

Handeln Sie jetzt

Jetzt ist die Zeit, die Sicherheitsstrategie für IoT-Geräte zu überdenken. Hier finden Sie alle wesentlichen Informationen, um Ihr Unternehmen optimal auf diese neuen Anforderungen vorzubereiten und den aktuellen sowie zukünftigen Herausforderungen gerecht zu werden.

Das sind die neuen Gesetzgebungen und ihre Auswirkungen

EU Data Act

  • Der EU Data Act ist eine neue Verordnung, die einheitliche Regeln für den Zugang zu Daten, den Wechsel von Cloud-Anbietern und Interoperabilitätsanforderungen in der EU festlegt. Sie gilt sowohl für personenbezogene als auch für nicht-personenbezogene Daten und zielt darauf ab, Hindernisse für die Nutzung und Weiterverwendung nicht-personenbezogener Daten, insbesondere von Daten, die von vernetzten Produkten und damit verbundenen Diensten erzeugt werden, zu beseitigen. Ziel ist es, einen Markt für Daten in der EU zu schaffen und den Datenfluss zu fördern.

  • Der EU Data Act wurde am 27. November 2023 vom Europäischen Rat angenommen1 und ist Anfang Januar 2024 in Kraft getreten. Es gilt eine Übergangsfrist von 20 Monaten bis zum 12. September 2025, nach deren Ablauf der Data Act in der gesamten EU unmittelbar geltendes Recht wird.

  • Der EU Data Act betrifft viele vernetzte Produkte, die Daten über ihre Nutzung oder Umgebung erfassen und übertragen können. Dazu zählen smarte Haushaltsgeräte, Wearables, vernetzte Autos, Industrieroboter und medizinische Geräte. Auch verbundene Dienste zur Steuerung dieser Geräte und Cloud-Dienste sind erfasst. Hersteller vernetzter Geräte und Unternehmen, die Daten sammeln oder verarbeiten, müssen die Vorgaben erfüllen, auch wenn sie außerhalb der EU ansässig sind.

Zugang zu Daten und Verbraucherrechten

Der EU Data Act regelt nicht nur den Zugang zu, sondern auch die Nutzung von Daten, die von IoT-Geräten generiert werden. Verbraucher*innen erhalten das Recht, in Echtzeit auf ihre Daten zuzugreifen und diese für Mehrwertdienste wie vorausschauende Wartung zu nutzen. Dieser Ansatz fördert nicht nur die Transparenz, sondern stärkt auch ihre Position in Bezug auf die Kontrolle über die eigenen Daten.

Förderung des Wettbewerbs im After-Sales-Markt

Ein wichtiger Schwerpunkt des EU Data Act ist die Schaffung eines einheitlichen Marktes für den freien Datenverkehr innerhalb der EU. Hersteller könnten verpflichtet werden, bestimmte Daten mit Reparatur- oder Serviceanbietern zu teilen. Dies könnte zu mehr Wettbewerb im After-Sales-Markt führen, da Verbraucher*innen mehr Auswahl und besseren Zugang zu Dienstleistungen hätten.

Datensicherheit und Standortbeschränkungen

Das Gesetz enthält auch Bestimmungen zur Datensicherheit, einschließlich des Verbots, bestimmte Daten außerhalb der EU zu speichern oder zu verarbeiten. Damit sollen sensible Informationen geschützt und gleichzeitig die Entwicklung von Interoperabilitätsstandards gefördert werden, um die Wiederverwendung von Daten in verschiedenen Wirtschaftszweigen zu erleichtern.2

Was bedeutet der EU Data Act für Maschinen- und Anlagenbau sowie Komponenten- und Gerätehersteller?

Für Hersteller von IoT-Geräten bedeutet die Einführung des EU Data Acts eine erhöhte Compliance-Verantwortung. Dazu gehört nicht nur die Sicherstellung des Datenzugangs für Nutzer*innensondern auch der umfassende Schutz ihrer Daten und die Einhaltung der Datensicherheit. Die Berücksichtigung dieser Anforderungen wird für Unternehmen entscheidend sein, um Strafen zu vermeiden und in der sich entwickelnden datengesteuerten Wirtschaft der EU wettbewerbsfähig zu bleiben.

Um in Zukunft mit dem EU-Datenschutzrecht konform zu sein, müssen die Hersteller sicherstellen, dass ihre Produkte und die damit verbundenen Dienstleistungen für den Kunden zugänglich sind und dass die von den Produkten erzeugten Daten und deren Verwendung transparent sind. Darüber hinaus müssen sie ihre Produkte so gestalten, dass die Kunden auf die Daten zugreifen und diese mit Dritten austauschen können.3

Cyber Resilience Act (CRA)

  • Der European Cyber Resilience Act (CRA) ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Ziel ist es, die Cybersicherheit in der Europäischen Union zu erhöhen und sicherzustellen, dass Hersteller die Sicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg berücksichtigen. Die Vorschriften gelten in allen EU-Mitgliedstaaten und werden schrittweise umgesetzt.4

  • Der Cyber Resilience Act (CRA) wurde im Oktober 2024 verabschiedet. Die Veröffentlichung des Gesetzestextes im Amtsblatt der Europäischen Union steht kurz bevor (Stand November 2024). 20 Tage nach dieser Veröffentlichung tritt der CRA offiziell in Kraft. Die Umsetzung der Anforderungen erfolgt dann schrittweise, sodass alle neuen Produkte spätestens Ende 2027 den CRA-Vorgaben entsprechen müssen.4

  • Alle Produkte, die digitale Elemente oder Software enthalten und ab Ende 2027 neu auf den EU-Markt gebracht werden, müssen den CRA-Anforderungen entsprechen. Ausnahmen bestehen für bestimmte Sektoren wie Medizinprodukte, Fahrzeuge, zivile Luftfahrt und nationale Sicherheitsprodukte, sowie für kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht.

Der Cyber Resilience Act (CRA) markiert einen wichtigen Meilenstein in der EU-Gesetzgebung: Er ist der weltweit erste Gesetzesentwurf, der sich gezielt mit der Cybersicherheit von Produkten mit digitalen Komponenten, insbesondere im IoT-Bereich, befasst. Die Verordnung soll Mindeststandards und regelmäßige Updates festlegen, um digitale Produkte, einschließlich IoT-Geräten, besser zu schützen und die Cybersicherheit insgesamt zu stärken.

Fokus auf Security-by-Design

Ein zentrales Element des CRA ist die Verpflichtung zu den Prinzipien „Security-by-Design“ und „Security-by-Default“. Hersteller müssen Cybersicherheitsmaßnahmen schon in der Produktentwicklungsphase einplanen. Dazu gehört auch die Erstellung einer „Software Bill of Materials“ (SBOM), die auflistet, welche Softwarekomponenten im Produkt enthalten sind. Dahinter steht die Idee, Produkte von Anfang an so zu gestalten, dass sie von Grund auf sicher sind, anstatt Sicherheitsmaßnahmen nachträglich zu implementieren.

Herstellerverantwortung über den gesamten Lebenszyklus

Der CRA überträgt die Verantwortung für die Cybersicherheit digitaler Produkte auf die Hersteller und umfasst den gesamten Lebenszyklus eines Produkts. Das bedeutet: kontinuierliche Überwachung und aktives Schwachstellenmanagement, um während der gesamten Supportzeit – in der Regel fünf Jahre – Sicherheitsupdates bereitzustellen.

Spezielle Sicherheitsanforderungen für IoT-Geräte

Der CRA enthält spezifische Sicherheitsanforderungen, um den Schutz persönlicher und finanzieller Daten zu gewährleisten. Ein neues zentrales Meldesystem soll den Austausch über Schwachstellen und Sicherheitsvorfälle erleichtern.

Produktkategorien und Bewertungsverfahren

Die Verordnung unterscheidet zwischen Standardprodukten und Produkten mit erhöhtem Risiko, die als „wichtige“ oder „kritische“ Produkte eingestuft werden. Diese unterliegen zusätzlichen Sicherheitsanforderungen. Für einige Produkte, wie Passwortmanager und Firewalls, ist eine externe Bewertung erforderlich. Andere Produkte hingegen können durch eine Selbsterklärung der Konformität abgesichert werden.

Was bedeutet Cyber Resilience Act für Maschinen- und Anlagenbau sowie Komponenten- und Gerätehersteller?

Mit der Einführung des CRA stehen Hersteller von Komponenten und Geräten vor grundlegenden Veränderungen in der Produktentwicklung und -vermarktung. Der CRA verpflichtet sie, die Sicherheit digitaler Produkte von der Entwurfs- bis zur Entwicklungsphase und darüber hinaus sicherzustellen – einschließlich Hardware- und Software-Updates sowie neuer Produktversionen. Gleichzeitig schafft der CRA einen einheitlichen Rahmen für Cybersicherheit und steigert die Transparenz der Sicherheitseigenschaften. Unternehmen und Verbraucher*innen können so digitale Produkte sicherer nutzen.

Die Nichteinhaltung der Anforderungen des Gesetzes kann zu empfindlichen Strafen von bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes führen.7

Richtlinie über Netz- und Informationssicherheit (NIS2)

  • Die NIS2-Richtlinie ist eine EU-weite Rechtsvorschrift, die rechtliche Maßnahmen zur Verbesserung des allgemeinen Niveaus der Cybersicherheit in der EU vorsieht, indem sie die Bereitschaft und Zusammenarbeit zwischen den Mitgliedstaaten sicherstellt und die wichtigsten Akteure in den Schlüsselindustrien verpflichtet, Sicherheitsmaßnahmen zu ergreifen und Vorfälle zu melden.8

  • In Deutschland ist das Inkrafttreten des nationalen NIS2-Umsetzungsgesetzes erst für März 2025 vorgesehen. Das Gesetz liegt als Kabinettsentwurf vom Juli 2024 vor und muss noch die Gesetzgebung auf Bundesebene durchlaufen.9

  • Von der NIS-2-Richtlinie sind Betreiber kritischer Infrastrukturen wie Energie-, Transport-, Wasser- und Gesundheitssektoren sowie digitale Infrastrukturen betroffen. Auch Anbieter digitaler Dienste, öffentliche Verwaltungen und wichtige Lieferketten fallen unter die Regelung. Sie gilt für Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro.

Die NIS2-Richtlinie betrifft verschiedene Sektoren und bringt eine erweiterte Reichweite im Vergleich zur bisherigen NIS-Richtlinie. Sie umfasst wesentliche und wichtige Einrichtungen, darunter Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste sowie öffentliche Verwaltungen. Auch Maschinenbauer und Hersteller von Komponenten und Geräten müssen sich mit NIS2 auseinandersetzen, wenn sie unter diese Kategorien fallen. Der Geltungsbereich erweitert sich erheblich, da Unternehmen ab 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro erfasst werden.

Sicherheitskontrollen und Überwachung gemäß NIS2

NIS2 setzt auf eine umfassende Implementierung von Sicherheitskontrollen, um das Risiko von Cyberangriffen  zu minimieren. Dies beinhaltet die Implementierung ganzheitlicher und strenger Sicherheitsmaßnahmen sowie eine verstärkte Überwachung. Die Richtlinie legt großen Wert auf die Identifizierung von Schwachstellen, die Stärkung der Sicherheit, die Aufrechterhaltung der Wachsamkeit und die Verhinderung von Cyberschäden  an Systemen und Daten.

Was bedeutet NIS2 für Maschinen- und Anlagenbauer sowie Hersteller von Komponenten und Geräten in kritischen Infrastrukturen?

  • Priorisierung der Sicherheit in der Lieferkette: Hersteller müssen die Sicherheit ihrer Lieferkette bewerten und Risiken mindern. Dies schließt Maßnahmen zur Sicherung von Lieferanten, Partnern und Auftragnehmern ein.
  • Fokus auf Risikomanagement: Hersteller, die als "wichtig" eingestuft werden, müssen verpflichtend Risikomanagementprozesse einführen. Dies kann Investitionen in neue Tools und zusätzliches Fachpersonal erfordern.
  • Verstärkte Zusammenarbeit mit IT-Dienstleistern: Um die NIS2-Anforderungen zu erfüllen, müssen Fertigungsunternehmen enger mit IT-Dienstleistern zusammenarbeiten. Dies kann zu höheren Kosten und Änderungen der Geschäftsmodelle führen.9

Insbesondere Unternehmen in kritischen Infrastrukturen müssen die NIS2-Konformität ernst nehmen. Die Nichteinhaltung kann zu erheblichen Geldstrafen führen, die bis zu 10 Millionen Euro oder 2 % des Umsatzes betragen können.

Internationale Normenreihe über „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ (IEC 62443)

  • IEC 62443 ist eine internationale Normenreihe, die sich mit der Cybersicherheit für die Betriebstechnik in Automatisierungs- und Steuerungssystemen befasst. Sie enthält Richtlinien für die Absicherung von industriellen Steuerungssystemen (Industrial Control Systems, ICS) und Netzwerken der Betriebstechnik (Operational Technology, OT) und wurde ursprünglich für die industrielle Prozessindustrie entwickelt, ist aber mittlerweile auf eine Vielzahl von Branchen anwendbar. Die Standards verfolgen einen risikobasierten Ansatz zur Cybersicherheit und bieten einen Rahmen für die systematische Bewertung, Minderung und das Management von Cybersicherheitsrisiken in industriellen Automatisierungs- und Steuerungssystemen, um die Zuverlässigkeit und Sicherheit kritischer industrieller Prozesse und Infrastrukturen sicherzustellen.10

  • Die Normenreihe IEC 62443 wurde im Laufe der Zeit entwickelt und die einzelnen Teile zu unterschiedlichen Zeitpunkten veröffentlicht und schrittweise eingeführt. So erfolgte beispielsweise die Veröffentlichung der Norm IEC  62443-4-1, die Prozessanforderungen für die sichere Entwicklung von Produkten für industrielle Automatisierungs- und Steuerungssysteme (IACS) festlegt, im Februar 2018. 

Was bedeutet IEC 62443 für Komponenten- und Gerätehersteller?

Die IEC  62443 ist ein wichtiger Leitfaden für Hersteller im Bereich der industriellen Automatisierung, um den wachsenden Herausforderungen im Bereich der Cybersicherheit zu begegnen. Die Integration eines effektiven Risikomanagements, die Implementierung sicherer Entwicklungspraktiken von Anfang an, die Möglichkeit der Produktzertifizierung sowie der Schutz der Lieferkette sind zentrale Aspekte, die Hersteller dabei unterstützen, Produkte von höchster Qualität und Sicherheit anzubieten. Das Lebenszyklusmanagement nach IEC  62443 stellt sicher, dass Produkte nicht nur bei ihrer Einführung, sondern während ihres gesamten Lebenszyklus den höchsten Sicherheitsstandards entsprechen. Insgesamt bietet die Norm Herstellern eine klare Struktur und Anleitung, um ihre Produkte widerstandsfähig gegen Cyberangriffe  aufzustellen und die Integrität industrieller Automatisierungssysteme sicherzustellen.  

Die IEC 62443 ist in vier Teile gegliedert:

  1. General: Im ersten Teil sind die grundsätzlichen Begriffe, Konzepte, Modelle und Richtlinien beschrieben, die für die gesamte Normenreihe gelten.
  2. Policies and Procedures: Der zweite Teilt konzentriert sich auf Methoden und Prozesse im Zusammenhang mit der IEC-Sicherheit. Hier werden die Anforderungen an Sicherheitsprogramme für die verschiedenen Rollen in der Industrie wie Betreiber, Integratoren und Dienstleister definiert.
  3. System: Der dritte Teil befasst sich speziell mit der Bewertung von Sicherheitsrisiken für den Systementwurf und das Risikomanagement und bietet einen systematischen Ansatz zur Vermeidung und Handhabung von Sicherheitsrisiken in industriellen Automatisierungs- und Steuerungssystemen.
  4. Component and system requirements: Dieser letzte Teil beschreibt die detaillierten Anforderungen an die sichere Produktentwicklung und die sicherheitstechnischen Merkmale von IEC-Komponenten.12

3 Tipps für Komponenten- und Gerätehersteller, um diesen Sicherheitsstandards zu begegnen

1. Sicherheit fest im Entwicklungsprozess verankern

Sicherheitsstandards sollten nicht als bloße Pflicht, sondern als essenzieller Bestandteil jeder Entwicklungsphase verstanden werden. Die Einbindung von Sicherheit von Anfang an – im Design und im gesamten Entwicklungszyklus – hilft, Risiken frühzeitig zu identifizieren und zu minimieren. Hierbei unterstützt die Norm IEC 62443 maßgeblich. Besonders Teil 4-1, „Anforderungen an den Lebenszyklus der sicheren Produktentwicklung“, legt klare Leitlinien für eine konsequente Sicherheitsintegration fest und gilt sowohl für Hardware- als auch Softwareentwicklung. Das Beste: Sie können diesen Ansatz bei neuen sowie bereits bestehenden Produkten nutzen.

2. Team kontinuierlich für Sicherheit schulen

Die regelmäßige Weiterbildung Ihrer Mitarbeiter*innen ist entscheidend. Fortlaufende Schulungen und funktionsübergreifende Austauschformate stärken das Bewusstsein für Sicherheitsrisiken und befähigen Ihr Team, Bedrohungen proaktiv zu begegnen.

3. IoT-Device-Management mit KontronGrid: Geräte sicher vernetzen

Mit der IoT-Device-Management-Lösung KontronGrid verwalten Sie alle Geräte weltweit in einer Cloud-basierten Edge-Umgebung – und das auf höchstem Sicherheitsniveau. Unsere Lösung basiert auf der Oracle Cloud Infrastructure (OCI), die den C5-Katalog des Bundesamts für Sicherheit in der Informationstechnik erfüllt. Der C5-Katalog, der Sicherheitsstandards für Cloud Computing festlegt, hat sich als zentraler Benchmark für Cloud-Anbieter etabliert und unterstützt Unternehmen in ihrem Risikomanagement und bei der Einhaltung regulatorischer Anforderungen. Dies ist ein klarer Wettbewerbsvorteil in der heutigen schnelllebigen Geschäftswelt.

Sicherheit im IoT: Nicht optional, sondern unerlässlich

Mit den neuen IoT-Sicherheitsstandards der EU wird klar: Sicherheit ist im IoT kein „Nice-to-have“ mehr, sondern der Grundstein für Hersteller, Betreiber und Integratoren. Für Unternehmen, die proaktiv agieren, wird Sicherheit zum entscheidenden Differenzierungsmerkmal im Markt. Hersteller, die Sicherheit als integralen Bestandteil ihrer Produktentwicklung betrachten, gewinnen nicht nur das Vertrauen ihrer Kunden, sondern sichern sich nachhaltigen Erfolg.

Die Zukunft des IoT liegt in den Händen derjenigen, die Sicherheit als strategische Chance begreifen. Die neuen Vorschriften schaffen eine verlässlichere, sicherere IoT-Welt – und der Weg zu nachhaltigem Erfolg führt über die Bereitschaft, diesen Anforderungen gerecht zu werden.

Kontaktieren Sie uns

Lassen Sie uns darüber sprechen, wie IoT Device Management Sie bei der Compliance unterstützen kann!

Martin Falsner
Sales Manager
Digitalization
vCard
LinkedIn
martin.falsner@kontron-ais.com
+49 351 2166 1625
Jetzt Termin vereinbaren

1 https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/; 09.01.2024

2 ec.europa.eu/commission/presscorner/detail/en/ip_23_3491; 09.01.2024

3 https://www.eu-data-act.com/; 09.01.2024

4 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Management_Blitzlicht/Management_Blitzlicht_CRA.pdf; 30.10.2024

5 https://ec.europa.eu/commission/presscorner/detail/en/IP_23_6168; 09.01.2024

6 www.lexology.com/library/detail.aspx; 09.01.2024

7 https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet; 09.01.2024

8 https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf; 09.01.2024

9 https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html; 12.11.2024

10 https://nis2directive.eu/manufacturing/; 09.01.2024

11 https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards; 09.01.2024

12 www.iec.ch/blog/understanding-iec-62443; 09.01.2024