Speicherprogrammierbare Steuerungen (SPSen), HMIs, Industrieroboter, CNC-Maschinen – die Industrieautomation wird zunehmend vernetzt. Mit dem Cyber Resilience Act (CRA) gelten für diese Produkte erstmals verbindliche EU-weite Cybersicherheitsanforderungen. Für OEMs und Maschinenbauer bedeutet das eine fundamentale Veränderung: Cybersicherheit wird zum festen Bestandteil der Produktentwicklung und des gesamten Lebenszyklus.
Warum die Industrieautomation im Fokus des CRA steht
Industrielle Steuerungssysteme waren traditionell isolierte Systeme – air-gapped und physisch geschützt. Diese Zeiten sind vorbei. Moderne Produktionsanlagen sind über OPC UA, MQTT oder proprietäre Protokolle vernetzt, werden remote gewartet und tauschen Daten mit Cloud-Plattformen aus.
Diese Konnektivität schafft Angriffsflächen, die der CRA adressieren will. Die Konsequenzen eines erfolgreichen Cyberangriffs auf industrielle Steuerungen gehen weit über Datenverlust hinaus: Produktionsausfälle, Qualitätsprobleme, im schlimmsten Fall Gefahren für Leib und Leben. Aus diesem Grund stuft der CRA viele Komponenten der Industrieautomation als "wichtige Produkte" ein, für die strengere Bewertungsverfahren gelten.
Hersteller von Industriemaschinen und Automatisierungskomponenten müssen verstehen, dass der CRA nicht nur neue Anlagen betrifft. Auch Nachrüstungen und wesentliche Updates bestehender Produkte können eine CRA-Konformitätsbewertung auslösen.
Produktklassifizierung in der Industrieautomation
Die Einstufung Ihrer Produkte bestimmt den erforderlichen Aufwand für die Konformitätsbewertung.
SPSen und industrielle Steuerungen mit Netzwerkschnittstellen fallen typischerweise als wichtige Produkte in Klasse I. Das bedeutet: Selbstbewertung ist möglich, wenn harmonisierte Normen vollständig angewendet werden. Ansonsten muss eine benannte Stelle einbezogen werden.
Industrielle Firewalls, Gateway-Geräte und Sicherheitscontroller können je nach Funktion in Klasse II fallen, was zwingend die Einbeziehung einer benannten Stelle erfordert.
Sensoren, Aktoren und einfache Feldgeräte ohne eigene Netzwerkkonnektivität fallen möglicherweise nicht unter den CRA, sofern sie keine digitalen Elemente im Sinne der Verordnung enthalten. Sobald jedoch eine Netzwerkschnittstelle vorhanden ist – sei es Ethernet, WiFi oder Bluetooth – greift der CRA.
Für OEMs, die Maschinen aus verschiedenen Komponenten zusammenbauen, ergibt sich eine zusätzliche Komplexität: Sie müssen sowohl die CRA-Konformität der einzelnen Komponenten sicherstellen als auch die Gesamtmaschine betrachten.
Besondere Herausforderungen für die Industrie
Die Industrieautomation steht vor spezifischen Herausforderungen bei der CRA-Umsetzung, die sich von der Consumer-Elektronik deutlich unterscheiden.
Lange Produktlebenszyklen. Industrielle Steuerungen werden 15 bis 25 Jahre eingesetzt. Der CRA verlangt Sicherheitsupdates über den gesamten Supportzeitraum. Hersteller müssen einen realistischen Supportzeitraum definieren und transparent kommunizieren. Für Produkte, die über den definierten Supportzeitraum hinaus eingesetzt werden, muss das Ende der Unterstützung klar dokumentiert sein.
Echtzeit-Anforderungen. Viele industrielle Systeme haben harte Echtzeit-Anforderungen. Sicherheitsmaßnahmen wie Verschlüsselung oder authentifizierte Kommunikation dürfen die Zykluszeiten nicht beeinträchtigen. Das erfordert sorgfältige Abwägung zwischen Sicherheit und Performanz – und Hardware, die beides unterstützt.
Legacy-Integration. Neue CRA-konforme Komponenten müssen oft mit bestehenden Altanlagen kommunizieren, die nicht den aktuellen Sicherheitsstandards entsprechen. Hersteller müssen Konzepte entwickeln, wie ihre Produkte in gemischten Umgebungen sicher betrieben werden können – etwa durch Netzwerksegmentierung oder Protokoll-Gateways.
Komplexe Lieferketten. Ein Industrieroboter enthält Software von zahlreichen Zulieferern: das Echtzeit-Betriebssystem, Motorsteuerungsbibliotheken, Kommunikationsstacks, Safety-Bibliotheken. Für die SBOM müssen alle diese Komponenten erfasst werden. Das erfordert eine enge Zusammenarbeit mit Zulieferern, die möglicherweise nicht gewohnt sind, SBOM-Daten bereitzustellen.
IEC 62443 als Brücke zum CRA
Hersteller, die bereits nach IEC 62443 arbeiten, haben einen erheblichen Vorsprung bei der CRA-Umsetzung. Die Normenreihe IEC 62443 ist der De-facto-Standard für Cybersicherheit in der Industrieautomation und deckt viele CRA-Anforderungen ab.
IEC 62443-4-1 definiert Anforderungen an den sicheren Produktentwicklungsprozess (Secure Development Lifecycle), was direkt auf die CRA-Anforderung "Security by Design" einzahlt. IEC 62443-4-2 definiert technische Sicherheitsanforderungen für Komponenten, die sich weitgehend mit den wesentlichen Anforderungen des CRA decken.
Allerdings deckt IEC 62443 nicht alle CRA-Anforderungen ab. Insbesondere die SBOM-Pflicht, die spezifischen Meldepflichten bei Schwachstellen und die Anforderungen an die EU-Konformitätserklärung sind CRA-spezifisch und müssen zusätzlich adressiert werden.
Die harmonisierten Normen für den CRA werden voraussichtlich auf IEC 62443 aufbauen. Hersteller, die heute mit IEC 62443 beginnen, investieren also in die richtige Richtung.
Praktischer Fahrplan für OEMs
Für Maschinenbauer und OEMs empfiehlt sich ein strukturierter Ansatz in vier Phasen.
In der ersten Phase führen Sie eine Bestandsaufnahme durch: Welche Produkte fallen unter den CRA? Welche Produktkategorie gilt jeweils? Welche Softwarekomponenten sind in jedem Produkt enthalten? Für diese Analyse sollten Sie drei bis vier Wochen einplanen.
In der zweiten Phase schließen Sie die identifizierten Lücken: Implementieren Sie fehlende Sicherheitsmechanismen, bauen Sie den SBOM-Prozess auf und etablieren Sie das Schwachstellenmanagement. Je nach Ausgangslage kann diese Phase sechs bis zwölf Monate dauern.
In der dritten Phase erstellen Sie die technische Dokumentation und führen die Konformitätsbewertung durch. Planen Sie bei Bedarf die Interaktion mit einer benannten Stelle ein.
In der vierten Phase etablieren Sie die laufenden Prozesse: kontinuierliches Schwachstellenmonitoring, regelmäßige SBOM-Updates, Meldeprozesse für Sicherheitsvorfälle und die Planung von Sicherheitsupdates.
Kunnus bietet eine Plattform, die alle diese Phasen unterstützt – von der initialen Gap-Analyse über das laufende Schwachstellenmanagement bis zur Audit-Vorbereitung. So behalten Sie bei mehreren Produktlinien den Überblick und können die CRA-Compliance effizient nachweisen.
Starten Sie mit unserer kostenlosen CRA-Reifegradanalyse und erfahren Sie, welche Schritte für Ihre Produkte als nächstes anstehen.