Neue Regelwerke
Maschinen- und Cyber-Sicherheit: Wie ein ganzheitlicher Schutz nach Maschinenverordnung, NIS 2 und CRA gelingt
Dienstag, 10. Juni 2025
| Redaktion
Teilen auf:
Neue EU-Regularien wie MVO, NIS-2 und der CRA bringen Anforderungen mit sich, die ein Umdenken bisheriger Strukturen erfordern. Hersteller, Integratoren und Betreiber werden sich intensiv damit befassen müssen.
Neue EU-Regularien wie MVO, NIS-2 und der CRA bringen Anforderungen mit sich, die ein Umdenken bisheriger Strukturen erfordern. Hersteller, Integratoren und Betreiber werden sich intensiv damit befassen müssen, Bild: Phoenix Contact

Der Maschinen- und Anlagenbau sieht sich mit einer Vielzahl neuer Anforderungen konfrontiert. Aufgrund der bevorstehenden europäischen Regelwerke Maschinenverordnung (EU) 2023/1230 (MVO), Cyber Resilience Act (CRA) und der Cyber-Sicherheitsrichtlinie NIS 2 ist ein Umdenken im Hinblick auf bisherige Strukturen und Vorgehensweisen notwendig. Denn auf der Grundlage dieser Verordnungen müssen Maschinenkonzepte zukunftssicher ausgerichtet werden. Aus der Veröffentlichung der Maschinenverordnung im Amtsblatt der EU ergibt sich deren verpflichtende Umsetzung bis zum 20. Januar 2027. Ab diesem Datum dürfen Maschinen nur unter Berücksichtigung der neuen Anforderungen in Verkehr gebracht werden. Grundsätzlich ist eine Maschine so zu konstruieren, dass weder ihre Kommunikation mit einer angeschlossenen noch mit einer entfernt installierten Einrichtung zu einer gefährlichen Situation führen kann. Dies gilt sowohl beim bestimmungsgemäßen Gebrauch der Maschine ebenso im Fall möglicher Manipulationen für die Hard- und Software. 

Maschinenverordnung fordert Schutz gegen Korrumpierung

Anhang III, Punkt 1.1.9 der neuen Maschinenverordnung fordert künftig den Schutz gegen Korrumpierung, also die Verhinderung eines vorsätzlichen oder unbeabsichtigten Zugriffs oder einer daraus resultierenden unbeabsichtigten Veränderung. Mit der prEN 50742 liegt bereits ein Normenauftrag vor, aus dem konkrete Vorgehensweisen zur Realisierung dieser Anforderung hervorgehen werden. Folglich erhalten Security-Aspekte eine neue und weitreichende Bedeutung, die auch bei der Risikobeurteilung einer Maschine beachtet werden müssen.

Einfluss der NIS 2-Richtlinie auf die Zulieferindustrie

Die NIS-2-Richtlinie stellt Anforderungen an den cyber-sicheren Betrieb von wesentlichen und wichtigen Einrichtungen. Sie ist insbesondere für Betreiber von Maschinen und Anlagen gültig. NIS 2 wurde 2023 von der Europäischen Union verabschiedet und basiert auf der vorangegangenen Richtlinie „Network & Information Security“. Diese adressierte vorrangig den Bereich der kritischen Infrastruktur. Mit der zweiten NIS-Version erweitert sich der Geltungsbereich nun deutlich, um Security-Standards in weiten Teilen der Industrie zu etablieren. Die Richtlinie definiert drei Unternehmenskategorien: Kleinst- und Kleinunternehmen, wichtige Einrichtungen und wesentliche Einrichtungen, die jeweils branchenspezifisch unterteilt sind. Durch das vorgesehene lückenlose Lieferkettenmanagement wird NIS 2 unweigerlich Einfluss auf die Zulieferindustrie haben, sodass der cyber-sichere Betrieb von Maschinen und Anlagen sichergestellt ist. 

Cyber Resilience Act CRA regelt Zugriffsschutz, Vertraulichkeit, Integrität und Verfügbarkeit

Der Cyber Resilience Act, ebenfalls bekannt als Cyber-Resilienz-Verordnung (CRV), zielt darauf ab, die Cyber-Sicherheit von Produkten mit digitalen Elementen über den gesamten Produktlebenszyklus zu verbessern. Mit der Verabschiedung im Jahr 2024 werden die Anforderungen im Dezember 2027 bindend. Aspekte wie Zugriffsschutz, Vertraulichkeit, Integrität und Verfügbarkeit spielen hierbei eine entscheidende Rolle. Zur Umsetzung dieser Aspekte verlangt der CRA ein Schwachstellenmanagement sowie die Verpflichtung der Hersteller, Security-Updates bereitzustellen. Der internationalen Normenreihe IEC 62443 wird in diesem Zusammenhang eine große Bedeutung zugesprochen, da sie sowohl den Entwicklungsprozess ebenso wie die Anforderungen an technische Systeme abdeckt. Aufgrund dieser Übereinstimmungen könnte die IEC 62443 als vielversprechende Basis für eine harmonisierte Norm des CRA dienen.

Ganzheitliche Betrachtung und praktische Lösungsansätze

Insbesondere Zeit und Einsatzgebiet erhöhen die Notwendigkeit für betroffene Unternehmen, Konzepte und Strukturen rechtzeitig an Anforderungen der neuen Regularien anzupassen. Aus Sicht eines Betreibers empfiehlt es sich, den Betrieb nach dem Defense-in-Depth-Konzept in verschiedene Sicherheitsebenen einzuteilen. Bei dieser gestaffelten Verteidigung wird zunächst die äußere Zone betrachtet, die den Zugriffsschutz auf das Unternehmensnetzwerk regelt. Sie lässt sich beispielsweise durch physische und digitale Isolierung mittels konfigurierbarer Firewalls schützen. Das untergliederte Produktionsnetzwerk kann durch Sicherheitsmaßnahmen wie die Identifizierung aller Netzwerkgeräte, die Analyse des Datenverkehrs und die Implementierung eines Routings abgesichert werden. Darüber hinaus sorgen organisatorische Maßnahmen wie ein Benutzermanagement für die Integrität des Systems. Zur Segmentierung einzelner Maschinennetzwerke sind die Schnittstellen und zugehörigen Sicherheitsmaßnahmen zu definieren.

Security-Router schützt vor unautorisierten Zugriffen

Das Security-Niveau variiert je nach Anwendung und kann zuweilen nicht allein vom Maschinenhersteller ermittelt werden. Aus der Perspektive des Maschinenherstellers erscheint neben technischen Lösungen eine ganzheitliche Herangehensweise als zielführend. Diese erfolgt in Abstimmung mit den Betreiberanforderungen und Komponentenherstellern. Besonders bei der Integration in ein Fertigungsnetzwerk erweist sich die genaue Betrachtung der Anbindung als wichtig. In einer Referenzarchitektur besteht eine Produktionslinie aus unterschiedlichen Maschinenmodulen mit mehreren Steuerungen, die untereinander Daten sicherheitsgerichtet austauschen. Im Rahmen der übergeordneten Kommunikation schützt ein Security-Router der Produktfamilie „FL mGuard“ vor unautorisierten Zugriffen. Im Fall eines erforderlichen Zugangs kann der Nutzer eine VPN-Verbindung aufbauen, die entweder beschränkt ist oder durch autorisiertes Personal per Schlüsselschalterfreigabe umfassend sein kann. 

Der in der IT bekannte Begriff der Systemhärtung wird damit vermehrt im Umfeld industrieller Systeme und Komponenten angewendet. Hier unterstützt die Normenreihe IEC 62443 ebenfalls beim sicheren Betrieb von industriellen Automatisierungssystemen. Während Komponentenhersteller die Cyber-Sicherheit der Produkte verantworten, ist deren sicheres Zusammenwirken Aufgabe des Maschinen- und Anlagenbaus. Dem Betreiber obliegen schließlich die sicheren Betriebsabläufe.

Unterstützung bei der Umsetzung der neuen Anforderungen aus MVO, NIS 2 und CRA

Um bis zu den entsprechenden Stichtagen schlüssige und rechtskonforme Konzepte aufzusetzen, müssen sich die jeweils Verantwortlichen rechtzeitig mit den regulatorischen Anforderungen und möglichen Lösungsszenarien auseinandersetzen. Die potenziell weitreichenden Änderungen bedingen eine sorgfältige Planung. Abgesehen von den konstruktiven umfassen sie auch organisatorische Maßnahmen. Mit der langjährigen Erfahrung im Bereich der industriellen Kommunikation und Maschinensicherheit hilft Phoenix Contact bei der Umsetzung der neuen Anforderungen. Das Unternehmen verschafft den Herstellern, Maschinen- und Anlagenbauern sowie Betreibern so die bestmöglichen Voraussetzungen für einen ganzheitlichen und rechtskonformen Schutz ihrer Produkte und Anlagen gemäß MVO, NIS 2 und CRA.

Normenreihe IEC 62443 mit Defense-in-Depth-Konzept

Die IEC 62443 verfolgt als internationale Normenreihe das Ziel, den sicheren Betrieb industrieller Automatisierungssysteme zu unterstützen. Sie orientiert sich an der IT-Sicherheitsnorm ISO 27001 und richtet sich an Komponentenhersteller, Systemintegratoren und Betreiber. Die Untergliederung der Normenreihe umfasst die vier Bereiche Allgemein, Richtlinien, System und Komponente. Diese Bereiche bestehen aus mehreren Teilen und spezifizieren Kriterien für die jeweilige Zielgruppe. So ergeben sich für Gerätehersteller beispielsweise Vorgaben zum Device- und Update-Management, zum User-Management und zur Implementierung von Open Source Code. Bei der Erfüllung der einzelnen Normenteile kann ein Unternehmen außerdem verschiedene Reifegrade, sogenannte Maturity Level, und Security Level erreichen. Im Allgemeinen richtet sich die IEC 62443 am mehrschichtigen Defense-in-Depth-Konzept aus. Durch die Staffelung unterschiedlicher Sicherheitsmechanismen hintereinander wird es Angreifern erschwert, in das System einzudringen.

Autoren

Simon Mersch, Product Marketing Manager Automation Infrastructure
Sören Jäckel, Product Marketing Manager Automation Infrastructure und Automation Systems
beide Phoenix Contact Deutschland

Auch interessant für Sie

v.l.n.r.: Sergei Biberdorf und Tobias Timm (beide Tüv Rheinland Functional Safety & Cyber Security), Jan Aulenberg, Product Manager, Industrial Network Technology Phoenix Contact, und Andreas Fuß, Senior Specialist OT-Security, Industrial Network Technology Phoenix Contact, freuen sich über die Zertifizierung der Managed Switches
Die neue EU-Maschinenverordnung rückt Cyber-Sicherheit und digitale Risiken stärker in den Fokus
Maschinenverordnung und Cyber Resilience Act bringen Digitalisierung, KI und Cybersecurity ins Zentrum von Kompontenherstellern, Maschinen- und Anlagenbauern sowie Händlern
Ganzheitliche Sicherheitsstrategien für Intralogistikanlagen erfordern die Einbeziehung von Software, Kommunikationstechnik und vernetzten Infrastrukturen in die Instandhaltung
Mit dem Sick Industrial Cybersecurity Testcenter (SICST) in Waldkirch, das im Februar 2025 offiziell durch die Deutsche Akkreditierungsstelle (DAkkS) für die Norm IEC 62443-4-2 akkreditiert wurde, ist SICK der erste deutsche Hersteller mit einem akkreditierten Prüflabor, das Konformitätsbewertungen hinsichtlich der IT-Sicherheit industrieller Automatisierungssysteme durchführen kann.
Mit Know-how, Partnernetzwerk und Prozesskompetenz hilft Rutronik Kunden, die Cyber Resilience Act-Herausforderungen frühzeitig zu meistern.
Keywords:
Phoenix Contact NIS-2 Maschinenverordnung CRA Cybersecurity Security