Achtung! Cybersicherheit rückt ganz nach vorn. In der EU, in D, A, CH, die Industrie muss sich verhalten. Ganz besonders in der Automatisierung. Eine Extrabedeutung bekommen dabei die offenen, Linux-basierten Plattformen der Marktübersicht Smart Automation. Wegducken gilt nicht mehr und geht nicht mehr. Die Marktübersicht und dies Portal tragen dem jetzt Rechnung.
Seit dem 11. Dezember 2024 ist der Cyber Resilience Act (CRA) in ganz Europa in Kraft. Ebenfalls Ende 2024 wurde die 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) verabschiedet, die nun in nationales Recht umgesetzt wird. Mit diesen beiden Regelungen wird das Thema Cybersicherheit – in der Industrie noch keineswegs überall in seiner Tragweite erkannt – zur gesetzlichen Pflicht. Für die Plattformen in der Industrie-Automatisierung hat es bereits hohe Priorität. In allernächster Zeit wird es noch viel stärker in den Vordergrund rücken. In der Marktübersicht Smart Automation 2025/1 ist nun auch eine erste Tabelle zur Cybersicherheit enthalten.
Diese Tabelle hat nur beschränkte Aussagekraft, was weder an der Auskunftsbereitschaft der Hersteller noch an ihren Bemühungen um Sicherheit liegt. Denn alle Beteiligten haben den Frageborgen in vollem Umfang beantwortet. Gefragt wurde nach Zertifizierung von Teilen der IEC 62443, die bis zum Scharfschalten des CRA die entscheidenden Standards für die Cybersicherheit von Automatisierungssystemen, also von industriellen Steuerungssystemen oder Industrial Control Systems (ICS) darstellen.
Eine CRA-Zertifizierung ist noch nicht möglich. Und auch für die bisher üblichen IEC-Zertifikate müssen recht langwierige Prozesse durchlaufen werden. Verschiedene Anbieter sind mitten in diesem Prozess, etwa KEBA in der Zertifizierung für IEC 62443-4-1 oder TTTech Digital Solutions für IEC 62443-4-1 und IEC 62443-4-2.
Die abgefragten Teilnormen der IEC 62443
Hier eine kurze Einordnung, welche Teilnormen zur Grundlage der Tabelle gemacht wurden.
IEC 62443-2-4
Die Teilnorm 62443-2 betrifft Vorgehensweisen und Regelungen zur Sicherheit von industriellen Steuerungssystemen. Speziell 62443-2-4 beinhaltet die Anforderungen an ein Sicherheitsprogramm für ICS-Service-Anbieter, also auch für Anbieter von Automatisierungsplattformen.
IEC 62443-3-3
Teilnorm 62443-3 umfasst Sicherheitstechnologien, Risikoprüfung und Systemdesign für ICS. Bei 62443-3-3 geht es um Sicherheitsanforderungen und konkrete Sicherheitsstufen in der industriell vernetzten Kommunikation.
IEC 62443-4-1
IEC 62443-4 betrifft Komponenten und Produkte von ICS. IEC 62443-4-1 adressiert deren Entwicklung und sicheren Lebenszyklus, IEC 62443-4-2 die konkreten technischen Anforderungen an die Sicherheit der Komponenten.
Nicht alles kommt für jede der Plattformen in Betracht, manches betrifft andere Glieder in der meist recht komplexen Lieferkette der vernetzten Systeme. Auch deshalb gibt die Tabelle in der Marktübersicht zwar einen Ausschnitt des Sicherheitsangebots wieder, nicht aber das ganze Bild.

Umsetzungsstufen CRA, *KBS = Konformitätsbewertungsstellen
(Quelle: BSI)
Die abgebildete Etappenphasen der CRA-Umsetzung zeigen, dass spätestens Ende 2027 jeder Hersteller einen Nachweis für die Sicherheit seiner Plattform vorweisen muss. Darüber hinaus müssen Tausende von Kunden – nicht nur als Anwender der Plattform, sondern generell als Hersteller von vernetzten Produkten oder Herstellungskomponenten – ebenfalls einen Nachweis liefern. Die jetzigen Zertifizierungen sind mit Sicherheit eine gute Voraussetzung für die Erfüllung des CRA. In wie weit sie dabei ersetzt werden, ist derzeit noch nicht klar.
Im Übrigen gilt für das Thema Cybersicherheit wie für die meisten Teilbereiche und Funktionalitäten von Automatisierungsplattformen: Nicht jeder muss alles neu erfinden. Spezialanbieter sind bereits auf dem Markt mit Apps und Systemen, die sich ausschließlich auf die Cybersicherheit fokussieren.
NIS-2
Mit der Umsetzung der NIS-2-Richtlinie zur Netzwerk- und Informationssicherheit in nationales Recht wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) durch eine Änderung des BSI-Gesetzes für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich voraussichtlich wenig, aber für ca. 29.000 nach dem Gesetz „besonders wichtige“ und „wichtige“ Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten. Dabei wird in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien differenziert (KRITIS, besonders wichtige Einrichtung, wichtige Einrichtung).
Wie beim CRA stehen auf der Website des BSI auch zum NSI-2 zahlreiche Informationen zur Verfügung, um in jedem Industriebetrieb zu verstehen, was genau wann für welches Unternehmen zu tun ist. Sehr zu empfehlen ist ein zuletzt Ende 2024 aktualisiertes ICS-Security-Kompendium. Und ein Entscheidungsbaum steht bereit für die Prüfung der Betroffenheit durch NIS-2.
Als Beitrag zur Diskussion um die Rolle der Cybersicherheit in der Industrie, speziell bei Entwicklung und Nutzung der Linux-basierten Automatisierungsplattformen, wird sich Industrie-Digitalisierung in der nächsten Zeit detailliert mit dieser Frage befassen.
Die Themen? Unter anderem diese:
- OT-IT-Konvergenz und die Cybersicherheit
- Die besondere Rolle der Plattformen bei der Security
- Entwicklung der CRA- und NIS-2-Umsetzung und die Auswirkungen auf die Plattformen
- Cybersecurity und die Hyperscaler in USA und China