A hologram of a cyber security writing in blue. Two people can be seen blurily behind the hologram.

    Cybersecurity: Ihre Pflicht – unsere Lösung

    In einer zunehmend vernetzten Welt, in der Cyberangriffe immer raffinierter werden, setzte die Europäische Union mit dem Cyber Resilience Act (CRA) bereits im Jahr 2019 neue Maßstäbe für die Cybersicherheit von Produkten mit digitalen Elementen. 

    Ziel dieser Verordnung ist, Sicherheitsrisiken zu minimieren und bindende Anforderungen für Hersteller, Integratoren und Betreiber festzulegen. Besonders betroffen sind Unternehmen der Automatisierungs- und Fertigungsindustrie, da deren Systeme zunehmend vernetzt und softwaregesteuert sind.

    Der CRA ist Ende 2024 in Kraft getreten, die Vorbereitungen zur Umsetzung laufen bei vielen Unternehmen bereits auf Hochtouren. Bis Ende 2027 muss dieser vollständig umgesetzt sein, bei Verstößen drohen sonst empfindliche Strafen. Doch was bedeutet der CRA als internationales Regelwerk konkret für die Branche?

    Wir geben Ihnen im Folgenden einige Tipps, wie sie sich auf den CRA vorbereiten können, welche wichtigen Termine und Stichtage auf Sie zukommen und erläutern Ihnen, warum Hilscher genau der richtige Partner für das Thema Cybersecurity ist.

    Sie möchten mehr über sichere industrielle Kommunikation erfahren oder haben spezifische Fragen?

    Dann vereinbaren Sie jetzt ein persönliches Gespräch mit uns!

    Der Cyber Resilience Act tritt in Kraft

    Der Cyber Resilience Act (CRA) ist zum 11. Dezember 2024 in Kraft getreten. Damit ist der grobe gesetzliche Rahmen für die neuen Cybersicherheitsanforderungen abgesteckt und die Umsetzungsphase beginnt für viele Unternehmen. Anwendbar ist der CRA für jedes Produkt mit digitalen Elementen, dass in der EU in Verkehr gebracht wird.

    Erlass von Artikel 7 des CRA

    Mit Artikel 7 erlässt die EU am 11. Dezember 2025 einen Durchführungsrechtsakt zur technischen Beschreibung von sogenannten „Wichtigen Produkten“. Alle Produkte, die dieser Klassifizierung nach Anhang III des CRA entsprechen, müssen bestimmte Konformitätsbewertungsverfahren durchlaufen.

    Meldepflichten der Hersteller treten in Kraft

    Mit Artikel 14 des CRA treten am 11. September 2026 die Meldepflichten der Hersteller in Kraft. Diese verpflichten die Hersteller von Produkten mit digitalen Komponenten unter anderem zur Meldung von ausnutzbaren Schwachstellen inklusive Frühwarnungen und detaillierter Berichte mit festgelegten Zeiträumen.

    CRA ist implementiert

    Am 11. Dezember 2027 muss der CRA von allen betroffenen Unternehmen umgesetzt sein. Ab diesem Datum müssen alle Produkte mit digitalen Elementen, einschließlich Hardware, Software und unterstützenden Dienstleistungen, die Anforderungen des CRA erfüllen, um auf dem EU-Markt verkauft werden zu dürfen.

    Industrie im Sicherheits-Check*
    Spezifische Anforderungen für den Anlagen- und Maschinenbau
    Welche Kosten entstehen bei der Umsetzung des CRA?
    Security muss von Anfang an bedacht werden
    Mitarbeitende von Hilscher in einer Besprechung.

    Das SPS-Magazin spricht mit Cybersecurity-Experte Frank Behnke von Hilscher über den Cyber Resilience Act (CRA) und seine Folgen für die besonders betroffene Automatisierungs- und Fertigungsindustrie: 

    Wie bewerten Sie die Bedeutung des Cyber Resilience Act für die Automatisierungsbranche? Welche Herausforderungen sehen Sie bei der Umsetzung des CRA und welche Rolle spielt ‚Usable Security’ dabei?

    Der CRA, die NIS2-Richtlinie und das NIS2UmsuCG haben eine enorme Bedeutung für die Automatisierungsbranche. Neben strikteren Sicherheitsanforderungen kommen Haftungsfragen und die Pflicht zu regelmäßigen Sicherheitsupdates hinzu. Künftig wird es kein sicheres industrielles Netzwerk ohne tief integrierte Cybersecurity mehr geben. 

    Die Chancen liegen in einer einheitlichen Regulierung und mehr Vertrauen in sichere Produkte. Unternehmen, die frühzeitig auf Security-by-Design und auf Standards wie IEC 62443 setzen, können sich als verlässliche Partner im Markt positionieren. Zudem wird die Standardisierung es erleichtern, Produkte europaweit anzubieten. 

    Die größte Herausforderung ist die praxisnahe Umsetzung der neuen Anforderungen. Viele Unternehmen stehen noch am Anfang dieser Entwicklung und unterschätzen die Tragweite der bevorstehenden Veränderungen. Unser Ziel ist es, hier mit Expertise zu unterstützen, ohne unnötige Panik zu verbreiten. 

    Usable Security spielt dabei eine entscheidende Rolle. Sicherheitsmechanismen müssen anwenderfreundlich und effizient sein. Die beste Sicherheit hilft nichts, wenn sie schwer zu implementieren ist oder im Arbeitsalltag umgangen wird. Besonders Systeme mit zentralem Patch-Management bieten hier einen Wettbewerbsvorteil, da sie Sicherheitsupdates automatisieren und den Verwaltungsaufwand reduzieren. 

    Frank Behnke
    Head of Information Systems, Hilscher 

    *Der Text ist zuerst erschienen im SPS-Magazin 5 (Mai) 2025.

    Welche spezifischen Anforderungen des CRA sind für den Maschinen- und Anlagenbau sowie die Prozessindustrie besonders relevant? Wie lassen sich die Anforderungen des CRA in Produkten und Prozessen effektiv umsetzen?

    Der CRA bringt tiefgreifende Anpassungen in der Produktentwicklung und im Betrieb mit sich. Besonders kritisch ist die Meldepflicht für Sicherheitsvorfälle innerhalb von 24 Stunden, was ein effektives Incident-Management und Security-Monitoring voraussetzt. Ansonsten drohen empfindliche Strafen. 

    Um die Anforderungen zu erfüllen, müssen Unternehmen ihre Entwicklungsprozesse anpassen, indem sie Security-by-Design und Security-by-Default von Anfang an implementieren

    Das bedeutet:

    •  Risikobewertungen und Sicherheitsaudits bereits in der Entwicklungsphase
    • Nachhaltige Update- und Patch-Strategien, um Produkte über ihren gesamten Lebenszyklus sicher zu halten
    • Zertifizierungskonformität, da „signifikante Änderungen“ an bestehenden Produkten eine Neuzertifizierung erfordern

    In der Praxis braucht es zentralisierte Patch-Management-Systeme, robuste Zugriffs- und Authentifizierungslösungen und klar definierte Prozesse für regelmäßige Sicherheitsüberprüfungen. Gerade für komplexe Automatisierungssysteme ist es entscheidend, Cybersicherheit so zu integrieren, dass sie den Betrieb nicht beeinträchtigt und gleichzeitig die Anforderungen des CRA zuverlässig erfüllt. 

    Frank Behnke
    Head of Information Systems, Hilscher

    A man in a black suit and white shirt is smiling into the camera. He wears glasses and has grey hair. The environment is very bright.

    Welche Kosten und welchen Aufwand erwarten Sie für die Umsetzung des CRA? Wird der CRA die Wettbewerbsfähigkeit von Maschinen- und Anlagenbauern beeinflussen? Wenn ja, wie? 

    Die Kosten und der Aufwand für die Umsetzung des CRA lassen sich nicht pauschal beziffern, da sie stark davon abhängen, wie frühzeitig Unternehmen Security-by-Design in ihre Entwicklungsprozesse integriert haben. Unternehmen, die bereits sichere Architekturprinzipien anwenden, werden geringeren Anpassungsaufwand haben als jene, die erst jetzt beginnen, Cybersicherheit nachzurüsten.

    Hinsichtlich der Wettbewerbsfähigkeit gibt es eine klare Trennung: Nicht cybersichere Maschinen und Geräte werden künftig massive Nachteile auf dem Markt haben. Kunden und Betreiber werden verstärkt auf zertifizierte, CRA-konforme Produkte setzen, um regulatorische Risiken zu minimieren.

    Ein Beispiel ist unser netX-90-Kommunikationscontroller, der bereits umfassende Security-Mechanismen integriert. Damit lassen sich sichere Kommunikationslösungen direkt umsetzen – ein klarer Vorteil gegenüber älteren Chipgenerationen, die diese Funktionalität nicht oder nur eingeschränkt bieten.

    Aber nicht nur Produkte sind betroffen – auch bestehende Netzwerktechnologien müssen überdacht werden. Besonders Feldbustechnologien, die traditionell für abgeschottete Systeme konzipiert wurden, gelten nach den neuen Vorschriften als inhärent unsicher und lassen sich kaum CRA-konform machen. Hier werden Unternehmen gezwungen sein, sichere Netzwerkarchitekturen zu etablieren, etwa durch Firewall-Lösungen, Netzwerksegmentierung und strikte Zugriffskontrollen. In vielen Fällen wird eine vollständige Umstellung auf sicherere, IP-basierte Kommunikationstechnologien notwendig sein. 

    Wer frühzeitig auf sichere Architekturen, moderne Sicherheitsmechanismen und Upgradability setzt, wird sich langfristig einen klaren Marktvorteil verschaffen.

    Frank Behnke 
    Head of Information Systems, Hilscher 

    A black netX chip surrounded by logos of various industrial protocols such. The logos are in white and a are placed in colorful bubbles around the chip. Each bubble is connected to the netX chip with dotted lines.

    Wie planen Sie, Ihre Kunden bei der Einhaltung der CRA-Anforderungen zu unterstützen? Welche Empfehlungen haben Sie für KMU in der Branche zur Vorbereitung auf den CRA?

    Unsere Empfehlung für kleine und mittelständische Unternehmen ist klar: Erstellen Sie frühzeitig einen Plan, um die CRA-Anforderungen systematisch anzugehen. Cybersecurity muss von Anfang an in die Produktentwicklung integriert werden – je früher, desto besser.

    Ein zentraler Punkt ist die Wahl kompetenter Partner für Security, denn die Komplexität der Anforderungen macht Insellösungen oder teure Fehlentwicklungen unwirtschaftlich. Wir bei Hilscher setzen beispielsweise auf die Zusammenarbeit mit TÜV Rheinland und haben bereits 70 % unserer Entwicklungsprozesse nach IEC 62443-4-1 konform aufgestellt – der Rest folgt in Kürze.

    Zudem stehen für 2025 Zertifizierungen nach dem BSI-IT-Grundschutz und der ISO 27001 an. Dieses Wissen teilen wir aktiv mit unseren Kunden, um Unternehmen durch unsere Expertise und Technologien dabei zu unterstützen, ihre Produkte und Anlagen sicher und CRA-konform zu machen.

    Unternehmen sollten sich zudem in Brancheninitiativen und Arbeitsgruppen engagieren, um Best Practices und Erfahrungen auszutauschen. Derzeit gibt es mehrere Initiativen, in denen sich Unternehmen vernetzen und gemeinsame Lösungen für die CRA-Herausforderungen entwickeln. Der ZVEI, der VDMA oder auch Arbeitsgruppen zur IEC 62443 bieten wertvolle Plattformen für den Austausch und praxisnahe Unterstützung bei der Umsetzung der neuen Anforderungen.

    Frank Behnke
    Head of Information Systems, Hilscher 

    CRA – Ein Überblick

    Der Cyber Resilience Act ist am 10. Dezember 2024 in Kraft getreten und muss bis zum 11. Dezember 2027 von den betroffenen Unternehmen umgesetzt sein. Diese Verordnung führt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein, um Verbraucher und Unternehmen vor Cyberbedrohungen zu schützen.

    Sicherheitsanforderungen

    Unternehmen müssen sicherstellen, dass ihre Produkte und Dienstleistungen grundlegende Sicherheitsstandards erfüllen.

    Risikomanagement

    Strategien zur Identifizierung und Minderung von Risiken von der Idee eines Produkts bis zu dessen Abkündigung müssen im Unternehmen umgesetzt werden.

    Meldepflichten

    Unternehmen sind verpflichtet, Sicherheitsvorfällen zu melden sowie über ein entsprechendes Patch-Management-System zu verfügen. Ausnutzbare Schwachstellen müssen Kunden offengelegt werden.

    NIS 2 – Ein Überblick

    Die Abkürzung NIS 2 steht für die zweite Richtlinie zur Netzwerk- und Informationssicherheit der Europäischen Union. Diese Richtlinie, offiziell als Richtlinie (EU) 2022/2555 bekannt, zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau innerhalb der EU zu gewährleisten. Die NIS 2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie und führt strengere Cybersicherheitsstandards ein, insbesondere für Unternehmen, die kritische Infrastrukturen betreiben.

    Erweiterter Rahmen

    NIS 2 gilt für eine breitere Palette von Sektoren, einschließlich Energie, Transport, Banken, Gesundheit und digitale Infrastruktur. Sie bringt auch verschärfte Anforderungen für kleine und mittlere Unternehmen mit sich, um die allgemeine Resilienz zu fördern.

    Sicherheitsanforderungen

    Die Richtline verpflichtet zur Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen und definiert Mindeststandards für Risikomanagement und Sicherheitsprotokolle.

    Meldepflichten

    Unternehmen sind verpflichtet, Sicherheitsvorfällen zu melden sowie über ein entsprechendes Patch-Management-System zu verfügen. Ausnutzbare Schwachstellen müssen Kunden offengelegt werden.

    Überführung in nationales Recht

    Die NIS-2-Verordnung wird von den europäischen Mitgliedstaaten in ein jeweiliges nationales Gesetz übertragen.

    Sichere industrielle Kommunikation mit Hilscher – CRA & NIS 2 meistern mit Hilscher-Technologie

    Hilscher arbeitet eng mit dem TÜV Rheinland Security Operation Center (SOC) zusammen. Hilscher-Systeme sind mit dem TÜV Rheinland SOC verknüpft, welches eine automatisierte Anomalieerkennung durchführt.

    Zertifizierung nach dem Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie nach der ISO 27001 geplant bis Ende 2025.

    Schutz der Hilscher-Produktion durch verschiedene Maßnahmen wie die Einführung eines Asset Managements, einer Revision der Zugangskontrolle sowie des Sicherheitskonzepts der Produktionsanlage in Hattersheim.

    Bereits 85% der Entwicklungsprozesse bei Hilscher stimmen mit der IEC 62443-4-1 überein. Diese Norm legt Anforderungen für den sicheren Entwicklungslebenszyklus von Produkten in industriellen Automatisierungs- und Steuerungssystemen fest.

    Erste Vortests für Produkte bereits in 2025 und 2026 geplant: Nach der Festlegung der Zertifizierungskriterien durch die UE-Kommission beginnt Hilscher gemeinsam mit dem TÜV Rheinland die ersten Produkttests für den CRA. Diese Vortest werden dann in Maßnahmenkataloge aufgenommen und für die finalen Produktzertifizierungen genutzt.

    Unsere Secure Firmware Architecture

    Hinter der Erweiterung unserer Standard-Firmware um Security-Features sind einige Prozesse versteckt, die wir Ihnen gern in einem dedizierten Training oder Produktworkshop näherbringen. Wichtig für Sie ist die Möglichkeit, Ihre Security-Architektur in Bezug auf Schlüsselverwaltung und Lebenszyklus-Management so zu bauen, wie es für Ihren Anwendungsfall erforderlich ist. Wir unterstützen das mit flexiblen Handling der Schlüsselerzeugung und Security-Handhabung.

    Profitieren Sie von etablierten Secure-Boot-Mechanismen, dem Certificate Management und der Protokoll-spezifischen Datenverschlüsselung für unterschiedliche Real-Time-Ethernet Protokolle.

     

    A graphical representation of the Hilscher Secure Firmware Architecture

      Jetzt persönlichen Beratungstermin vereinbaren

      Sie stehen vor der Herausforderung, Ihre Kommunikationslösung CRA-konform zu machen? Sie haben eine Frage zu einer bestimmten Verordnung? Oder benötigen Unterstützung für eine spezifische Herausforderung in Ihrem Projekt? Vereinbaren sie jetzt einen persönlichen Termin mit einem unserer Experten! Wir freuen uns auf den unverbindlichen Austausch mit Ihnen.

      Termin vereinbaren!