Suchen
Suche abbrechen Zurück

Wonach suchen Sie?

Suchen
Login
Login abbrechen Zurück

E-Mail Adresse *

Passwort eingeben *

Passwort vergessen?

Noch keinen Account?

Verwalten Sie Ihre Buchungen unkompliziert in Ihrem individuellen Kundenaccount. Hier finden Sie außerdem alle Veranstaltungsunterlagen zum Download.

Jetzt registrieren

Konto
Warenkorb
Schließen Zurück

0

Warenkorb
Kontakt
Schließen Zurück

VDI Wissensforum GmbH

VDI-Platz 1

40468 Düsseldorf

wissensforum@vdi.de +49 (0)2116214-201
+49 (0)2116214-154

Sie erreichen uns zu unseren Geschäftszeiten: Mo–Fr von 08:00–16:30 Uhr

Sie haben Fragen?

Wir haben die häufigsten Fragen in unserem FAQ übersichtlich für Sie beantwortet.

Zum FAQ

Kontakt
Land
Schließen Zurück

Deutschland

International (EN)

Land

Vom Risikomanagement zur Steigerung der Resilienz

Ganzheitlicher Schutz nach Maschinenverordnung, NIS 2 und Cyber Resilience Act

Die moderne Welt der Fertigungs- und Prozessautomation ist smart, digitalisiert und vernetzt. Das bringt erhebliche Effizienzvorteile mit sich – lässt aber auch das Risiko für Cyberangriffe ständig anwachsen. Die Gesetzgeber reagieren auf diese Anforderungen und setzen mit Regularien wie der Maschinenverordnung, der NIS 2-Richtlinie und dem Cyber Resilience Act einen neuen regulatorischen Rahmen. Welche Folgen ergeben sich daraus für den Maschinen- und Anlagenbau auf der einen sowie für Betreiber von industriellen Anlagen auf der anderen Seite? Dieses Thema wird beim 26. VDI-Kongress AUTOMATION intensiv behandelt. Im Vorfeld beantworten Thorsten Knöner und Simon Mersch, beide Phoenix Contact Deutschland GmbH, einige zentrale Fragen.

Herr Mersch, Herr Knöner, Themen wie Maschinenverordnung, NIS 2 und Cyber Resilience Act (CRA) stehen aktuell stark im Fokus und werfen noch viele offene Fragen auf. Warum sollten sich Unternehmen bereits jetzt intensiv mit diesen Themen befassen?

Simon Mersch: Die Bedrohungslage hinsichtlich Cyberangriffen betrifft längst nicht mehr nur die IT-Welt, sondern zunehmend auch die Operational Technology (OT). Gerade im Maschinen- und Anlagenbau sehen wir eine Zunahme gezielter Angriffe, weshalb sich auch der Gesetzgeber gezwungen sah, neue Regularien zu erlassen. Die Maschinenverordnung, die NIS 2-Richtlinie sowie der Cyber Resilience Act legen klare Anforderungen fest, die zeitnah erfüllt werden müssen. Ein spätes Reagieren wäre hier fatal, denn der Umsetzungsaufwand darf keinesfalls unterschätzt werden.

Thorsten Knöner: Besonders bei der Maschinenverordnung, die ab Januar 2027 verbindlich in Kraft tritt, darf man die Vorlaufzeit für notwendige Anpassungen nicht unterschätzen. Das Jahr 2027 scheint vielen Entscheidern noch weit weg zu sein – tatsächlich aber läuft die Übergangsfrist bereits. Unternehmen, die jetzt noch abwarten, laufen Gefahr, den letztmöglichen Zeitpunkt zur Umsetzung zu verpassen. Wir sehen außerdem, dass eine Reihe von Automationsprodukten älterer Generationen die zukünftigen Anforderungen nicht mehr erfüllen können. Hier ist daher mit einer deutlichen Marktbereinigung zu rechnen.

Welche konkreten neuen Anforderungen bringen die Regelungen mit sich?

Simon Mersch: Die Maschinenverordnung adressiert unter anderem explizit den Schutz vor Korrumpierung, also die Sicherung vor beabsichtigten oder unbeabsichtigten Zugriffen auf Maschinen. Neu ist hier vor allem, dass Security-Aspekte nun integraler Bestandteil des Sicherheitskonzepts werden. Hierbei wird maßgeblich auf die Normenreihe IEC 62443 referenziert. Die NIS 2-Richtlinie erweitert das IT-Sicherheitsgesetz und betrifft deutlich mehr Unternehmen als zuvor – laut Bundesamt für Sicherheit in der Informationstechnik (BSI) voraussichtlich etwa 30.000 Adressaten. Hinzu kommt ein erweitertes Lieferkettenmanagement.

Thorsten Knöner: Beim Cyber Resilience Act, oder auch CRA, geht es darum, dass Hersteller von Produkten mit digitalen Elementen über den gesamten Produktlebenszyklus hinweg für die Sicherheit verantwortlich sind. Das betrifft nicht den Maschinenbetreiber unmittelbar, hat aber gleichwohl massive Auswirkungen auf die Produktstrategie. Unternehmen werden Produkte vom Markt nehmen müssen, deren Architektur die neuen Anforderungen nicht mehr wirtschaftlich erfüllen kann. Das wiederum erfordert Entscheidungen auf Seiten der Betreiber.

Was raten Sie Unternehmen zur Vorbereitung?

Thorsten Knöner: Zentral ist zunächst eine umfassende Bestandsaufnahme. Unternehmen benötigen einen lückenlosen Überblick dazu, welche Komponenten sie einsetzen, welche Schnittstellen bestehen und wie diese aktuell abgesichert sind. Ein bewährter Ansatz ist hierbei das Konzept der Netzwerksegmentierung, auch Defense in Depth genannt, um Risiken durch eine Einteilung in Sicherheitsebenen zu minimieren.

Simon Mersch: Außerdem raten wir zu einem kontinuierlichen und umfassenden Security-Management. Wir haben beispielsweise ein 360-Grad-Security-Konzept entwickelt, das von der Schutzbedarfsanalyse über Bedrohungs- und Risikoanalysen bis hin zur Implementierung und zyklischen Überprüfung reicht. Dabei sollte klar sein: Security ist kein einmaliges Projekt, sondern ein stetiger Prozess.

Welche organisatorischen Herausforderungen sehen Sie insbesondere auf die Betreiber zukommen?

Thorsten Knöner: Eine wesentliche Herausforderung liegt darin, Updates und Security-Patches effizient zu managen. Betreiber haben sicherzustellen, dass Sicherheits-Updates automatisiert erkannt und auf die Anlagen ausgerollt werden können. Die Open Platform Communications Unified Architecture (OPC UA) als industrieller Kommunikationsstandard bietet hierfür bereits standardisierte Lösungen. Dies erfordert jedoch ein Umdenken auf Seiten der Unternehmen und Anpassungen in der Infrastruktur.

Simon Mersch: Auch der menschliche Faktor darf nicht unterschätzt werden. Organisatorische Maßnahmen wie regelmäßige Personalschulungen und klare Prozesse sind essenziell. Schließlich nutzt die beste Technik wenig, wenn Mitarbeiter nicht entsprechend für potenzielle Risiken sensibilisiert sind.

Welchen Einfluss haben diese Entwicklungen auf das Thema Edge Computing und Steuerungstechnik?

Thorsten Knöner: Die aktuellen Anforderungen treiben Trends wie Edge Computing deutlich voran. Unternehmen verfolgen vielfach die Intention, die Schnittstellen zur Außenwelt durch Edge-Gateways zu reduzieren und damit die Netzwerksicherheit zu erhöhen. Zugleich beobachten wir eine Gegenbewegung zur früheren Dezentralisierung: Aufgrund der steigenden Sicherheitsanforderungen werden Steuerungsfunktionen zunehmend zentralisiert und virtualisiert.

Sie sprachen von einer Marktbereinigung. Wie wird diese ausfallen?

Thorsten Knöner: Wir erwarten, dass zahlreiche Produkte vom Markt genommen werden, weil sich die Implementierung der erforderlichen Security-Maßnahmen schlichtweg nicht mehr rechnet. Vor allem kleinere Hersteller werden betroffen sein. Die Transition erfordert Investitionen und neue, Security-konforme Produktplattformen.

Wie lautet Ihre abschließende Empfehlung an Unternehmen?

Simon Mersch: Unternehmen müssen unverzüglich mit der Vorbereitung beginnen. Das gilt insbesondere für jene, die unter die Anforderungen von NIS 2 fallen. Diese Richtlinie ist am 16. Januar 2023 in Kraft getreten und hätte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Dies wird voraussichtlich noch im laufenden Jahr 2025 erfolgen. Eine Überprüfung der Implementierung ist von der Kommission bis zum 17. Oktober 2027 vorgesehen. Dieser Termin scheint noch weit entfernt zu sein, aber die nötigen Anpassungen benötigen ihre Zeit – das darf nicht unterschätzt werden.

Thorsten Knöner: Abwarten ist keine Option mehr. Jetzt ist der Zeitpunkt, um eine umfassende Strategie für Safety und Security aufzusetzen, um die Resilienz und Anlagensicherheit nachhaltig zu stärken. Nur so lässt sich ein ganzheitlicher Schutz langfristig sicherstellen.

Über die Interviewpartner:

Simon Mersch und Thorsten Knöner arbeiten bei der Phoenix Contact Deutschland GmbH. Thorsten Knöner wird bei der AUTOMATION 2025 einen Vortrag über das Zusammenwirken von Safety und Security nach Maschinenverordnung, NIS 2 und CRA halten.