Neue Regularien, erweiterte Standards – was kommt 2024 auf Hersteller zu?


In Hinblick auf die Sicherheit von Produkten und Prozessen müssen sich Unternehmen und Organisationen im laufenden Jahr auf neue gesetzliche und normative Anforderungen einstellen. Allen voran stehen mit NIS-2 und dem Cyber Resilience Act europaweit strenge gesetzliche Regelungen in Hinblick auf Cybersicherheit in den Startlöchern.

Um neue Produkte auf den Markt zu bringen, müssen Hersteller sich in den nächsten Jahren auf deutlich höhere Cybersecurity-Standards einstellen. Das betrifft beispielsweise das Risiko- und Schwachstellenmanagement, Meldepflichten oder produktlebenslange Security-Updates. Bei Zuwiderhandlung sehen die Gesetze hohe Strafzahlungen vor und im äußersten Fall kann es dazu kommen, dass ein Produkt vom Markt genommen werden muss.

Normativ gibt es erweiterte Anforderungen insbesondere bei der Entwicklung sicherheitsbezogener Teile von Maschinensteuerungen. Wir werfen einen kurzen Blick in Regularien und Normen und zeigen, was sich für Hersteller ändert.

Inhalt

Cyber Resiliance Act (CRA)

Der Cyber Resilience Act hat im vergangenen Jahr die Trilog-Verhandlungen der EU durchlaufen. Mit ihm sollen in allen Mitgliedsstaaten einheitliche Standards für die Cybersicherheit eingeführt werden. Das Gesetz ist sektorübergreifend und umfasst alle Bereiche der Cybersecurity und alle Produkte, die eine Datenverbindung zu einem anderen Produkt oder einem Netzwerk aufbauen können. Für Medizinprodukte, In-Vitro-Diagnostika sowie für Kraftfahrzeuge gelten die Bestimmungen des CRA nicht, da man davon ausgeht, dass mit der Umsetzung der branchenspezifischen Regularien bereits ein hinreichendes Cybersicherheitsniveau erreicht wird.

Was ändert sich mit dem Cyber Resilience Act für Hersteller?

Nach einer Übergangsphase von zwei Jahren nach der Verabschiedung (Stand Februar 2024 ist das Gesetz noch nicht endgültig verabschiedet) müssen Hersteller für jedes Produkt „mit digitalen Elementen“ ein Cybersecurity Risk Assessment durchführen und das Ergebnis bei Planung und Konzeption, Entwicklung und Herstellung, Lieferung und Wartung des Produkts berücksichtigen. Dabei werden die Produkte in verschiedene Risikokategorien eingeteilt. Als unkritisch betrachtet der CRA beispielsweise Consumer-Produkte wie intelligente Lautsprecher oder Fotobearbeitungssoftware. Als kritisch (Klasse I) gelten etwa IIoT-Produkte, die in der Industrie eingesetzt werden. Produkte der kritischen Infrastruktur gelten grundsätzlich als hochkritisch (Klasse II).

Bei Nichterfüllung müssen Hersteller nachbessern, ggf. können die Behörden auch den Rückruf des Produkts verlangen oder Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten jährlichen Unternehmensumsatzes verhängen.

Produkte, die die Security-Anforderungen nach IEC 62443-4-2 erfüllen und die nach IEC 62443-4-1 entwickelt wurden, dürften bereits weitestgehend den Anforderungen des EU-Gesetzentwurfs entsprechen. Die IEC 62443 wird daher auch als wahrscheinlichster Kandidat für eine Harmonisierung gehandelt. Allerdings sollten Hersteller beachten, dass der CRA eine Absicherung der Software-Lieferkette und die Dokumentation von Schwachstellen in Komponenten des Produkts verbindlich fordert (während die IEC 62443-4-1 eine Bestandsaufnahme der Fremdkomponenten lediglich empfiehlt).

Das gilt auch für Open-Source-Software (OSS): Um ihrer Pflicht zur Absicherung der Software-Lieferkette Genüge zu tun, müssen Hersteller nach Auffinden einer Sicherheitslücke bei einer im Produkt verwendeten OSS diese an die Software-Hersteller, Inverkehrbringer oder Serviceanbieter melden. Sollten letztere die Software mit Gewinnerzielungsabsicht (kommerziell) anbieten, sind sie umfassend haftbar und müssen die Sicherheitslücke beseitigen.

Unklarheiten des ersten Gesetzesentwurfs hinsichtlich der Frage, wann eine OSS als „kommerziell“ gilt, hatten hier zu großen Unsicherheiten bei Unternehmen und Verbänden geführt. In Anhang II geht der endgültige Gesetzestext nun ausführlicher auf das Thema kommerzielle Open-Source-Software ein und schafft u. a. mit der Einführung der Begrifflichkeit der Gewinnerzielungsabsicht mehr Rechtssicherheit. Allerdings lassen auch einige Formulierungen des aktuellen Gesetzestexts Raum für Interpretationen. Das Thema CRA und OSS wird uns daher wohl noch eine Weile beschäftigen.

NIS-2-Richtlinien

Die Richtlinie (EU) 2022/2555 zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie, kurz: NIS-2) ist seit Anfang 2023 in Kraft. Sie löst die NIS-1-Richtlinie ab, die in Deutschland mit dem IT-Sicherheitsgesetz 2.0 umgesetzt wurde. Bis Oktober 2024 müssen alle EU-Mitgliedsstaaten NIS-2 in nationales Recht umsetzen. In Deutschland arbeitet man zurzeit (Stand Februar 2024) an einer solchen Umsetzung.

Gegenüber der Vorgängerin enthält NIS-2 vor allem eine deutliche Ausweitung der betroffenen Unternehmen. So unterliegen ab Herbst auch Unternehmen aus den „wesentlichen“ Sektoren Abwasser, Öffentliche Verwaltung und Raumfahrt sowie dem Energie-Teilsektor Wasserstoff den Regularien. Auch in den Sektoren Gesundheit und Digitale Infrastruktur kommen einige Einrichtungen hinzu. Neu sind zudem zahlreiche „wichtige“ Sektoren wie Industrie/Produktion, Digitale Dienste oder Forschungsinstitute. Die Kategorisierungen „wesentlich“ und „wichtig“ entsprechen dem Grad der Kritikalität und der Abhängigkeit anderer Sektoren. Mit ihnen sind vor allem unterschiedliche staatliche Aufsichtspflichten und verschiedene mögliche Sanktionen verbunden.

Ebenfalls neu gegenüber NIS-1 ist die Forderung, die Sicherheit der gesamten Lieferkette einzubeziehen. In Deutschland ist dies allerdings bereits im IT-Sicherheitsgesetz 2.0 festgeschrieben.

Was ändert sich mit NIS-2 für Hersteller?

Zahlreiche Unternehmen, die bisher nicht der NIS-1 (in Deutschland dem IT-Sicherheitsgesetz 2.0) unterlagen, werden ab Herbst von NIS-2 betroffen sein. Daher sollten alle bisher unregulierten Unternehmen prüfen, ob sie in einem der hinzugekommenen Sektoren tätig sind und nun von den Regularien betroffen sind. Ist dies der Fall, müssen sie eine Reihe von Cybersecurity-Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und Dienstleistungen umsetzen. Auch unterliegen sie bestimmten Meldepflichten und Anforderungen an das Risikomanagement.

Ob ein Unternehmen aus den regulierten Sektoren tatsächlich unter die Verordnung fällt, richtet sich nach der Unternehmensgröße: In der Regel unterliegen Unternehmen ab 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro der Regulierung (aber es gibt Ausnahmen).
Für Unternehmen, die bereits NIS-1 unterliegen, verschärfen sich vor allem die Kontrollen und Nachweispflichten, außerdem haben sie mit deutlich höheren möglichen Sanktionen zu rechnen – wesentlichen Einrichtungen drohen nun Strafen bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Vorjahresumsatzes.

Allerdings ist zurzeit noch unklar, wie die Vorgaben der EU-Richtlinie in Deutschland konkret umgesetzt werden und ob das dann neue IT-Sicherheitsgesetz 3.0 vielleicht in einigen Punkten, wie schon sein Vorgänger, über die EU-Vorgaben hinausgeht.

Die Radio Equipment Directive (RED)

Mit der Radio Equipment Directive (RED) werden europaweit einheitliche Standards für Geräte mit Funktechnologie in Hinblick auf Gesundheit und Sicherheit, elektromagnetische Verträglichkeit (EMV) und effiziente Nutzung des Funkspektrums festgeschrieben. Gemäß RED müssen drahtlose IoT-/IIoT-Geräte sowie Produkte wie z. B. Smartphones oder Smart Watches mit einem Konformitätsnachweis in Form eines roten CE-Zeichens versehen sein, um auf dem europäischen Markt angeboten werden zu können.

Im Januar 2022 wurde die RED durch die Europäische Kommission aktualisiert und Artikel 3 Absatz 3 um drei Buchstaben ergänzt. Diese Ergänzungen zielen darauf ab, das Niveau der Cybersicherheit, des Schutzes personenbezogener Daten und der Privatsphäre zu erhöhen. Nachdem die ursprüngliche Übergangsfrist um ein Jahr verlängert wurde, müssen drahtlose Geräte die neuen Cybersicherheitsanforderungen nunmehr ab dem 1. August 2025 erfüllen.

Was ändert sich durch die Ergänzung der RED für Hersteller?

Gemäß dem neuen Artikel 3, Absatz 3d, müssen Hersteller ihre drahtlosen Geräte mit bestimmten Funktionalitäten ausstatten, um Schäden an den Kommunikationsnetzen zu vermeiden. Zudem müssen die Geräte so konzipiert sein, dass sie wichtige Kommunikationsinfrastrukturen (wie Websites oder Internetdienste) nicht stören oder beeinträchtigen.

Zum Schutz personenbezogener Daten sind Hersteller nun verpflichtet, robuste Maßnahmen zu ergreifen, die den unbefugten Zugriff auf personenbezogene Daten oder die Übermittlung solcher Daten ohne Zustimmung verhindern (Artikel 3 Absatz 3e).

Um das Betrugsrisiko bei digitalen Transaktionen und elektronischen Zahlungen zu verringern, sind Hersteller nach Artikel 3 Absatz 3f verpflichtet, Funktionen zur besseren Authentifizierung zu integrieren.

Maschinenverordnung

Die Maschinenverordnung (EU) 2023/1230 (MVO) ersetzt die bisher gültige Maschinenrichtlinie 2006/42/EG. Sie wurde am 29. Juni 2023 im EU-Amtsblatt veröffentlicht. Mit der MVO werden erstmals europaweit einheitliche, verpflichtende Anforderungen für die Sicherheit vernetzter Geräte, Werkzeuge, Maschinen und Komponenten formuliert. Neben dem Gesundheitsschutz (Safety der Anwender) sind nun auch die digitale Sicherheit und der Schutz vor Cyberangriffen Gegenstand des Regulariums. Entsprechend fällt nun auch Software unter die Kategorie der Sicherheitsbauteile.

Gegenüber ihrer Vorgängerin schafft die MVO zudem mehr Klarheit in der Frage, wann eine Änderung an einer Maschine nach dem Inverkehrbringen so wesentlich ist, dass ein neues Konformitätsbewertungsverfahren durchlaufen werden muss. Als wesentliche Veränderung gilt demnach jede vom Hersteller nicht vorgesehene bzw. geplante Veränderung, die eine neue Gefährdung schafft oder ein bestehendes Risiko so weit erhöht, dass neue Schutzmaßnahmen erforderlich werden.

Was ändert sich mit der Maschinenverordnung für Hersteller?

Hersteller werden mit der MVO verpflichtet, Maschinen so zu konstruieren und zu bauen, dass sie weder über eine Verbindung mit einem externen Datenträger noch mit einer „entfernten Einrichtung“ (über das Internet) so manipuliert werden können, dass es zu Gefährdungen von Sicherheit und Gesundheit kommen kann. Konkret bedeutet das, dass konformitätsrelevante Teile der Maschinensoftware identifiziert und sowohl gegen versehentliche als auch absichtliche Veränderung geschützt werden muss.

Für Hochrisiko-Maschinen (laut Anhang I, Teil A beispielsweise Sägemaschinen, Pressen und Spritzgussmaschinen sowie „Software, die Sicherheitsfunktionen wahrnimmt, einschließlich KI-Systeme“) wird laut MVO eine Konformitätsbewertung durch benannte („notifizierte“) Stellen verpflichtend. Diese beinhaltet dann auch eine Baumusterprüfung. Für den Konformitätsnachweis verweist die Maschinenverordnung auf die Einhaltung der harmonisierten Normen und der von der Kommission festgelegten technischen Anforderungen.

In Hinblick auf Cybersecurity gilt es, den kompletten Security-Lebenszyklus zu beachten, vom Security-Konzept über das Security-Design bis hin zu „physischen oder digitalen Modifikationen“ nach Inverkehrbringen. In letzterem Fall fordert die MVO eine erneute Konformitätsbewertung.

ISO 13849-1 "Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen"

ISO 13849 ist eine zentrale Norm für funktionale Sicherheit im Maschinenbau und bietet einen Leitfaden für die Gestaltung und Integration sicherheitsbezogener Teile von Steuerungen. Im April 2023 wurde eine überarbeitete, neu gegliederte Version veröffentlicht, die u. a. detailliertere Vorgaben zur Gestaltung der Safety Requirements enthält. Vor allem aber erhält Software in der neuen Fassung der Norm einen höheren Stellenwert. Eine wichtige Neuerung betrifft den Schutz der Daten in der Maschinensoftware. Dabei werden verschiedene Softwaretypen betrachtet, wie beispielsweise sicherheitsbezogene Anwendungssoftware (SRASW), sicherheitsbezogene Embedded Software (SRESW) oder Software zur Parametrierung.

Die Neufassung präzisiert zudem eine Reihe von Leitlinien, insbesondere für die Ermittlung des erforderlichen Performance Levels (PLr), und gibt damit bessere Hilfestellung bei der Umsetzung.

Was ändert sich durch die Überarbeitung der ISO 13849 für Hersteller?

Für Maschinenhersteller bietet die Norm vor allem klarere Grundlagen für Neuentwicklungen. So finden Hersteller im Anhang ausführlichere, konkretere Hilfestellungen für das Safety-Design eines Systems, z. B. in Hinblick auf elektromagnetische Störfestigkeit.

Auch für die Entwicklung sicherheitsgerichteter Software erhalten Hersteller in der neuen Ausgabe der Norm nun detailliertere Vorgaben. So werden die Verifikationsschritte und die Ergebnisse der Phasen im V-Modell des Software-Sicherheitslebenszyklus genauer spezifiziert. Auf dem absteigenden Ast des Modells sind nun auch die Dokumentationen dargestellt, die mit jeder Spezifikationsphase immer feinteiliger werden. Für Programmiersprachen mit eingeschränktem Sprachumfang, die validierte Funktionsblöcke nutzen und als Anwendungsprogramm auf geprüfter Hardware laufen, gibt es nun eine vereinfachte, zweistufige Variante des V-Modells.

Fazit

Für einige Neuerungen gelten Übergangsfristen über das Jahr 2024 hinaus. Trotzdem ist es ratsam, sich rechtzeitig mit den neuen Anforderungen vertraut zu machen und Maßnahmen zu ihrer Umsetzung in die Wege zu leiten.

Mit unseren Consulting-Teams für Safety und Security unterstützen wir Hersteller beim Aufbau von entsprechendem Know-how und bei der Durchführung sicherheitsgerichteter Projekte, die allen aktuellen regulatorischen und normativen Anforderungen entsprechen.


Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich