Normen, Regularien, Technologien

Cybersecurity schützt IT- und OT-Systeme vor Bedrohungen, basierend auf ISO 27001 und IEC 62443. IT-Security (ISO 27001) sichert digitale Informationen durch ein ISMS, das Risiken bewertet und Schutzmaßnahmen optimiert. OT-Security (IEC 62443) schützt industrielle Anlagen und kritische Infrastrukturen vor Angriffen, Ausfällen und Schäden.

Der Cyber Resilience Act (CRA) bzw. die „Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“ ist ein umfangreiches Regelwerk, das Mindestanforderungen für die Cybersicherheit von Produkten mit digitalen Elementen festlegt. Als Verordnung ist er für die Mitgliedstaaten bindend und auf dem gesamten europäischen Markt anzuwenden.

Die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (kurz: AI ACT, KI-Gesetz) ist weltweit der erste Versuch, KI-Systeme umfassend (sektor- und anwendungsübergreifend) in Hinblick auf Entwicklung, Inverkehrbringen und Betrieb zu regulieren. Das im August 2024 in Kraft getretene Gesetz stellt somit einen Rechtsrahmen mit umfangreichen Verpflichtungen in Bezug auf die Entwicklung, Integration und Anwendung von KI-Technologie dar.

Die IEC 61508 ist eine international anerkannte Norm für funktionale Sicherheit. Sie beschreibt die Anforderungen an die Entwicklung von sicherheitskritischen Systemen und gibt Leitlinien für die Bewertung und das Management der Sicherheit von solchen Systemen. Die Norm ist technologieunabhängig und gilt für alle Arten von sicherheitskritischen Systemen, unabhängig von deren Anwendungsbereich oder Industriezweig. Die IEC 61508 wird häufig als Referenznorm für andere Sicherheitsstandards verwendet, einschließlich branchenspezifischer Normen wie die ISO 26262 für die Automobilindustrie.

Die internationale Normenreihe IEC 60601 beinhaltet Anforderungen an die Sicherheit und Ergonomie medizinischer elektrischer Geräte. Sie ist identisch mit der europäischen Norm EN 60601 (in Deutschland: DIN EN 60601) und beschäftigt sich mit Aspekten der elektrischen, mechanischen, elektromechanischen, thermischen und funktionalen Sicherheit von ME-Geräten.

Die Norm IEC 81001-5-1 „Gesundheitssoftware und Gesundheits-IT-Systeme Sicherheit, Effektivität und Security – Teil 5-1: Security – Aktivitäten im Produktlebenszyklus“. Sie stellt den Standard für die cybersichere Entwicklung von Gesundheitssoftware und ihre Absicherung gegen unbefugte Manipulation während des gesamten Lebenszyklus dar. Wir erläutern, wen die Norm betrifft, was genau sie regelt und in welcher Beziehung sie zu anderen Regularien steht.

Um das Risiko potenziell gefährlichen Fehlfunktionen von elektrischen und elektronischen Kraftfahrzeugkomponenten zu minimieren, wurde 2011 die Normenreihe ISO 26262 veröffentlicht. ISO 26262 basiert auf IEC 61508, der Grundnorm für funktionale Sicherheit (kurz FuSi, engl. FuSa) elektrischer und elektronischer Systeme. Unter besonderer Berücksichtigung der Anforderungen im Automobilbereich liefert sie ein etabliertes Vorgehensmodell für die Entwicklung und Produktion von Serienfahrzeugen.

Die UNECE R 155 und R 156 sind Regelungen zur Cybersicherheit und Softwareaktualisierung von Fahrzeugen, die von der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) erlassen wurden. Sie richten sich an Fahrzeughersteller und verpflichten diese zur Einführung von Cybersicherheits- (CSMS) und Softwareaktualisierungsmanagementsystemen (SUMS), um die Sicherheit und Integrität vernetzter Fahrzeuge zu gewährleisten. Diese Regelungen, die ab Juli 2024 für alle neu produzierten Fahrzeuge gelten, betreffen eine breite Palette von Fahrzeugtypen, einschließlich Personen- und Güterbeförderungsfahrzeugen sowie landwirtschaftlichen Maschinen, und sehen umfassende Anforderungen an Risikomanagement, Sicherheitsupdates und Dokumentation vor.

Die Normenreihe IEC 62443 richtet sich an Hersteller, Betreiber und Integratoren und behandelt die IT-Sicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS), um die Verfügbarkeit, Integrität und Vertraulichkeit dieser Systeme zu gewährleisten. Sie berücksichtigt den gesamten Lebenszyklus von Produkten und Systemen, einschließlich der Segmentierung von Netzwerken in Sicherheitszonen und der Zuweisung von Sicherheitsniveaus. Jede Rolle (Hersteller, Integrator, Betreiber) hat spezifische Sicherheitsanforderungen, um den Schutz vor Bedrohungen kontinuierlich zu verbessern.