EU Cyber Resilience Act wird großen Einfluss auf viele Akteure der Automatisierungsbranche haben

DKE: Herr Wollenweber, stellen Sie sich unseren Leserinnen und Lesern bitte kurz vor: Wer sind Sie und was machen Sie? Und wie stark begleitet Sie die Normenreihe IEC 62443 in Ihrem beruflichen Alltag?

Wollenweber: Seit 2019 bin ich bei Siemens im Bereich Digital Industries für die Themen Cybersecurity, Standardisierung, Regulierung und Konformität zuständig. Nach dem Studium der Nachrichtentechnik habe ich im Bereich Embedded Security promoviert. Vor meinem Wechsel zu Siemens habe ich unter anderem bei einem international tätigen Prüf- und Zertifizierungsunternehmen ein IEC 62443 basiertes Zertifizierungsprogramm aufgebaut und umgesetzt. Im Rahmen der Cybersecurity-Standardisierung bin ich neben dem DKE/UK 931.1 auch in den relevanten Gremien bei IEC, CEN/CENELEC und ISA99 aktiv.

Insgesamt begleitet mich die Normenreihe IEC 62443 seit mehr als zehn Jahren in unterschiedlichsten Rollen. Innerhalb dieses Zeitraums hat sich die Normenreihe zu einem ganzheitlichen Standard für Cybersecurity weiterentwickelt. Diese Weiterentwicklung spiegelt sich unter anderem auch in der Marktrelevanz wider, welche in den vergangenen Jahren, speziell im internationalen Umfeld, signifikant gestiegen ist.

Aus Sicht von Siemens Digital Industries hat die IEC 62443 eine große Bedeutung, da in unserem Unternehmen die drei grundlegenden Rollen Produkthersteller, Systemintegrator und Betreiber zur Anwendung kommen.

VDE DKE Tagung Industrial Security 2023

Vom 12. bis 13. Juni 2023 fand die erste VDE DKE Tagung Industrial Security statt. Mehr als 100 interessierte Teilnehmende kamen zur Veranstaltung in die Manufaktur in Mannheim. Diskutiert wurde unter anderem der aktuelle Stand zur internationalen Normenreihe IEC 62443 sowie der anstehende EU Cyber Resilience Act und seine Auswirkungen auf betroffene Unternehmen.

EU Cyber Resilience Act – gut im Ansatz, aber mit Nachbesserungsbedarf

DKE: In den letzten Jahren ist die EU-Kommission im Security-Bereich, beispielsweise mit dem „Cyber Resilience Act“, sehr aktiv geworden. Wie bewerten Sie diese Entwicklung?

Wollenweber: Grundsätzlich ist der Ansatz des EU Cyber Resilience Acts (CRA) zur Regulierung von Produkten zu begrüßen. Ein primäres Ziel sollte es dabei sein, eine wirkliche horizontale Regulierung zu erreichen, um Überschneidungen und im schlimmsten Fall Widersprüche mit bereits existierenden Regulierungen zu vermeiden. Weiterhin sollten die Anforderungen an die betroffenen Wirtschaftsakteure eindeutig und realistisch definiert werden, um eine konforme Umsetzung überhaupt zu ermöglichen.

Der derzeit diskutierte Entwurf hat noch an wesentlichen Stellen Nachbesserungsbedarf. Neben dem extrem breiten und unscharf definierten Geltungsbereich umfasst dies auch die Handhabung von Ersatzteilen bzw. den Austausch bereits inverkehrgebrachter Produkte. Dies ist von besonderer Relevanz, da der EU CRA in der derzeit diskutierten Form Auswirkungen auf den Weiterbetrieb von Maschinen, Anlagen und kritischen Infrastrukturen haben wird.

Regulierung betrifft die gesamte Lieferkette und bietet gleichermaßen Chancen und Risiken

DKE: Was bedeutet diese Entwicklung für die Branche?

Wollenweber: Für die Branche sehe ich die Situation zweigeteilt. Zum einen wird es für viele Wirtschaftsakteure eine Herausforderung darstellen, die grundlegenden Anforderungen des EU CRAs in der derzeit vorgesehenen Zeitspanne konform umzusetzen. Denn es ist dabei zu berücksichtigen, dass diese Regulierung die gesamte Lieferkette betreffen wird und sich alleine daraus zeitliche Verzögerungen und Abhängigkeiten ergeben werden. Gleichzeitig ist es auch wiederum ein Chance, neue Ansätze und Verfahren im Markt zu etablieren.

Unternehmen mit bereits etablierten Prozessen werden im Vorteil sein

DKE: Wie gut sind Industrieunternehmen auf diese Veränderungen vorbereitet? Wo sehen Sie noch dringenden Handlungsbedarf in der Normung?

Wollenweber: Nach meiner Einschätzung sind die zukünftig vom EU Cyber Resilience Act betroffenen Unternehmen sehr unterschiedlich vorbereitet. Dies betrifft insbesondere den Aspekt, dass der EU CRA nicht ausschließlich Anforderungen an die Produkteigenschaften definiert. Zusätzlich umfasst er Anforderungen an den Produktlebenszyklus, speziell an das Schwachstellenmanagement, inklusive Berichtspflichten und die Bereitstellung von relevanten Security Updates. Hier werden solche Unternehmen im Vorteil sein, die bereits auf etablierte Prozesse im Unternehmen zurückgreifen können.

Da der Geltungsbereich des EU CRA zukünftig auch reine Softwareprodukte umfassen wird, werden auch eine Vielzahl von Unternehmen neu von einer CE-Kennzeichnungspflicht der relevanten Softwareprodukte betroffen sein. Dies bringt bereits grundsätzlich neue Herausforderung für diese Unternehmen mit sich. 

Mit Blick auf das zum EU CRA zugehörige Normungsmandat sollte es das Ziel sein, bereits existierende und etablierte Normen, beispielsweise die Normenteile 4-2, 3-3 und 4-1 der EN IEC 62443, als Grundlage für die zu erstellenden harmonisierten Normen zu verwenden. Diese sind etabliert, haben sich in der Praxis bewährt und decken die grundlegenden Anforderungen des EU CRAs ab.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Vortrag: Zusammenspiel zwischen EN IEC 62443 und Cyber Resilience Act

DKE: Vom 12. bis 13. Juni 2023 findet in Mannheim erstmals die VDE DKE Tagung Industrial Security statt. Sie selbst sind unter anderem mit einem Vortrag dabei. Worum wird es bei Ihnen gehen?

Wollenweber: In meinem Vortrag möchte ich die aktuellen Cybersecurity-relevanten Normungsaktivitäten im Rahmen der Funkanlagenrichtlinie (RED) vorstellen und einen Ausblick auf den Cyber Resilience Act geben. Der Fokus wird dabei auf den aktuellen Herausforderungen und offenen Fragestellungen liegen. Gleichzeitig werde ich die mögliche Anwendung der EN IEC 62443 zur Erfüllung der grundlegenden Anforderungen des EU CRAs darstellen.

Erfahrungsaustausch beeinflusst die Weiterentwicklung von Normen und Standards positiv

DKE: Abschließend die Frage: Was sind Ihre Erwartungen an die beiden Tage dieser Veranstaltung? Und was möchten Sie möglichen Teilnehmerinnen und Teilnehmern vorab noch mit auf den Weg geben?

Wollenweber: Hauptsächlich freue ich mich darauf, sich in direkten persönlichen Gesprächen zu den spannenden Themen Cybersecurity, Standardisierung und speziell der IEC 62443 auszutauschen. Besonders bin ich am Erfahrungsaustausch hinsichtlich der Anwendung der Normenreihe interessiert. Die gesammelten Erfahrungen können und sollten am Ende in die mögliche Verbesserung der Standards einfließen. Davon profitieren am Ende alle, denn die Herausforderungen ändern sich und die Standards müssen an neue Gegebenheiten angepasst werden, damit sie auch zukünftig anwendbar sind.

Von den Teilnehmerinnen und Teilnehmern wünsche ich mir, dass sie innerhalb der Tagung und speziell den Workshops ihre Erfahrungen teilen und in einen offenen Dialog treten.

DKE: Vielen Dank für das Gespräch.

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im