Ab Ende 2027 dürfen digitale Komponenten, darunter auch Komponenten mit Embedded Software, nur noch dann auf den Markt gebracht werden, wenn sie die spezifischen Vorgaben des CRA erfüllen. Mit dem Cyber Resilience Act (CRA) hat die Europäische Union einen wegweisenden Schritt zur Verbesserung der Cybersicherheit im digitalen Binnenmarkt beschlossen. Der Cyber Resilience Act (CRA) zur Verbesserung der Cybersicherheit im digitalen Binnenmarkt verpflichtet Hersteller, Sicherheitsmaßnahmen zu implementieren und Updates bereitzustellen, um potenzielle Risiken für Nutzer zu minimieren.
Cyber-Security: Erhöhte EU-Sicherheitsstandards für digitale Geräte
Unternehmen der Fabrik- und Prozessautomatisierungsbranche stehen vor der Herausforderung, ihre Produkte an die neuen gesetzlichen Anforderungen des CRA anzupassen. Die Einhaltung dieser Vorschriften ist zwingend erforderlich, um weiterhin eine CE-Kennzeichnung auf ihren Produkten anbringen und diese in der EU vertreiben zu können. Sicherheitsmaßnahmen sind nicht nur auf das Feldgerät beschränkt, sondern müssen insbesondere auch die Schnittstellen, wie zum Beispiel Feldbusse, betrachten.
Industrielle Feldbusse und der Cyber Resilience Act
So gibt es beispielsweise bereits erste Maßnahmen, die darauf abzielen, den Zugriff auf ein System oder eine Infrastruktur vor unbefugter Manipulation zu schützen. Die PROFIBUS Nutzerorganisation PI stellt zum Beispiel mit der Sicherheitsklasse 1 bei PROFINET sicher, dass Geräte korrekt von der Steuerung angesprochen werden. Soll die Sicherheit bei PROFINET weiter erhöht werden, sind zusätzliche Maßnahmen erforderlich.
Sämtliche Maßnahmen und Informationen zur Erhöhung der Cyber-Sicherheit von industriellen Feldbussen finden Sie in unserem Fachartikel.
CRA-Anforderungen: MESCO-Experten unterstützen Sie bei der Umsetzung
Unsere Hardware- und Software-Experten begleiten Sie technologie- und herstellerneutral bei der Umsetzung der Anforderungen des Cyber Resilience Act – von der ersten Analyse, über Software- und Hardware-Anpassungen bis hin zur Unterstützung der Konformitäts-Erklärung für Ihre Produkte.
Die Leistungen von MESCO bei der Beratung und Umsetzung der CRA-Anforderungen umfassen:
- Auswahl des geeigneten Konformitätsbewertungsverfahrens: Im Regelfall erfolgt die Bewertung im Rahmen einer Selbsterklärung für nicht kritische Produkte.
- Durchführung von Risikobewertungen und Minimierung der Angriffsflächen zur Reduzierung potenzieller Sicherheitsrisiken.
- Integration von Schutzmechanismen einschließlich Maßnahmen für Datenintegrität, Vertraulichkeit und weitere relevante Sicherheitsaspekte.
- Beratung und Entwicklung von (cyber-)sicherer Feldbus-Kommunikation: PROFINET, EtherCAT, IO-Link als auch von funktional-sicheren Protokollen wie PROFIsafe, FSoE, IO-Link Safety.
- Erstellung einer Software Bill of Materials (SBOM) gemäß den technischen Richtlinien, um eine transparente Nachverfolgbarkeit von Software-Komponenten zu gewährleisten
- Unterstützung bei der Identifikation und Behandlung von Schwachstellen, basierend auf bewährten Sicherheitsstandards.
- Ausführliche Dokumentation nach den Vorgaben des CRA, um die Einhaltung der regulatorischen Anforderungen sicherzustellen und die Konformitätserklärung zu unterstützen.
Eine Übersicht über alle Leistungen von MESCO in dem Bereich Cyber Security finden Sie auf der Webseite https://mesco-engineering.com/leistungen/.
