Mit der neuen AK-Praxis „Patchmanagement“ stellt der NAMUR-Arbeitskreis 4.18 „Automation Security“ praxisnahe Empfehlungen für den sicheren Umgang mit Software-Updates in Automatisierungssystemen vor. Die kostenfreie Veröffentlichung (Stand: 19.02.2026) richtet sich insbesondere an IT- und OT-Verantwortliche in der Prozessindustrie und greift ein zentrales Spannungsfeld auf: Wie lassen sich Sicherheitslücken zeitnah schließen, ohne die Verfügbarkeit kritischer Produktionsanlagen zu gefährden? Außerdem veröffentlichte die Interessengemeinschaft die überarbeitete NE 21 zur elektromagnetischen Verträglichkeit.

Fokus: Cybersecurity bei maximaler Anlagenverfügbarkeit

Patchmanagement wird als wesentlicher Bestandteil einer ganzheitlichen Cybersecurity-Strategie verstanden. Ziel ist es, das sogenannte „Zeitfenster der Gefährdung“ – also den Zeitraum zwischen Bekanntwerden einer Schwachstelle und Installation des Patches – so kurz wie möglich zu halten. Gleichzeitig betont die AK-Praxis die besonderen Anforderungen industrieller Systeme:

• Hohe Verfügbarkeitsanforderungen
• Lange Lebenszyklen von Anlagen
• Abhängigkeiten zwischen Hard-, Firmware- und Softwareständen
• Herstellerfreigaben und regulatorische Anforderungen (z. B. GxP-Umgebungen)

Insbesondere in Prozessleitsystemen und in Level-0/1-Systemen gemäß Purdue-Modell (z. B. SPS, Schutzsysteme, Turbomaschinensteuerungen) kann ein unkoordiniertes Patchen erhebliche Auswirkungen auf Sicherheit und Produktion haben.

Strukturierter Patchmanagement-Prozess

Die AK-Praxis beschreibt einen klar strukturierten Prozess, der folgende Schritte umfasst:

1. Inventarisierung aller Systeme (inkl. Softwarestände und SBOM)
2. Identifikation relevanter Schwachstellen (z. B. über CSAF, CVE, Herstellerinformationen)
3. Risikobasierte Klassifizierung (u. a. unter Berücksichtigung von CVSS und Exposition)
4. Test und Verträglichkeitsprüfung (idealerweise in einer Offline-Testumgebung)
5. Freigabe- und Rollenkonzept
6. Dokumentierte Installation inklusive Backup-Strategie
7. Kontrolle, Korrektur und Integration ins Change-Management

Für unterschiedliche Kritikalitätsstufen werden klare Zeitvorgaben formuliert – von „unverzüglich“ bei kritischen Zero-Day-Schwachstellen bis hin zur Installation im geplanten Anlagenstillstand.

Automatisierung als Zukunftsperspektive

Ein zentrales Zukunftsthema ist die stärkere Automatisierung des Patchmanagements. Mit dem Common Security Advisory Framework (CSAF) sieht die AK-Praxis ein großes Potenzial, insbesondere bei Identifikation und Bewertung von Schwachstellen. Die AK-Praxis „Patchmanagement“ liefert eine praxisorientierte Handlungsanleitung für Betreiber industrieller Automatisierungssysteme. Sie verbindet Cybersecurity-Anforderungen mit den realen Betriebsbedingungen der Prozessindustrie – und schafft damit eine fundierte Grundlage für ein strukturiertes, risikobasiertes Patchmanagement in OT-Umgebungen.

Die vollständige AK-Praxis ist zum kostenfreien Download verfügbar:

NAMUR überarbeitet NE 21 zur elektromagnetischen Verträglichkeit

Die NE 021 „Elektromagnetische Verträglichkeit von Betriebsmitteln der Prozess- und Labortechnik“ legt praxisnahe Anforderungen zur Ermittlung der elektromagnetischen Störfestigkeit von Betriebsmitteln der Automatisierungs- und Laborleittechnik in der Prozessindustrie fest. Sie definiert einheitliche EMV-Anforderungen für Geräte in definierten EMV-Umgebungen, basierend auf der in NE 098 beschriebenen Umfeldklassifizierung – unabhängig von bestehenden Produktnormen.

Die NAMUR-Empfehlung wurde vollständig überarbeitet und an die technischen Rahmenbedingungen der NAMUR-Mitgliedsunternehmen angepasst. Als Grundlage dienen nationale und internationale Normen, weitere NAMUR-Dokumente sowie umfangreiche betriebliche Praxiserfahrungen. Ergänzend beschreibt die NE 21 spezielle, auf die Prozessindustrie zugeschnittene Prüfungen ohne direkten Normbezug.
Themen zum EMV-Verhalten spezieller Messverfahren und Schnittstellen sind nicht mehr Bestandteil der NE 21 und werden separat im AK-Praxis-Dokument des AK 3.12 behandelt.

Weitere Informationen gibt es unter www.namur.net.