Mit dem Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes am Nikolaustag des vergangenen Jahres und dem bereits ab 2027 geltenden Cyber Resilience Act (CRA) hat die produzierende Industrie zwei hohe Regulierungshürden vor der Brust. Wie Unternehmen sich auf die Umsetzung vorbereiten können und was es zu beachten gilt, zeigen zwei Vortragsblöcke auf dem OT-Security-Kongress SECURITY UNTER KONTROLLE am 17. und 18. März in Duisburg.
NIS-2- und CRA stellen neue Anforderungen an Betreiber und Hersteller
Der neue Rechtsrahmen des NIS-2-Umsetzungsgesetzes verschärft die Sicherheitsanforderungen sowohl für die Bundesverwaltung als auch für zahlreiche Unternehmen in Deutschland. Ab kommenden Jahr tritt darüber hinaus der CRA in Kraft. Überall zerbrechen sich Menschen jedoch schon jetzt die Köpfe darüber, wie die Gesetzestexte wohl gemeint sind. Bei SECURITY UNTER KONTROLLE berichten fünf Menschen aus dem Nähkästchen, die ganz nah an der Entstehung der beiden Regularien sind, auf die momentan alle schauen: Die deutsche NIS-2-Umsetzung und die harmonisierten Standards für den CRA.
1. Wie fährt der CRA bei der Bahn mit? (Max Schubert, INCYDE GmbH)
Zunächst wird Max Schubert berichten, warum der Bahnsektor eine wunderbare Fallstudie für den Cyber Resilience Act ist: Welche Ideen gibt es, um laufende Projekte und Verträge über den 11.12.2027 hinaus trotzdem zu realisieren? Wie werden Unterstützungszeiträume definiert, wenn die Züge 30+ Jahre fahren sollen? Liefern Siemens und Talgo ab 12.12.2027 plötzlich einen anderen ICE? Max Schubert gibt Einblicke, wie deutsche und europäische Bahnakteure den CRA interpretieren und wie sie CRA-Compliance mit bewährten IEC-62443-Prozessen verbinden, welche Herausforderungen noch zu beseitigen und welche heiligen Kühe zu schlachten sind.
2. Chancen oder Schmerzen? Ein CRA-Erfahrungsbericht (Thorsten Daniel, Rolls-Royce Power Systems)
Rolls-Royce Power Systems (RRPS) hat über hundert Jahre Erfahrung als Motorenbauer und baut heute Systeme für Marine, Bahn, Energieerzeugung und kritische Infrastrukturen weltweit – viele individuell auf Kunden abgestimmt, manche in Serienfertigung. Thorsten Daniel ist verantwortlich für Produkt-Cybersicherheit und damit auch den Cyber Resilience Act und teilt ehrliche Erfahrungen und Schmerzen aus der CRA-Umsetzung, die bei Rolls Royce bereits Anfang 2025 begonnen hat.
3. Cybersecurity-Kundenkommunikation im Rahmen des CRA und darüber hinaus (Wolfgang Stadler, SICK AG)
Es ist vielleicht die Auswirkung des Cyber Resilience Act, die Kunde am ehesten sehen und anfassen können: Ab 2027 müssen jedem Produkt mit digitalen Elementen „Informationen und Anleitungen für den Nutzer“ beiliegen. Wolfgang Stadler hat sich bei Sensorhersteller SICK mit diesem Dokument befasst. Er bringt eine Beispiel-Dokumentation für einen SICK-Sensor mit und erklärt an diesem Beispiel, wie die Kundendokumentation bei SICK entsteht, wie sie konsistent über verschiedene Produktfamilien hinweg erstellt werden kann, welche Dokumentationselemente sich aus CRA-Anforderungen ableiten und wo SICK über die CRA-Anforderungen hinausgeht, um gute Cybersecurity gut an Kunden zu kommunizieren.
4. Harmonisierte Standards für den CRA mitgestalten (Luise Werner, secuvera GmbH)
Der Cyber Resilience Act definiert absichtlich recht vage Anforderungen. Die genaue Ausgestaltung passiert in harmonisierten Normen. Neben horizontalen Normen, die für alle Produkte gelten, werden produktspezifische Normen erarbeitet. Darin bekommen Hersteller eine klare Orientierung über die zu erfüllenden Anforderungen – zugeschnitten auf ihr Produkt. Nicht ohne Grund sind das die harmonisierten Standards, auf die Hersteller so sehnsüchtig warten. Luise Werner hat mit einer TeleTrusT-Arbeitsgruppe vom TeleTrusT Pionierarbeit für einen solchen harmonisierten Standard geleistet. Sie gibt Einblicke aus erster Hand in die Erstellung eines Vorschlags für eine mögliche vertikale CRA-Norm.
5. NIS-2 ist da, was jetzt? (Manuel HonkHase Atug, HiSolutions AG)
Es hat lang genug gedauert; die Frist der EU ist schon im Oktober 2024 verstrichen: Aber die deutsche Umsetzung der NIS-2 ist im Dezember 2026 mit vielen Widrigkeiten in Kraft getreten. Manuel HonkHase Atug beschäftigt sich seit Jahren mit dem Thema, hat alle Referentenentwürfe gelesen und kommentiert, und Kritikpunkte bei Verbändeanhörungen und im Innenausschuss des Bundestages, beim BSI und im Innenministerium vorgebracht. Auf der Bühne erklärt er, wie die deutsche Umsetzung jetzt aussieht, was daran gut geworden ist und was immer noch nicht richtig gut, welche zähen Diskussionen im Hintergrund zum jetzigen Stand geführt haben und natürlich was das nun für die sehr große Gruppe der NIS-2-Betroffenen bedeutet. Es werden einige unaufgeregte Tipps & Tricks zur Umsetzung mitgebracht.
OT-Security in seiner ganzen Breite
Doch nicht nur zu neuen gesetzlichen Regularien bietet SECURITY UNTER KONTROLLE auf der Bühne praxisnahen Mehrwert. Auch der Rest des zweitägigen Programms hat es in sich und zeigt, welche Security-Herausforderungen Betreiber und Hersteller aktuell gleichermaßen beschäftigen. Das vollständige Programm inklusiver spannender Keynote steht bereits fest:
Zum ProgrammWeitere Informationen gibt es unter www.atpinfo.de/security-unter-kontrolle.
