Auswirkungen neuer Sic­her­heits­vorschrif­ten auf die Digitalisierung in der Industrie

Generell ist es für den Erfolg eines jeden neuen industriellen Digitalisierungsprojekts unerlässlich, die regulatorischen Anforderungen im Auge zu behalten und sie frühzeitig umzusetzen. Die Nichteinhaltung nationaler, regionaler und/oder internationaler Vorschriften kann schnell zu einem kostspieligen Unterfangen werden. Wenn die Compliance erst im Nachgang bedacht wird, kann das die Entwicklung des Projekts gänzlich zurückwerfen.

„Ein typischer Fehler in den traditionell weniger regulierten Branchen für Geräte und digitale Dienstleistungen ist die fehlende Beachtung der unterschiedlichen regulatorischen Anforderungen in der Europäischen Union, in den Vereinigten Staaten, in China und in anderen Regionen und Ländern. Wenn ein Unternehmen sein Produkt in alle Märkte einführen möchte, ist es am besten, alle Anforderungen bereits von Anfang an zu berücksichtigen“, erklärt Antti Tolvanen, Vertriebsleiter für Software- und Embedded-Lösungen und Experte für Cybersicherheitsvorschriften bei Etteplan.
 

Es ist absolut verständlich, warum gerade jetzt Vorschriften zur Cybersicherheit für Betriebstechnologie wie industrielle Produktionssysteme und -lösungen eingeführt werden. Betriebstechnologie (Operational Technology, OT) ist für die kritische Infrastruktur von Gesellschaften von entscheidender Bedeutung und wird zudem für industrielle Prozesse in Fabriken benötigt. Traditionell ist die Betriebstechnologie für die funktionale Sicherheit gut gerüstet. Im Vergleich zur Informationstechnologie (IT) wurde der Cybersicherheit von OT-Lösungen bislang jedoch eher wenig Aufmerksamkeit geschenkt.

„Cybersicherheitsvorfälle, die die Betriebstechnologie betreffen, können massive finanzielle Verluste durch Produktionsausfälle nach sich ziehen. Außerdem können sie ein großes Sicherheitsrisiko für Menschen, Anlagen und die Umwelt darstellen“, so Tolvanen.

In der Europäischen Union wird fast jedes Unternehmen direkt oder indirekt von der neuen NIS2-Richtlinie betroffen sein, da sie für ein sehr breites Spektrum von Betrieben gilt. Sie wird voraussichtlich noch vor Ende 2024 Teil der nationalen Gesetzgebung. Hersteller von Betriebstechnologie, z. B. von Industrieanlagen, müssen diese Richtlinie einhalten.

„Die NIS2-Richtlinie stuft nahezu alle Hersteller elektrischer Produkte als sogenannte wichtige Einrichtungen ein, die ein angemessenes Informationssicherheits-Managementsystem einführen müssen. Angemessene sichere Entwicklungsverfahren, z. B. für Geräte und digitale Dienste, werden auch bei Direktlieferanten zur Pflicht.“
 

Laut Tolvanen ist die internationale Automobilindustrie ein gutes Beispiel dafür, wie Unternehmen ihre Cybersicherheit aufgrund von NIS2 verbessern werden:

„OEM-Hersteller in der Automobilindustrie und nahezu alle Tier-1-Zulieferer mussten 2021 ein Cybersicherheits-Managementsystem einführen, da dies seit Juli 2022 Voraussetzung für die Einführung neuer Fahrzeugtypen ist. Einige Anforderungen an Cybersicherheits-Managementsysteme werden sogar auf Tier-2- und Tier-3-Zulieferer ausgedehnt“, weiß Tolvanen.

Die Cybersicherheit fast aller drahtlos vernetzten Geräte, die in der EU verkauft werden, wird durch die Funkanlagenrichtlinie Artikel 3(3) (d), (e) und (f) geregelt. Damit wird der Verkauf nicht konformer Geräte in der EU ab dem 1. August 2024 illegal.

Je nach Verwendungszweck des Geräts bzw. der digitalen Lösung müssen Industrieanlagen in einigen Jahren auch den neuen Cybersicherheits-Anforderungen der Allgemeinen Produktsicherheitsverordnung, des Gesetzes über künstliche Intelligenz und der Maschinenrichtlinie entsprechen, die derzeit erstellt bzw. aktualisiert werden. Wie auch bei der Funkanlagenrichtlinie werden diese neuen Vorschriften dazu führen, dass bestehende Produkte und digitale Dienste in der EU nicht mehr verkauft werden dürfen, wenn sie den neuen Cybersicherheits-Anforderungen nicht entsprechen.

Investitionen in die Einhaltung gesetzlicher Vorschriften, die Produktsicherheit und die Cybersicherheit erfordern erhebliches Know-how – und in vielen Fällen auch tiefe Taschen, wenn ein Unternehmen beispielsweise beabsichtigt, all das intern im Alleingang zu erledigen. In den regulären F&E-Abteilungen fehlen jedoch oft Experten für Cybersicherheit.

„Heutzutage lohnt es sich nicht mehr, ein industrielles IoT- oder SaaS-Entwicklungsprojekt zu beginnen, ohne von Anfang an einen sicheren Produkt- oder Softwareentwicklungs-Lebenszyklusprozess umzusetzen, da das Risiko von Compliance-Verstößen hoch und die Produktlebensdauer am Markt kurz ist. Ich gehe auch davon aus, dass die Nichteinhaltung der geltenden Cybersicherheits-Vorschriften es wahrscheinlich schwieriger macht, Entschädigungen von Versicherungen nach Cybersicherheitsvorfällen zu erhalten“, so Antti Tolvanen abschließend.