Cyber-Security-Risikoanalyse wird Pflicht / IEC 62443 unterstützt

Vernetzung im Bereich der Sensorik und Aktorik ist in der Industrie seit Jahren unverzichtbar. Jegliche Vernetzung und damit verbundene Öffnung bringt aber auch die Gefahr von Missbrauch durch unberechtigte Personen mit sich. Um dem vorzubeugen, enthält die Norm IEC 62443 ein etabliertes Vorgehensmodell für eine industrielle Cybersicherheitsstrategie. Während eine Cyber-Security-Risikoanalyse bisher freiwillig war, wird sie mit der Novellierung der Maschinenrichtlinie bald verpflichtend.

Bei der Novellierung wurden die grundlegenden Sicherheits- und Gesundheitsschutz-Anforderungen überarbeitet. Enthalten ist hier nun auch der Punkt "Security-Gefährdung" mit einer verbindlichen, nachgewiesenen Cyber-Security-Risikoanalyse. Ohne diese können demnächst keine Produkte mehr in den Verkehr gebracht werden. Der Entwurf wurde im April 2021 veröffentlicht; die offizielle Veröffentlichung der neuen Maschinen-Verordnung ist noch im Jahr 2022 denkbar. Hersteller haben dann – je nach definierter Übergangsfrist – etwa 24 Monate Zeit, um den neuen Anforderungen zu entsprechen. "Wenn man rückwärts rechnet und eine Produktentwicklung durchschnittlich 12 bis 18 Monate dauert, sollten Hersteller möglichst noch im diesem Jahr beginnen, um passend startklar zu sein", rät Matthias Springer, der den Bereich Functional Safety and Security bei TÜV NORD CERT leitet.

Betroffene Zielgruppe

Betroffen sind vor allem Betreiber, Hersteller und Integratoren der Automatisierungstechnik, alle Industriezweige, die Sensorik oder Steuerungseinheiten anbieten und Logikeinrichtungen. Helfen kann Ihnen die IEC 62443: Die internationale Normenreihe ist auf IT-Sicherheit für industrielle Kommunikationsnetze ausgerichtet. Mit ihren eindeutig definierten Vorgehensmodellen und Best-Practice-Empfehlungen unterstützt die Norm dabei, das komplexe Thema handhabbar anzugehen. "Wir bieten unseren Kunden im ersten Schritt eine IST-Analyse (so genannte GAP-Analyse) an", erklärt Matthias Springer. "So können relevante Risiken identifiziert und eine Risikobeurteilung erstellen werden. Anschließend wird ein Maßnahmenkatalog erstellt, um das System konform zu gestalten und abschließend zertifizieren zu können."

Akkreditiert nach nationalen und internationalen Anforderungen

TÜV NORD CERT ist sowohl durch die Deutsche Akkreditierungs-Stelle (DAkkS) als auch durch die international anerkannte Standardisierungsorganisation IECEE akkreditiert und kann so alle relevanten Prüfungen und Zertifizierungen nach IEC 62443 durchführen. Die Zertifizierung umfasst neben dem obligatorischen Dokumenten-Review auch praktische Tests und Audits vor Ort, um zu validieren, dass das System so reagiert und resistent ist, wie es sein soll.