MENU

Cyber-Security-Risikoanalyse wird Pflicht / IEC 62443 unterstützt

07.03.2022 | Cyber- & Informationssicherheit: Mit der wachsenden Vernetzung von Maschinen steigt die Gefahr des Missbrauchs durch unberechtigte Personen. Während eine Cyber-Security-Risikoanalyse im Bereich der Sensorik und Aktorik bisher freiwillig war, wird sie mit der Novellierung der Maschinenrichtlinie bald verpflichtend.

Vernetzung im Bereich der Sensorik und Aktorik ist in der Industrie seit Jahren unverzichtbar. Jegliche Vernetzung und damit verbundene Öffnung bringt aber auch die Gefahr von Missbrauch durch unberechtigte Personen mit sich. Um dem vorzubeugen, enthält die Norm IEC 62443 ein etabliertes Vorgehensmodell für eine industrielle Cybersicherheitsstrategie. Während eine Cyber-Security-Risikoanalyse bisher freiwillig war, wird sie mit der Novellierung der Maschinenrichtlinie bald verpflichtend.

Bei der Novellierung wurden die grundlegenden Sicherheits- und Gesundheitsschutz-Anforderungen überarbeitet. Enthalten ist hier nun auch der Punkt "Security-Gefährdung" mit einer verbindlichen, nachgewiesenen Cyber-Security-Risikoanalyse. Ohne diese können demnächst keine Produkte mehr in den Verkehr gebracht werden. Der Entwurf wurde im April 2021 veröffentlicht; mit der offiziellen Veröffentlichung der neuen Maschinen-Verordnung wird im Quartal 2/2022 gerechnet. Hersteller haben dann – je nach definierter Übergangsfrist – etwa 24 Monate Zeit, um den neuen Anforderungen zu entsprechen. "Wenn man rückwärts rechnet und eine Produktentwicklung durchschnittlich 12 bis 18 Monate dauert, sollten Hersteller möglichst noch im diesem Jahr beginnen, um passend startklar zu sein", rät Matthias Springer, der den Bereich Functional Safety and Security bei TÜV NORD CERT leitet.

Betroffene Zielgruppe

Betroffen sind vor allem Betreiber, Hersteller und Integratoren der Automatisierungstechnik, alle Industriezweige, die Sensorik oder Steuerungseinheiten anbieten und Logikeinrichtungen. Helfen kann Ihnen die IEC 62443: Die internationale Normenreihe ist auf IT-Sicherheit für industrielle Kommunikationsnetze ausgerichtet. Mit ihren eindeutig definierten Vorgehensmodellen und Best-Practice-Empfehlungen unterstützt die Norm dabei, das komplexe Thema handhabbar anzugehen. "Wir bieten unseren Kunden im ersten Schritt eine IST-Analyse (so genannte GAP-Analyse) an", erklärt Matthias Springer. "So können relevante Risiken identifiziert und eine Risikobeurteilung erstellen werden. Anschließend wird ein Maßnahmenkatalog erstellt, um das System konform zu gestalten und abschließend zertifizieren zu können."

Akkreditiert nach nationalen und internationalen Anforderungen

TÜV NORD CERT ist sowohl durch die Deutsche Akkreditierungs-Stelle (DAkkS) als auch durch die international anerkannte Standardisierungsorganisation IECEE akkreditiert und kann so alle relevanten Prüfungen und Zertifizierungen nach IEC 62443 durchführen. Die Zertifizierung umfasst neben dem obligatorischen Dokumenten-Review auch praktische Tests und Audits vor Ort, um zu validieren, dass das System so reagiert und resistent ist, wie es sein soll.
 

Unser Know-how für Ihren Erfolg

TÜV NORD CERT ist ein international anerkannter und zuverlässiger Partner für Prüf- und Zertifizierungsdienstleistungen. Unsere Sachverständigen und Auditoren verfügen über fundiertes Wissen und haben grundsätzlich eine Festanstellung bei TÜV NORD. Hierdurch sind Unabhängigkeit und Neutralität sowie Kontinuität bei der Betreuung unserer Kunden gewährleistet.

Matthias Springer

TÜV NORD CERT GmbH
Funktionale Sicherheit & Security

+49 201 825 3299

mspringer@tuev-nord.de