In einem Gespräch mit Dirk Leitsch diskutiert Mirko Ross, CEO von asvin, die Auswirkungen des Cyber Resilience Act (CRA) auf den Maschinenbau. Die zentralen Erkenntnisse gehen weit über klassische Compliance-Fragen hinaus. Im Fokus steht, wie Maschinen künftig über ihren gesamten Lebenszyklus hinweg entwickelt, betrieben und abgesichert werden müssen.

Der Cyber Resilience Act ist bereits in Kraft. Entscheidend ist nicht der Startzeitpunkt der Regulierung, sondern ihre gestaffelte Umsetzung über mehrere Fristen.

Für Hersteller bedeutet das: Die Anforderungen greifen nicht erst „irgendwann 2027“, sondern werden bereits schrittweise wirksam.

Bislang war Produktsicherheit im Maschinenbau primär funktionale Sicherheit.

Der CRA erweitert diese Perspektive grundlegend:

• Cybersicherheit wird ein integraler Bestandteil der Produktkonformität.
• Eine Maschine muss künftig nicht nur funktional sicher sein, sondern auch gegen digitale Angriffe geschützt.
  Gerade in vernetzten OT-Produkt
• Gerade in vernetzten OT-Produktionsumgebungen verschwimmen diese Bereiche zunehmend. Ein kompromittiertes Steuerungssystem ist nicht nur ein IT/OT-Problem, sondern kann direkte physische Auswirkungen haben – bis hin zur Gefährdung von Mitarbeitenden.

Der CRA hat einen breiten Anwendungsbereich. Entscheidend ist, ob ein Produkt digitale Komponenten enthält.

Dazu zählen insbesondere industrielle Steuerungssysteme und moderne Maschinenarchitekturen, in denen Software, Sensorik und Vernetzung fest integriert sind. Ziel ist es, Cybersicherheit als festen Bestandteil von Produktdesign und Produktlebenszyklus zu etablieren.

Hersteller müssen künftig Cyberrisiken systematisch bewerten. Im Kern stehen drei Fragen:

• Welche Software-Schwachstellen existieren im Produkt?
• Welche Auswirkungen hätte deren Ausnutzung?
• Wie wahrscheinlich ist ein Angriffsszenario?

Dieser Ansatz erweitert klassische Sicherheitsanalysen um digitale Bedrohungsszenarien.

Ein zentraler Punkt des CRA ist das kontinuierliche Management von Schwachstellen.

Im Maschinenbau galt bisher oft: „Never change a running system“.
 Software-Updates wurden entsprechend selten eingespielt.

Mit dem CRA ändert sich das grundlegend: Hersteller müssen kontinuierlich neue Schwachstellen identifizieren, bewerten und geeignete Maßnahmen ergreifen –  insbesondere bei aktiv ausnutzbaren Sicherheitslücken.

Ein struktureller Wandel betrifft den Umgang mit Software-Updates.
Das Prinzip „Never change a running system“ ist künftig nicht mehr haltbar.
Produkte müssen so entwickelt werden, dass Sicherheitsupdates möglich sind, ohne den Betrieb zu gefährden.

In der Praxis bedeutet dies die Implementierung von Software-Update-Prozessen auf Basis sicherer Architekturen. Dazu gehören sichere Kommunikationsprotokolle, eine gehärtete Verwaltung von Softwarepaketen sowie zusätzliche Funktionen für die Softwaresicherheit und Schnittstellen in der Produktentwicklung.

Moderne Maschinen bestehen aus zahlreichen digitalen Komponenten – von Sensoren über Steuerungen bis hin zu Firewalls und Routern.

Diese Komplexität verschiebt sich die Verantwortung:

Der Maschinenhersteller ist für die Cybersicherheit des gesamten Produkts verantwortlich – unabhängig davon, von welchen Zulieferern einzelne Komponenten stammen. Supply Chain Security wird damit zu einem zentralen Bestandteil der Sicherheitsstrategie.

Technisch sind viele Konzepte bekannt. Die eigentliche Herausforderung liegt in der Umsetzung.

Maschinenbauer müssen neue Fähigkeiten aufbauen:

Infolgedessen müssen diese Änderungen aufgrund der durch den  Cyber Resilience Act vorgegebenen Zeitrahmen schneller umgesetzt werden, als viele Unternehmen darauf vorbereitet sind.

Gleichzeitig wachsen die traditionellen Bereiche OT, IT und Ingenieurwesen im Maschinen- und Anlagenbau zunehmend zusammen – häufig schneller, als das es die vorhandenen Strukturen, personellen Ressourcen, Prozesse und Werkzeuge erlauben.

Der Cyber Resilience Act Gesetz verändert grundlegend, wie Maschinen entwickelt, vernetzt und betrieben werden.

Cybersicherheit wird zum festen Bestandteil des gesamten Produktlebenszyklus – von der Entwicklung bis in den Betrieb. Das bedeutet zunächst mehr Aufwand für Hersteller. Gleichzeitig entsteht ein strategischer Vorteil:

Sicherheit wird zum Differenzierungsmerkmal im Wettbewerb.
Da der CRA Teil des CE-Rahmens ist, dürfen künftig nur noch konforme Produkte auf dem europäischen Markt in Verkehr gebracht werden.