Aktueller Stand: Die Anlage hat eine CE-Kennzeichnung. Die darin verbauten Sicherheitskomponenten erfüllen die Anforderungen des ermittelten Performance Levels (PLr) nach EN ISO 13849 oder des Safety Integrated Levels (SIL) nach EN IEC 62061. Die Anlage gilt als funktional sicher. Das gute Gefühl, das damit einhergeht, gerät jedoch ins Schwanken, denn Maschinen erhalten immer mehr digitale Elemente, die neue Anforderungen an die Sicherheit stellen: Könnte jemand von außen der Software schaden? Könnte jemand den Zugang zur Maschine erhalten, der nicht autorisiert ist, und Änderungen an der Programmierung vornehmen? Kann es zu Produktionsausfällen und Maschinenstillstand kommen? 

Die Normenorganisationen ISO und IEC haben reagiert und wollen diese und ähnliche Sorgen aus dem Weg räumen: Sie rüsten nach und definieren derzeit mit aktualisierten Normen neue Anforderungen für Produkte, Maschinen und Anlagen, die die Industrial Security in den Fokus rücken. Auch die neue Maschinenverordnung, die die bisherige Maschinenrichtlinie ablöst, schließt daran an. Und nicht nur das: Mit dem ersten Entwurf des ‚Cyber Resilience Act‘ ist eine EU-Verordnung in Vorbereitung, die eigens Anforderungen an die Cybersecurity für alle Komponenten- sowie Maschinenhersteller und Betreiber von Maschinen und Anlagen stellt. 

EN IEC 62061 – Security als Sicherheitsaspekt

Die EN IEC 62061 ist neben der EN ISO 13849 die wohl wichtigste Norm der funktionalen Sicherheit. Die Norm legt die Anforderungen fest und enthält Empfehlungen für die Gestaltung, die Integration und die Validierung von sicherheitsrelevanten Steuerungssystemen für Maschinen. 2022 in aktualisierter Form veröffentlicht, legt sie auch Security als Sicherheitsaspekt fest: Die Norm gibt vor, dass „absichtliche Angriffe auf die Hardware, Anwendungsprogramme und zugehörige Software als auch unbeabsichtigte Ereignisse, die auf menschliches Versagen zurückzuführen sind“ im Sicherheitslebenszyklus und während des gesamten Lebenszyklus der Maschine oder Anlage zu berücksichtigen sind. Diese dürfen die Integrität der Sicherheit nicht nachteilig beeinflussen. Sicherheitsfunktionen sind demnach neu zu bewerten. 

EN ISO 13849-1 – Sicherheitsbezogene Software

Normen geben es vor: Security (blau) rückt neben Safety (gelb) mit den aktuellen Änderungen in der Normenlandschaft in den Fokus.

© Pilz

Die überarbeitete Version der ISO 13849-1 wurde im April 2023 veröffentlicht. Ein wichtiger Aspekt betrifft die Anforderungen bezüglich Software und Management der funktionalen Sicherheit – also wie Daten innerhalb der Software von Maschinen geschützt sind. Es sind verschiedene Softwaretypen abgedeckt, beispielsweise sicherheitsbezogene Embedded Software (SRESW), sicherheitsbezogene Anwendungssoftware (SRASW) oder Software zur Parametrierung. Die Norm hält Verbesserungsvorschläge bereit, wie diese mit den Anforderungen für die Programmiersprachen mit eingeschränktem (LVL „Limited Variability Language“) oder uneingeschränktem Sprachumfang (FVL „Full Variability Language“) verknüpft werden können.

Die neue Maschinenverordnung

Im Rahmen der funktionalen Sicherheit von Maschinen kam bislang der Maschinenrichtlinie (Richtlinie 2006/42/EG) eine besondere Bedeutung zu. Denn sie regelte bis dato die Standardisierung grundlegender und verpflichtender europäischer Sicherheitsanforderungen an Maschinen. Jetzt löst die Maschinenverordnung die Maschinenrichtline ab. Wie jede EU-Verordnung tritt die Maschinenverordnung 20 Tage nach Veröffentlichung im Amtsblatt und ohne Übertragung in nationales Recht in Kraft. Maschinenhersteller und -betreiber haben dann 42 Monate Zeit, die neuen Anforderungen an Maschinen und Anlagen zu erfüllen – bis Anfang 2027 (Stichtagsregelung), das heißt, nach Ablauf dieser Zeit ist die neue Verordnung tagesgenau anzuwenden. 

Im Vergleich zur Maschinenrichtlinie hat sich der Anwendungsbereich nicht wesentlich geändert: Die neue Verordnung erfasst Maschinen und „zugehörige Produkte“ (related products), klärt, wie eine unvollständige Maschine definiert ist, die mit einer Einbauerklärung in Verkehr gebracht werden muss, erweitert die Kategorie der Sicherheitsbauteile jedoch um Software. Innerhalb der grundlegenden Sicherheits- und Gesundheitsschutzanforderungen im Anhang III stellt die Maschinenverordnung neu Anforderungen an die Cybersecurity unter 1.1.9 „Protection against corruption“. Danach dürfen Bedrohungen durch Cybersecurity die Sicherheitsfunktionen der Maschine nicht beeinträchtigen. So wird die Industrial Security verpflichtend für die Sicherheit von Maschinen und ist nicht länger nur Auslegungssache des Inverkehrbringers der Maschine. Konkret heißt das, dass Hersteller zukünftig konformitätsrelevante Teile ihrer Software benennen und sowohl gegen versehentliche als auch gegen absichtliche Veränderung schützen müssen. Ferner muss jede Maschine zukünftig Nachweise über das rechtmäßige oder unrechtmäßige Eingreifen in die Software dokumentieren. Hersteller werden ihre bestehenden Sicherheitskonzepte für Safety und Security hinsichtlich dessen überarbeiten müssen.

Cyber Resilience Act – eine eigene EU-Verordnung

Teilnehmer des zweitägigen Lehrgangs „CESA – Certified Expert for Security in Automation“ von Pilz erlangen das normative Fachwissen, um technische und organisatorische Security-Maßnahmen im industriellen Umfeld umzusetzen.

© PeopleImages/E+/Getty Images, Pilz

Im September 2022 hat die Europäische Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Der erste Entwurf des Cyber Resilience Act richtet sich sowohl an Hersteller von Produkten und Maschinen mit digitalen Elementen – sei es Soft- oder Hardware – als auch an Betreiber. Zu Software zählt beispielsweise auch die Firmware. Die Verordnung bezieht sich hierbei sowohl auf Consumer-Produkte als auch auf Produkte für industrielle Anwendungen, wie zum Beispiel Maschinensteuerungen. Laut Cyber Resilience Act dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten, was auf Grundlage einer Risikobewertung zu verifizieren ist. Des Weiteren werden Hersteller verpflichtet, Kunden über Sicherheitslücken so schnell wie möglich zu informieren und diese zu schließen. Die Verordnung betrifft also den gesamten Lebenszyklus eines Produktes. Das bedeutet, dass Hersteller nun auch über den üblichen Gewährleistungszeitraum hinaus Software-Updates anbieten müssen, um auch zukünftige Bedrohungen abzuwehren. Mit einer Veröffentlichung der EU-Verordnung ist in zwei bis drei Jahren zu rechnen. 

Was ist NIS 2?

Der Autor: Klaus Dürr ist Vice President Standards Group bei Pilz in Ostfildern.

© Pilz

NIS (Netz- und Informationssicherheit) ist eine Richtlinie der Europäischen Union zur Stärkung der Cybersicherheit. Diese Richtlinie gibt es bereits seit 2016; sie galt bislang für Anbieter im Bereich kritische Infrastrukturen, darunter Energie, Verkehr, Banken und Finanzen, Gesundheit, Trinkwasserversorgung und -verteilung sowie digitale Infrastruktur. Anbieter in diesen Sektoren mussten mit Blick auf die Security „angemessene Sicherheitsvorkehrungen“ treffen und gravierende Cybersicherheitsvorfälle melden.
Ihr Nachfolger ist die Richtlinie NIS 2, die Anfang 2023 in Kraft trat und bis Herbst 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden muss. Die Richtlinie gilt jetzt unter anderem auch innerhalb der Sektoren Maschinenbau sowie Automotive und hier für Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Mio. Euro. Europaweit betrifft dies nach Angaben des VDMA rund 9.000 Unternehmen. Diese Unternehmen müssen künftig nachweisen, dass sie technische, operative und organisatorische Maßnahmen zum Schutz vor Security-Vorfällen ergreifen. Dazu gehört zunächst die Risikoanalyse von bestehenden Systemen auch in Produktionsumgebungen, also der OT (Operational Technology). Dann folgen die Ausarbeitung und Umsetzung spezifischer Prozesse und Maßnahmen wie Passwortschutz oder Verschlüsselung sowie Weiterbildung und Schulung von Mitarbeitern. Cybersicherheitsvorfälle müssen innerhalb von 24 Stunden den zuständigen Behörden gemeldet werden. Neu ist auch die ausdrückliche Einbeziehung von Lieferketten. Zusammengefasst betrifft NIS 2 nun mehr Unternehmen, erweitert die Pflichten und sieht strengere Sanktionen vor. Unternehmen, die keine Maßnahmen ergreifen, drohen empfindliche Strafen.

Die große Frage: „Wie?“

Zusammenfassend ist zu sagen: Ob und in welcher Tiefe sich ein Unternehmen mit Security auseinandersetzen will, ist nicht länger Ermessenssache des Unternehmens, sondern eine gesetzliche Vorgabe. Die Frage bleibt, wie all diese kommenden normativen Anforderungen an Security von Seiten internationaler Industrie gut und effizient umgesetzt werden können. Denn die Herausforderungen, die neuen Auflagen in bestehenden sowie in neuen Entwicklungs- und Herstellungsprozessen zu berücksichtigen, sind groß. Unternehmen tun gut daran, sich baldmöglichst mit NIS 2 zu beschäftigen und eine ganzheitliche Security-Betrachtung für das Unternehmen durchzuführen. Dazu gehört beispielsweise der Aufbau eines Managementsystems für Informationssicherheit (ISMS) mit Zertifizierung nach der Informationssicherheits-Norm ISO 27001.  

Im Maschinenbau ist Security in Form von Industrial Security nicht allein Aufgabe der IT, sondern integraler Bestandteil der Konzeption und Konstruktion. Security im Nachhinein zu implementieren ist aufwändig und bedeutet meist Einbußen bei Anwenderfreundlichkeit, Funktionalität und Produktivität. Bei der Risikobeurteilung kommt zur Safety nun auch die Security hinzu. Ohne Security keine CE-Kennzeichnung! Für Hersteller von Produkten mit digitalen Elementen steht mit der Normenreihe IEC 62443 eine gute Orientierung bereit. In der untergeordneten Norm IEC 62443-4-1 werden beispielsweise Anforderungen an einen sogenannten „Security Development Lifecycle Prozess“ beschrieben. 

Die EU ist bei der Security-Gesetzgebung vorgeprescht und in Europa werden die weltweit schärfsten Vorgaben gelten. Doch es laufen bereits Abstimmungen mit anderen Ländern, und auch dort ist mit ähnlichen Gesetzen zu rechnen. Aktuell ist zum Beispiel Australien im Austausch mit der EU und wird sich vermutlich an die europäischen Normen anlehnen. Zu erwarten ist also eine weltweite Harmonisierung bei Industrial Security. 

Die Pilz-Werbung im Wandel