Rückschau: IT-Sicherheit in der Operational Technology – Antworten auf neue EU-Vorgaben
NIS-2 und der Cyber Resilience Act im Fokus beim Technologieforum „Industrial Security“ | Netzwerke: Unterstützer und Plattformen zur Stärkung von IT-Sicherheit in der Produktion
REGENSBURG. Was heißt IT-Sicherheit in der Operational Technology? Wie begegne ich den Herausforderungen europäischer Regulierung und Gesetzgebung? Zusammen mit dem IT-Sicherheitscluster e.V. und dem Bundesverband IT-Sicherheit e.V. (TeleTrusT) haben wir Anfang Oktober im Rahmen eines gemeinsamen Technologieforums rund 30 Expert:innen versammelt. Die neuen Herausforderungen der EU-Richtlinien NIS-2 und des Cyber Resilience Acts bildeten das Dachthema. Praktische Lösungsansätze aus Unternehmen der Region sowie fachlicher Input für die Umsetzung von Sicherheitsstandards in der Operational Technology (OT) standen im Mittelpunkt. Das Technologieforum fand bei der Regensburger intive GmbH statt, einem global operierenden Technologieunternehmen mit Schwerpunkten in der Entwicklung für Automotive und Healthcare. Fachreferenten von der secunet Security Networks AG, der secuvera GmbH und Red Lion erläuterten die Grundlagen und praktischen Anwendungen der neuen Regeln. Einblicke in die Praxis boten die Mitgliedsunternehmen Maschinenfabrik Reinhausen GmbH und Zollner Elektronik AG.
NIS-2 und Cyber Resilience Act: Die neue Realität für die Industrie
„Wir haben uns lange auf Büroumgebungen konzentriert. Operational Technology, wie Maschinenbauer oder Unternehmen mit vernetzten Geräten, hat besondere Voraussetzungen. Die heutigen Anforderungen zielen auf Vernetzung, während viele Maschinen noch mit alter IT ausgestattet sind. Updates sind schwieriger umzusetzen als bei Büro-PCs, was die Probleme der Unternehmen verdeutlicht“, erläutert Dr. Matthias Kampmann, Geschäftsführer des IT-Sicherheitsclusters.
Im Mittelpunkt des Technologieforums standen die Auswirkungen der EU-Gesetzgebung auf die Produktions- und Fertigungsindustrie. Mit der NIS-2-Richtlinie und dem Cyber Resilience Act (CRA) werden Unternehmen künftig vor strikte Anforderungen gestellt, die eine umfassende Sicherheitsstrategie erfordern. Dr.-Ing. Rodrigo do Carmo von der secunet Security Networks AG zeigte in seinem Vortrag, wie Unternehmen mit der Dualstrategie ISO 27001 und IEC 62443 auf diese neuen Anforderungen reagieren können. Er betonte, dass sich die Herausforderungen der NIS-2-Richtlinie nicht nur auf IT-Infrastrukturen beschränken: „Es geht darum, das gesamte Produktionsumfeld abzusichern, von der Maschine bis zur IT. Die ISO 27001 bietet hier ein Framework für Informationssicherheit, während die IEC 62443 gezielt auf die Absicherung industrieller Steuerungssysteme und OT abzielt.“
Sophia Pötsch und Gernot Weiser von der secuvera GmbH präsentierten zudem eine detaillierte Gegenüberstellung der CRA- und NIS-2-Anforderungen. Sie zeigten, wie sich die Gesetzesvorgaben ergänzen und wo Unterschiede liegen: „Während der Cyber Resilience Act vernetzte Produkte in den Mittelpunkt stellt und strikte Anforderungen an deren Sicherheit stellt, zielt NIS-2 darauf ab, kritische Infrastrukturen abzusichern“, so Pötsch. Beide Regelwerke werden maßgeblich die Zukunft der IT-Sicherheit in der Produktion bestimmen.
Die Entwicklung vertrauenswürdiger elektronischer Systeme erfordert ein interdisziplinäres Vorgehen. Sensorik und IT-Sicherheit müssen Hand in Hand arbeiten, um der besonderen Stellung von Sensorsystemen im Zeitalter von Digitalisierung und KI Rechnung zu tragen und auch den neuen regulatorischen Anforderungen gerecht zu werden. In dieser Zusammenarbeit liegt der Schlüssel zu einer effizienten Umsetzung von NIS-2- und Cyber-Resilience-Act-konformen Lösungen.
Matthias Streller, Geschäftsführung Strategische Partnerschaft Sensorik e.V.
Erfahrungen aus der Praxis: Von der Theorie zur Implementierung
Unternehmen der Region haben sich bereits intensiv mit dem Thema auseinandergesetzt. Das Prinzip „Security by Design“ wird bei der Maschinenfabrik Reinhausen GmbH bereits umgesetzt: Sicherheit wird von Anfang an in den gesamten Produktlebenszyklus integriert. Dr. Hubert Feyrer, verantwortlich bei der MR, erklärte: „Nur durch frühzeitige Sicherheitskonzepte können wir gewährleisten, dass unsere Produkte den heutigen Bedrohungen standhalten und gleichzeitig die gesetzlichen Anforderungen erfüllen.“
Auch Stefan Haberl von der Zollner Elektronik AG berichtete über die Herausforderungen, die mittelständische Unternehmen durch NIS-2 bewältigen müssen. Er betonte, dass die neuen Anforderungen tief in die Produktionsprozesse eingreifen und häufig umfangreiche strukturelle Anpassungen erforderlich machen. „Wir müssen sicherstellen, dass unsere gesamten Systeme von Grund auf sicher sind, und das beginnt bereits bei der Produktentwicklung“, so Haberl. Diese Umstellungen verlangen nicht nur technologische, sondern auch organisatorische Anpassungen, um die geforderte Cybersicherheit zu gewährleisten. Netzwerke und Kooperationen sind Schlüssel für die IT-Sicherheit.