Wie geht die Energiebranche mit den neuen und gesetzlichen Anforderungen zu Cybersecurity um?

Christian Seipel von der DKE eröffnete die Veranstaltung und zeigte sich sehr erfreut über die zahlreichen Teilnehmerinnen und Teilnehmer sowie das damit verbundene Interesse.

Den ersten Beitrag lieferte Prof. Dr. Dennis-Kenji Kipker (DKE). Er zeigte zunächst einen Überblick der europäischen Regulierungen im Bereich der IT und Digitalisierung. Auch wenn sich der Cyber Resilience Act auf Produkte und die NIS2 auf Betreiber bzw. Unternehmen fokussieren, so verfolgen beide einen risikobasierten Ansatz für die Ableitung von Cybersecurity-Maßnahmen.

Der CRA wird nicht nur auf viele Bereiche einer Produktion einen großen Einfluss nehmen, sondern auf das gesamte Unternehmen – vom Einkauf über die Entwicklung bis hin zum Vertrieb.

Im zweiten Beitrag erläuterte Steffen Fries (Siemens) das Zusammenspiel von Anforderungs- und Lösungsstandards für die Umsetzung regulatorischer Vorgaben.

Am Beispiel einer Betreiber OT-Infrastruktur aus der Energieautomatisierung zeigte er, wo und wie Normen aus den Reihen ISO/IEC 27000, IEC 62443 und IEC 62351 mit prozeduralen, funktionalen und technischen Maßnahmen ineinandergreifen.

Anschließend stellte Dr. Lutz Jänicke (Phoenix Contact) die aktuellen Normungsaktivitäten im CRA-Kontext vor und ging insbesondere auf die Arbeiten von CLC/TC 65X/WG 3 ein. Das Gremium entwickelt mit Hochdruck die IEC 62443 weiter, um die spezifischen Anforderungen an harmonisierte europäische Normen (hEN) zu erfüllen. So werden beispielsweise Evaluationskriterien ergänzt und Profile für einzelne Produktkategorien nach Annex I des CRA entwickelt.

Abschließend berichtete Benedikt Reiter (GAI NetConsult) von seinen Erfahrungen mit KRITIS-Betreibern und welche Chancen aber auch Risiken der CRA mit sich bringt. So könnten sich unter anderem die neuen Anforderungen negativ auf die Produkt- und Herstellervielfalt auswirken. Im Gegenzeug verspricht eine Umsetzung des CRA sichere Produkte und ein verbessertes Schwachstellenmanagement.

Anhand der abschließenden Diskussions- und Fragerunde war klar: Viele Unternehmen wenden die IEC 62443 bereits an und sind damit auf einem guten Weg in Zukunft CRA-konforme Produkte anzubieten. Doch gerade kleine und mittlere Unternehmen stehen bei Fülle und Komplexität der Anforderungen noch vor mancher Herausforderung.

Wir bedanken uns bei allen Teilnehmenden und werden in Zukunft weitere Veranstaltungen rund um den CRA, die NIS2 und Cybersecurity anbieten.

Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Arbeitsfeld Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren.