Die meisten Menschen in der Industrie wachen morgens nicht gerade voller Begeisterung für Vorschriften auf. Sie wachen auf und denken über Betriebsbereitschaft, Sicherheit und darüber nach, ob der Tag ruhig oder chaotisch verlaufen wird.
Der EU-Cyber-Resilience-Act (CRA) ist von Bedeutung, da er die Anforderungen an „akzeptable“ Industriesoftware in Europa verändern wird, insbesondere wenn Auditoren, Beschaffungsstellen, Versicherer und Führungskräfte beginnen, entsprechende Nachweise zu verlangen. Das Ziel des CRA ist klar: die Cybersicherheitsstandards für Produkte mit digitalen Komponenten, die in der EU verkauft werden, anzuheben.
Wir haben ein praxisorientiertes Whitepaper verfasst, das den CRA (und dessen Zusammenhang mit NIS2) in verständlicher Sprache für Verantwortliche von Industrieanlagen erklärt, ohne Sie mit juristischer Fachsprache zu überfordern.
Die CRA in einfachen Worten
Die CRA ist eine EU-Verordnung, die sich auf die Produktseite der Cybersicherheit konzentriert: Software, Geräte und Komponenten, die in der EU verkauft werden. Sie trat am 10. Dezember 2024 in Kraft. Die wichtigsten Verpflichtungen gelten ab dem 11. Dezember 2027, wobei einige Meldepflichten bereits früher, nämlich am 11. September 2026, beginnen.
In der Praxis zwingt die CRA Anbieter dazu, nachzuweisen, dass sie das leisten können, was Betreiber in der Industrie schon seit Jahren fordern:
- Sicherheit von Anfang an einbauen
- Schwachstellen über den gesamten Produktlebenszyklus hinweg verwalten
- Klarer darlegen, was in ihren Produkten steckt (Abhängigkeiten/Komponenten)
- Stärkere Nachweise/Sicherheitsgarantien liefern
Das ist die „Anbieterseite“ der Geschichte.
„Moment mal… ist das nicht NIS2?“
NIS2 ist die „Betreiberseite“ der Geschichte: Es erlegt Organisationen, die wesentliche/wichtige Dienste betreiben (wozu viele Industriezweige gehören), Verpflichtungen im Bereich der Cybersicherheit auf. Die EU-Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 in nationales Recht umsetzen.
Ja, CRA und NIS2 sind also unterschiedlich. Aber in der Praxis überschneiden sie sich:
NIS2 verlangt von Ihnen, Risiken zu managen
CRA verändert die Anforderungen an Ihre Lieferanten
Ihre Fähigkeit, die NIS2-Ziele zu erreichen, hängt stark davon ab, ob Ihre Lieferanten wirklich CRA-bereit sind.
Unser Whitepaper erläutert diesen Zusammenhang anschaulich und gibt Ihnen praktische Fragen an Ihre Lieferanten an die Hand.
Warum dies für Facility-Teams wichtig ist (auch wenn Sie sich nicht mit „Compliance“ befassen)
Wenn Sie für eine Anlage oder einen Industriestandort verantwortlich sind, berührt CRA fünf universelle, alltägliche Prioritäten:
1. Die Anlage am Laufen halten
CRA beeinflusst den Produktlebenszyklus, die Patching-Disziplin und die Supportfähigkeit. Das wirkt sich direkt auf das Ausfallrisiko aus. Wenn Sie jemals an einer Version festgesessen haben, die Sie nicht sicher warten können, wissen Sie bereits, warum dies wichtig ist.
2. Die Sicherheit von Menschen und Standort gewährleisten
In industriellen Umgebungen können Cybervorfälle zu Betriebsstörungen führen. CRA ist Teil der umfassenderen Bemühungen der EU, Cyberrisiken als systemische Risiken zu behandeln, insbesondere in Sektoren, die die Gesellschaft betreffen.
3. Die Kontrolle behalten
Anlagen hassen Black Boxes: unbekannte Komponenten, unklare Zuständigkeiten, ungewisses Ende des Supports. CRA zwingt Anbieter zu mehr Transparenz und Struktur, damit Sie OT wie ein technisches System verwalten können.
4. Momente vermeiden, in denen man sich fragt: „Warum lief das noch?“
Nach einem Vorfall lautet die Frage selten: „Hatten Sie gute Absichten?“ Sie lautet: „Haben Sie verantwortungsbewusst gehandelt, und können Sie das nachweisen?“ CRA verstärkt die Erwartung, dass unsichere, nicht mehr unterstützte Software kein passives Risiko ist, sondern eine bewusste Entscheidung.
5. Reduzieren Sie das „Feuerlöschen“
Das schlimmste Szenario ist eine erzwungene Migration unter Druck: Ein Anbieter stellt etwas ein, eine Schwachstelle taucht auf, die Beschaffung benötigt eine Bescheinigung, und plötzlich befinden Sie sich im Notfallmodus. CRA soll diese Art von Chaos reduzieren, wenn Sie sich frühzeitig vorbereiten.
Was Sie jetzt tun können (ohne ein riesiges Projekt zu starten)
Sie brauchen kein mehrjähriges Programm, um schnell einen Mehrwert zu erzielen.
Beginnen Sie mit drei Schritten:
1. Erfassen Sie, was am wichtigsten ist
-
Nicht alles. Beginnen Sie mit den Systemen, deren Ausfall oder fehlende Unterstützung die größten Auswirkungen hätte: SCADA/HMI, Historien, Gateways, wichtige OPC-/Kommunikationskomponenten.
2. Stellen Sie den Anbietern konkrete Fragen
Nach Ihren genauen Versionen: Support-Fenster, Verfahren zum Umgang mit Schwachstellen, Patch-Empfehlungen und welche Nachweise sie für Lieferantenrisikoprüfungen vorlegen können.
3. Stimmen Sie OT, IT und den Einkauf ab
CRA wird oft zuerst über den Einkauf auf Sie zukommen: Vertragsverlängerungen, Lieferantenrisikoprüfungen, Versicherungsfragen, Kundenaudits. Stimmen Sie sich ab, bevor die erste E-Mail mit der Aufforderung „Bitte bestätigen Sie …“ eintrifft.
Unser Whitepaper enthält eine kurze Lieferanten-Checkliste, die Sie sofort nutzen können.
Was AVEVA tut (und welches Engagement wir zeigen)
Wenn Sie auf AVEVA-Software vertrauen, sollten Sie Klarheit erwarten, keine vagen Versprechungen.
AVEVA hat seinen CRA-Ansatz öffentlich dargelegt, einschließlich Schwerpunktbereichen wie Lebenszyklusrichtlinien, sicherer Entwicklungslebenszyklus und Konformitäts-/Sicherheitsnachweise (Dokumentation, Vertrauensressourcen, Governance und CE-bezogene Überlegungen für relevante Produkte). aveva.com
AVEVA veröffentlicht zudem eine Richtlinie zum Software-Support-Lebenszyklus, die Langzeit-Wartungsoptionen für bestimmte Produkte/Versionen (5 Jahre Vollsupport + 2 Jahre eingeschränkter Support) umfasst, um den Gegebenheiten langlebiger industrieller Umgebungen gerecht zu werden. aveva.com
Wir fassen diese Verpflichtungen am Ende des Whitepapers in einer kurzen „Verpflichtungsbox“ zusammen, zusammen mit drei Fragen, mit denen Sie jeden Anbieter bewerten können, nicht nur AVEVA.
Laden Sie das Whitepaper herunter
Wenn CRA Ihnen noch abstrakt erscheint, macht das Whitepaper es konkret, indem es ein reales Szenario verwendet, das die meisten Industrieteams kennen, und CRA + NIS2 dann in praktische Maßnahmen umsetzt.
.png?width=680&height=460&name=Progetto%20senza%20titolo%20(92).png)
.png?width=680&height=460&name=Progetto%20senza%20titolo%20(91).png)
