Mit dem Inkrafttreten des Cyber Resilience Acts (CRA) stehen Unternehmen in der EU vor einer Reihe neuer Herausforderungen, insbesondere im Hinblick auf die Meldepflichten und die Sicherstellung der Sicherheit in der Supply Chain. Diese neuen regulatorischen Anforderungen sollen dazu beitragen, die Cybersicherheit in der EU zu stärken und die Resilienz gegen Cyberangriffe zu erhöhen. Doch die Umsetzung erfordert nicht nur technisches Know-how, sondern auch eine systematische Organisation und klare Prozesse. Im Folgenden beleuchten wir die wichtigsten Punkte, die Unternehmen im Zuge des CRA und der NIS2-Richtlinie beachten müssen, mit besonderem Augenmerk auf OT-Security.

OT-Security: Die Sicherung der industriellen Systeme 

Ein besonders kritischer Bereich, der oft zu wenig Beachtung findet, ist OT-Security (Operational Technology). Hierzu gehören alle Systeme und Geräte, die in der Produktion, Logistik oder der Infrastruktur eingesetzt werden. Diese Systeme sind oftmals besonders anfällig für Cyberangriffe, da sie in der Vergangenheit häufig nicht ausreichend abgesichert wurden und teilweise noch ältere Betriebssysteme und ungesicherte Netzwerkprotokolle verwenden.

Im Kontext des CRA und der NIS2-Richtlinie müssen Unternehmen ihre OT-Sicherheitsmaßnahmen ebenfalls auf den neuesten Stand bringen. Dies bedeutet, dass sie nicht nur ihre IT-Systeme schützen müssen, sondern auch alle industriellen Steuerungssysteme und die IT-OT-Konnektivität. Sicherheitslücken in der OT können nicht nur zu erheblichen Produktionsausfällen führen, sondern auch Sicherheitsrisiken für Mitarbeitenden und die Umwelt mit sich bringen.

OT-Security umfasst verschiedene Maßnahmen:

Um eine Cyberversicherung abschließen zu können, erwarten die Versicherer, dass präventive Sicherheitsmaßnahmen umgesetzt werden. Dazu gehören:

• Segmentierung der Netzwerke: Es ist essenziell, IT und OT voneinander zu trennen, um Angriffsvektoren zu minimieren.
• Schwachstellenmanagement: Auch in OT-Systemen müssen regelmäßige Updates und Patches durchgeführt werden.
• Zugangskontrollen und Monitoring: Der Zugang zu OT-Systemen sollte strikt kontrolliert und überwacht werden, um unbefugte Zugriffe zu verhindern.
• Sicherheitsüberprüfungen: Regelmäßige Audits und Penetrationstests sind notwendig, um Schwachstellen in den OT-Systemen frühzeitig zu identifizieren und zu beheben.

Die Sicherheit in der OT ist nicht nur aus technischer Sicht wichtig, sondern auch aus organisatorischer Perspektive. In vielen Unternehmen existieren oft noch getrennte IT- und OT-Abteilungen, die nicht immer eng zusammenarbeiten. Um eine umfassende Cyber-Resilienz zu gewährleisten, müssen diese Bereiche zunehmend stärker integriert und die Zusammenarbeit gefördert werden.

Meldepflichten im Cyber Resilience Act: Transparenz und Verantwortung für Hersteller

Mit dem Inkrafttreten des Cyber Resilience Act (CRA) im Dezember 2024 werden die Meldepflichten für Hersteller deutlich verschärft. Unternehmen, die eine schwere Sicherheitslücke in ihren Produkten entdecken oder von einer Schwachstelle betroffen sind, müssen diese nicht nur intern dokumentieren, sondern auch den zuständigen Behörden, wie der Nationalen Sicherheitsbehörde (NSA), melden. Diese Meldepflicht wird zum festen Bestandteil des gesamten Cyber Resilience Act (CRA), der Unternehmen dazu verpflichtet, transparent mit Sicherheitslücken umzugehen.  

Es geht hierbei nicht nur um die einfache Erstellung von Meldungen, sondern auch um die Einführung klarer interner Prozesse. Wer überprüft die gemeldeten Schwachstellen auf ihre Relevanz und Zugehörigkeit zu spezifischen Produkten? Welche Schritte müssen unternommen werden, um eine potenzielle Bedrohung zu beheben? Die Zuordnung von Verantwortlichkeiten und die ordnungsgemäße Bearbeitung der Meldungen, die über öffentliche Kanäle, wie etwa eine Sicherheits-E-Mail-Adresse, eingehen, stellen Unternehmen vor große Herausforderungen. Viele Unternehmen haben diese Prozesse bislang noch nicht ausreichend definiert und müssen dies dringend nachholen, um die Anforderungen des Cyber Resilience Act zu erfüllen. 

Supply Chain Security: Ein zentrales Thema für die Zukunft

Ein weiterer wichtiger Bestandteil des CRA ist die Anforderungen zur Sicherung der Supply Chain. Insbesondere in der produzierenden Industrie, wo Unternehmen zahlreiche Teile und Dienstleistungen von Zulieferern beziehen, muss die Cybersicherheit entlang der gesamten Lieferkette gewährleistet sein. Zulieferer, die kritische Bauteile oder Software liefern, stellen ein besonders hohes Risiko dar, wenn ihre Systeme nicht ausreichend abgesichert sind. Die NIS2-Richtlinie fordert deshalb, dass Unternehmen ihre Zulieferer regelmäßig auf Sicherheitsrisiken überprüfen und sicherstellen, dass diese den festgelegten Standards entsprechen.

Ein entscheidender Aspekt bei der Umsetzung dieser Anforderungen ist die risikobasierte Betrachtung der Zulieferer. Nicht jeder Zulieferer stellt das gleiche Risiko dar. Ein Zulieferer, der etwa die Kantine beliefert, hat weniger Einfluss auf die Sicherheitslage des Unternehmens als ein Zulieferer, der Steuerungseinheiten für Produktionsanlagen liefert. Es ist daher sinnvoll, die Prüfprozesse nicht für alle Zulieferer gleich intensiv zu gestalten, sondern sie nach ihrer Kritikalität zu priorisieren. Das hilft, den Aufwand zu minimieren und die Ressourcen gezielt dort einzusetzen, wo das Risiko am höchsten ist.

Verifizierung und Dokumentation von Sicherheitsmaßnahmen  

Ein weiterer wichtiger Punkt bei der Sicherstellung der Supply Chain Security ist die Verifizierung der Sicherheitsmaßnahmen, die Zulieferer treffen. Es reicht nicht aus, dass ein Zulieferer einfach ein Lastenheft mit Sicherheitsanforderungen vorlegt. Vielmehr müssen diese Anforderungen durch konkrete Maßnahmen und Nachweise belegt werden. Das kann durch Tests oder Audits erfolgen, die die Wirksamkeit der implementierten Sicherheitsmaßnahmen bestätigen.

Diese Prüfungen sollten nicht einmalig erfolgen, sondern regelmäßig wiederholt werden. Zulieferer, die privilegierte Zugriffsrechte auf kritische Systeme haben, wie etwa Systemintegratoren oder Wartungsanbieter, sollten besonders intensiv überprüft werden.  

ISO 27001 und andere Standards: Die Basis für Supply Chain Security 

Die ISO 27001-Zertifizierung wird häufig als Indikator für ein gutes Risikomanagement und eine hohe Cybersecurity in Unternehmen genutzt. Ein Zulieferer, der nach ISO 27001 zertifiziert ist, zeigt, dass er systematisch und kontinuierlich an seiner Cybersicherheit arbeitet. Doch auch eine ISO 27001-Zertifizierung garantiert nicht, dass alle spezifischen Sicherheitsanforderungen eines Unternehmens erfüllt werden. Daher ist es notwendig, zusätzlich zu bestehenden Zertifikaten wie der ISO 27001 weitere Prüfprozesse einzuführen, um sicherzustellen, dass die Anforderungen an die Supply Chain Security auch wirklich erfüllt werden.

Die Herausforderung besteht darin, diese Prozesse in einer praktikablen Form umzusetzen. Insbesondere für kleinere Unternehmen (KMU) ist die Einführung dieser Prüf- und Verifizierungsprozesse eine große Herausforderung. Häufig fehlt es an den notwendigen Ressourcen und an einer klaren Struktur, um alle Zulieferer und Dienstleister regelmäßig zu auditieren.  

Cyber Resilience und die Zukunft der EU-Wirtschaft 

Der Cyber Resilience Act und die NIS2-Richtlinie zielen darauf ab, die Cybersicherheit in der EU langfristig zu stärken und eine höhere Resilienz gegenüber Cyberangriffen zu erreichen. Dabei geht es nicht nur um die Sicherheit einzelner Unternehmen, sondern auch um die wirtschaftliche Souveränität der gesamten EU. In einer zunehmend vernetzten Weltwirtschaft stellt die Cybersecurity einen wichtigen Wettbewerbsfaktor dar. Angesichts wachsender Bedrohungen durch Cyberangriffe ist es entscheidend, dass Unternehmen ihre Sicherheitsmaßnahmen kontinuierlich verbessern und auf dem neuesten Stand halten.

Für viele Unternehmen, insbesondere KMUs, kann dies jedoch eine Überforderung darstellen. Die neuen regulatorischen Anforderungen bringen einen hohen organisatorischen Aufwand mit sich. Doch die EU muss einen Weg finden, diese Anforderungen so umzusetzen, dass sie den Unternehmen nicht übermäßig belasten.  

Fazit: Ein notwendiger Schritt für die Zukunft

Die neuen Anforderungen durch den Cyber Resilience Act und die NIS2-Richtlinie stellen Unternehmen vor eine Reihe von Herausforderungen. Doch sie bieten auch eine Gelegenheit, die Cybersicherheit in der EU langfristig zu stärken und die Wirtschaft gegen die wachsende Bedrohung durch Cyberkriminalität abzusichern. Die Etablierung klarer Meldepflichten, die Verifizierung von Sicherheitsmaßnahmen in der Supply Chain, die Sicherstellung von OT-Security und die Standardisierung von Prozessen sind entscheidende Schritte, die Unternehmen jetzt umsetzen müssen, um ihre Sicherheitsvorkehrungen zu verbessern und auf die zukünftigen Anforderungen vorbereitet zu sein.

Die Einführung von robusten Sicherheitsprozessen und die Zusammenarbeit in der gesamten Lieferkette werden es ermöglichen, die Resilienz der EU-Wirtschaft nachhaltig zu stärken und einen Beitrag zum globalen Wettbewerbsvorteil zu leisten.