Die Annahme von IEC 62443 zur Einhaltung des Cyber Resilience Act: Ein Fahrplan

Der Cyber Resilience Act (CRA) steht kurz davor, ein Eckpfeiler der EU-Cybersicherheitsgesetzgebung zu werden. Er wird jedoch erhebliche Verpflichtungen für Hersteller auferlegen, wodurch robuste Cyberpraktiken nicht nur gute Hygiene, sondern eine rechtliche Notwendigkeit werden.

Für viele EU-Hersteller kann die Navigation durch die komplexe Landschaft der Cybersicherheitsstandards entmutigend sein. Ein Standard sticht jedoch als starker Befähiger für die Einhaltung des CRA hervor. Wir sprechen von IEC 62443. Diese umfassende Reihe von Standards, oft als Goldstandard oder sogar als Nordstern der industriellen Cybersicherheit bezeichnet, ist speziell für industrielle Automatisierungs- und Kontrollsysteme (IACS) entwickelt worden. Sie bietet einen strukturierten und systematischen Ansatz zur Verwaltung von Cybersicherheitsrisiken und deren Folgen. Unser neuester Blogbeitrag wird näher darauf eingehen, wie EU-Hersteller IEC 62443 nutzen können, um nicht nur die Anforderungen des Cyber Resilience Act zu erfüllen, sondern auch ihre gesamte Cybersicherheitslage erheblich zu verbessern und ihre Infrastruktur vor Cyberangriffen zu schützen.

Was ist der Cyber Resilience Act?  

Der Cyber Resilience Act ist ein bahnbrechendes Gesetz, das darauf abzielt, sicherzustellen, dass Hardware- und Softwareprodukte, die auf dem EU-Markt angeboten werden, wesentliche und robuste Cybersicherheitsanforderungen über ihren gesamten Lebenszyklus erfüllen. Er verlagert die Verantwortung für die Cybersicherheit vom Endbenutzer auf den Hersteller, wodurch dieser vollständig für die Sicherheit seiner Produkte von der Konstruktion bis zum Ende der Lebensdauer verantwortlich ist.

Was sind die Hauptaspekte des CRA? Hier sind einige Schlüsselpunkte:

· Wesentliche Cybersicherheitsanforderungen: Produkte müssen spezifische Sicherheitsanforderungen in Bezug auf Schwachstellenmanagement, Risikominderung, sichere Entwurfsprinzipien, Datenschutz und Resilienz gegen Cyberangriffe erfüllen.

· Konformitätsbewertung: Hersteller müssen anhand von Nachweisen die Konformität mit dem CRA durch interne Kontrollen oder Bewertungen durch Dritte nachweisen, abhängig von der Kritikalität des Produkts.

· Verpflichtungen für Hersteller: Durchführung von Risikobewertungen, Implementierung von Sicherheitsmaßnahmen, Bereitstellung klarer und zeitnaher Sicherheitsupdates, Meldung von Schwachstellen und Pflege der Dokumentation.

· Marktüberwachung: Die Mitgliedstaaten sind verantwortlich für die Überwachung ihrer jeweiligen jurisdiktionalen Einheiten, um die Einhaltung sicherzustellen.

· Fokus auf den Produktlebenszyklus: Der CRA betont die Cybersicherheit über den gesamten Produktlebenszyklus, vom ursprünglichen Entwurf und der Entwicklung bis zur Marktüberwachung und den Überlegungen zum Ende der Lebensdauer.

Der breite Geltungsbereich des CRA umfasst viele verbundene Produkte, von IoT-Geräten und industriellen Kontrollsystemen bis hin zu Betriebssystemen und Smart-Home-Geräten. Für Hersteller, insbesondere für solche im Bereich der Betriebstechnologie (OT), ist das Verständnis und die Umsetzung der Bestimmungen des CRA von entscheidender Bedeutung, um Strafen zu vermeiden, den Marktzugang aufrechtzuerhalten, die Glaubwürdigkeit zu sichern und ihre Infrastruktur zu schützen.

Worum geht es bei der IEC 62443 Familie von industriellen Cybersicherheitsstandards?

Während der CRA die gesetzlichen Anforderungen festlegt, bietet IEC 62443 einen praktischen, strukturierten und international anerkannten Rahmen zur Erfüllung dieser Anforderungen, insbesondere für Hersteller industrieller Produkte. Wie wir alle wissen, ist es kein einzelnes Dokument, sondern eine Reihe von Standards und technischen Berichten, die verschiedene Aspekte der IACS-Cybersicherheit ansprechen.

Die IEC 62443-Serie ist in vier Hauptkategorien unterteilt:

· Allgemein (62443-1-x): Behandelt grundlegende Konzepte, Terminologie und Modelle.

· Richtlinien und Verfahren (62443-2-x): Konzentriert sich auf die Anforderungen an Programme zur Cybersicherheit für IACS-Asset-Eigentümer und Dienstleister.

· System (62443-3-x): Behandelt systemweite Anforderungen an die Cybersicherheit, einschließlich Sicherheitsgarantien (SALs), Möglichkeiten zur Durchführung einer Risikobewertung für IACS und technische Anforderungen.

· Komponenten (62443-4-x): Spezifiziert Anforderungen an den sicheren Entwicklungszyklus für Produkte und Komponenten sowie technische Sicherheitsanforderungen für Steuerungssystemkomponenten.

Die Stärke von IEC 62443 liegt in ihrem mehrschichtigen und detaillierten Ansatz zur IACS-Sicherheit. Sie betont die Prämisse, dass Cybersicherheit nicht nur Technologie betrifft, sondern auch Prozesse, Menschen, Governance, Eigentum, das Verständnis des Zusammenspiels von Parametern, die das Cyberrisiko beeinflussen und die Unternehmenskultur.

Die IEC 62443 Standards bieten eine strukturierte Methode für:

· Verständnis der Rolle von Asset-Eigentümern im Risikomanagement

· Anwendung geeigneter Sicherheitskontrollen zur Risikominderung

· Risikobewertung: Identifizierung und Analyse von Cybersicherheitsrisiken, die spezifisch für IACS-Umgebungen sind.

· Bedrohungsmodellierung: Verständnis potenzieller Angriffsvektoren und Bedrohungsakteure.

· Identifizierung und Behebung von Sicherheitslücken in IACS  

· Sicherheit durch Design: Integration von Sicherheitsüberlegungen in den gesamten Lebenszyklus der Produktentwicklung.

· Schwachstellenmanagement: Proaktive Identifizierung, Bewertung und Minderung von Schwachstellen.

· Sicherer Entwicklungszyklus (SDL): Etablierung sicherer Programmierpraktiken und Testmethoden.

· Patch-Disziplin und -Management: Gewährleistung der zeitgerechten und effektiven Bereitstellung von Sicherheitsupdates.

· Incident Response: Entwicklung von Verfahren zur Erkennung, Reaktion und Wiederherstellung nach Cybervorfällen.

· Sicherheits- und Reifegrade: Definition von Sicherheitsgarantien (SALs), die dem Risikoniveau und dem erforderlichen Schutz entsprechen.

Wie kann IEC 62443 mit der Einhaltung des CRA in Verbindung gebracht werden?  

Die Verbindung zwischen IEC 62443 und dem CRA ist, wie bereits erwähnt, deutlich sichtbar. Um dies zu betonen, bietet IEC 62443 den "Wie- zu"-Leitfaden zur Erfüllung der "Was-zu"-Anforderungen des CRA, insbesondere wenn es um industrielle Produkte geht. Lassen Sie uns nun erkunden, wie EU-Hersteller spezifische Teile von IEC 62443 nutzen können, um die CRA-Einhaltung zu erreichen:

Wesentliche Cybersicherheitsanforderungen (CRA Artikel 6 & Anhang I)

Der CRA verlangt, dass Produkte so gestaltet, entwickelt und hergestellt werden, dass sie die wesentlichen Cybersicherheitsanforderungen erfüllen. IEC 62443 bietet hier direkte Richtlinien:

· Sicherheit durch Design und Entwicklung:

· IEC 62443-4-1 (Anforderungen an den sicheren Produktentwicklungszyklus): Meiner Meinung nach ist es möglicherweise der wichtigste Standard für Hersteller. Er umreißt einen umfassenden sicheren Entwicklungszyklus (SDL), der sicherheitsrelevante Aktivitäten in jede Phase der Produktentwicklung integriert, von der Definition der Anforderungen bis hin zur Außerbetriebnahme. Dies adressiert direkt die Betonung des CRA auf "Sicherheit durch Design" und "Sicherheit durch Standardmäßig." Hersteller können Richtlinien für sicheres Programmieren umsetzen, Sicherheitstests durchführen (z.B. fuzz testing, penetration testing) und architektonische Risikoanalysen gemäß den Vorgaben von 62443-4-1 durchführen.

· IEC 62443-3-3 (System-Sicherheitsanforderungen und Sicherheitsniveaus): Während der Fokus auf Systeme gerichtet ist, können die Prinzipien zur Definition von Sicherheitsniveaus (SL-T, SL-C, SL-P) und entsprechenden Anforderungen in der Entwurfsphase von Komponenten, die in größere Systeme integriert werden, angewendet werden. Dies hilft sicherzustellen, dass Komponenten mit einem angemessenen Sicherheitsniveau konzipiert werden, was den Anforderungen des CRA für ein "Sicherheitsniveau, das dem Risiko angemessen ist" entspricht.

· Schwachstellenmanagement und Software-Updates:

· IEC 62443-2-3 (Patch-Management in IACS-Umgebungen): Obwohl hauptsächlich für Asset-Eigentümer gedacht, sind die Prinzipien des Patch- und Update-Managements für Hersteller äußerst relevant. Hersteller müssen robuste Prozesse zur Identifizierung, Bewertung und Verbreitung von Sicherheitsupdates für ihre Produkte einrichten. Dazu gehört die Bereitstellung klarer Informationen an die Benutzer über verfügbare Updates und deren Sicherheitsauswirkungen, was die Verpflichtungen des CRA hinsichtlich des Umgangs mit Schwachstellen und kontinuierlicher Sicherheitsunterstützung direkt anspricht.

· IEC 62443-4-1 (Anforderungen an den sicheren Produktentwicklungszyklus): Dieser Standard behandelt auch die Offenlegung und Antwort auf Schwachstellen und stellt sicher, dass Hersteller einen systematischen Ansatz zur Bearbeitung gemeldeter Schwachstellen und zur Ausstellung notwendiger Patches haben.

· Datenschutz und Vertraulichkeit:

· IEC 62443-3-3 (System-Sicherheitsanforderungen und Sicherheitsniveaus): Dieser Standard definiert technische Sicherheitsanforderungen, die zur Vertraulichkeit, Integrität und Verfügbarkeit von Daten beitragen. Er spezifiziert Anforderungen an Zugangskontrolle, Datenverschlüsselung und sichere Kommunikationsprotokolle, die alle wichtig zum Schutz sensibler Daten sind, die vom Produkt verarbeitet oder gespeichert werden, und in Einklang mit dem Fokus des CRA auf Datenschutz stehen.

· Resilienz gegen Cyberangriffe:

· IEC 62443-3-2 (Sicherheitsrisikobewertung für IACS): Durchführung einer gründlichen Risikobewertung, wie in diesem Standard beschrieben, hilft Herstellern, potenzielle Angriffsszenarien zu identifizieren und Produkte so zu gestalten, dass sie gegen diese Bedrohungen resilient sind. Dieser proaktive Ansatz ist grundlegend für die Erfüllung der Anforderungen des CRA, dass Produkte Cyberangriffen standhalten, widerstehen, erkennen und davon wiederherstellen können.

· IEC 62443-3-3 (System-Sicherheitsanforderungen und Sicherheitsniveaus): Die technischen Anforderungen innerhalb dieses Standards, wie Netzwerksegmentierung, robuste Authentifizierungsmechanismen und Protokollierungsfähigkeiten, tragen direkt zur allgemeinen Resilienz des Produkts gegenüber verschiedenen Cyberbedrohungen bei.

Konformitätsbewertung (CRA Artikel 13)

Der CRA verlangt von den Herstellern, die Konformität mit den wesentlichen Cybersicherheitsanforderungen nachzuweisen. Während der CRA den allgemeinen Prozess umreißt, bietet IEC 62443 einen Rahmen, um zu zeigen, dass die erforderliche Sorgfalt angewendet wurde.

· Dokumentation und Nachweise: Die Einhaltung der IEC 62443-Standards erzeugt natürlich eine Vielzahl von Dokumentationen: Risikobewertungsberichte, Sicherheitsarchitekturdiagramme, Testpläne und Ergebnisse, Verfahren zum Schwachstellenmanagement und Artefakte des sicheren Entwicklungszyklus. Diese Dokumentation dient als konkreter Nachweis für die Konformitätsbewertungsstellen oder zur Demonstration der Einhaltung durch interne Kontrollen.

· Zertifizierung durch Dritte: Produkte oder Komponenten, die gemäß IEC 62443-4-1 und IEC 62443-4-2 (Technische Sicherheitsanforderungen für IACS-Komponenten) entworfen und entwickelt wurden, können einer Zertifizierung durch Dritte unterzogen werden. Diese Zertifizierung, die von anerkannten Stellen bereitgestellt wird, kann den Prozess der CRA-Konformitätsbewertung erheblich vereinfachen, da sie eine unabhängige Bestätigung der Cybersicherheitslage des Produkts bietet.

Verpflichtungen der Hersteller (CRA Artikel 10)

Der CRA auferlegt den Herstellern mehrere direkte Verpflichtungen. IEC 62443 bietet die praktischen Mechanismen, um viele davon zu erfüllen:

· Risikobewertung:

· IEC 62443-3-2 (Sicherheitsrisikobewertung für IACS): Dieser Standard bietet eine detaillierte Methodik zur Durchführung von Cybersicherheitsrisikobewertungen, zur Identifizierung von Vermögenswerten, Bedrohungen, Schwachstellen und zur Berechnung von Risikoniveaus. Dies unterstützt direkt die Anforderung des CRA an Hersteller, eine Cybersicherheitsrisikobewertung für ihre Produkte durchzuführen.

· Umgang mit und Berichterstattung über Schwachstellen:

· IEC 62443-4-1 (Anforderungen an den sicheren Produktentwicklungszyklus): Dieser Standard schreibt Prozesse für die Offenlegung, Analyse und Reaktion auf Schwachstellen vor. Hersteller, die diesen Standard nutzen, werden Verfahren zur Entgegennahme, Einstufung und Bearbeitung gemeldeter Schwachstellen sowie zur Benachrichtigung der Benutzer über diese eingerichtet haben, was eine kritische Verpflichtung des CRA erfüllt.

· IEC 62443-2-3 (Patch-Management in IACS-Umgebungen): Bietet Leitlinien zur effektiven Verteilung von Patches und Updates, um sicherzustellen, dass die Benutzer zeitnah Sicherheitsfixes erhalten.

· Marktüberwachung nach der Markteinführung:

· IEC 62443-4-1 (Anforderungen an den sicheren Produktentwicklungszyklus): Erstreckt sich auf Aktivitäten nach der Markteinführung, einschließlich der Überwachung neuer Schwachstellen, der Bereitstellung fortlaufender Sicherheitsunterstützung und der Herausgabe von Sicherheitswarnungen. Dies trägt direkt dazu bei, die Anforderung des CRA zu erfüllen, dass Hersteller Cybersicherheitsrisiken kontinuierlich überwachen und verwalten müssen, nachdem sie auf dem Markt platziert wurden.

· Dokumentation:

· Im Verlauf des Implementierungsprozesses der IEC 62443 wird umfangreiche Dokumentation erstellt, einschließlich Sicherheitsrichtlinien, Verfahren, technischer Spezifikationen und Testberichte. Diese umfassende Dokumentation bildet das Rückgrat der technischen Dokumentation, die vom CRA gefordert wird.

Fokus auf den Produktlebenszyklus (CRA Artikel 6)

Der CRA betont die Cybersicherheit über den gesamten Lebenszyklus des Produkts hinweg. IEC 62443 verfolgt von Natur aus diesen Ansatz.

· Design und Entwicklung: Der sichere Entwicklungszyklus (SDL) von IEC 62443-4-1 gewährleistet, dass Sicherheit von Grund auf integriert wird, wodurch Schwachstellen bereits früh in der Entwurfsphase verhindert werden.

· Produktion: Der Fokus auf sichere Konfiguration und Härtung in verschiedenen IEC 62443-Standards trägt dazu bei, sicherzustellen, dass Produkte sicher hergestellt werden.

· Wartung und Support: Die Betonung des Schwachstellenmanagements, des Patch-Managements (IEC 62443-2-3) und der fortlaufenden Sicherheitsupdates sorgt dafür, dass Produkte während ihrer Betriebsdauer sicher bleiben.

· Ende der Lebensdauer: Obwohl nicht ausdrücklich für die Stilllegung von Produkten beschrieben, können die Prinzipien der sicheren Datenlöschung und der verantwortungsvollen Entsorgung sensibler Komponenten abgeleitet und in ein umfassendes Cybersicherheitsprogramm integriert werden.

Was sind die strategischen Vorteile der Annahme von IEC 62443 über die Einhaltung des CRA hinaus?

Obwohl die Einhaltung des CRA ein wesentlicher Faktor ist, bietet die Annahme von IEC 62443 erhebliche strategische Vorteile für EU-Hersteller, die über die bloße regulatorische Einhaltung hinausgehen:

· Verbesserte Produktsicherheit und reduziertes Risiko: Durch die systematische Implementierung von IEC 62443 entwickeln Hersteller sicherere und resilientere Produkte, wodurch die Wahrscheinlichkeit erfolgreicher Cyberangriffe verringert und potenzielle finanzielle Verluste, Rufschäden und betriebliche Störungen minimiert werden.

· Wettbewerbsvorteil: Hersteller, die die Einhaltung eines international anerkannten Standards wie IEC 62443 nachweisen können, werden sich auf dem Markt differenzieren, Vertrauen bei Kunden aufbauen und sich einen Wettbewerbsvorteil verschaffen, insbesondere da Cybersicherheit ein wichtiges Kaufkriterium wird.

· Optimierung von Prozessen und Effizienz: Die Implementierung eines strukturierten Rahmens wie IEC 62443 kann zu effizienteren und wiederholbaren Cybersicherheitsprozessen führen, ad-hoc-Anstrengungen reduzieren und die gesamte betriebliche Effizienz verbessern.

· Verbesserte Sicherheit in der Lieferkette: Da Hersteller zunehmend auf globale Lieferketten angewiesen sind, kann IEC 62443 verwendet werden, um Cybersicherheitsanforderungen mit Lieferanten zu kommunizieren und durchzusetzen, was zu einem sichereren Ökosystem führt.

· Reduzierte rechtliche und finanzielle Haftungen: Die proaktive Annahme robuster Cybersicherheitspraktiken gemäß IEC 62443 kann rechtliche und finanzielle Haftungen im Falle von Cybervorfällen, einschließlich möglicher Geldstrafen gemäß dem CRA und Kosten im Zusammenhang mit Sicherheitsvorfällen, mindern.

· Zukunftssicherheit: IEC 62443 ist ein lebendiger Standard, der kontinuierlich aktualisiert wird, um sich entwickelnden Bedrohungen und Technologien Rechnung zu tragen. Durch die Anpassung an ihn sind Hersteller besser auf zukünftige Herausforderungen der Cybersicherheit und regulatorische Änderungen vorbereitet.

· Einfacherer Zugang zu Märkten: Der Nachweis der Einhaltung von IEC 62443 kann den Zugang zu Märkten nicht nur innerhalb der EU, sondern auch global erleichtern, da viele internationale Kunden und Regulierungsbehörden den Wert des Standards anerkennen.

Herausforderungen und Überlegungen zur Implementierung

Obwohl die Vorteile klar sind, kann die Implementierung von IEC 62443 und deren Ausrichtung auf die Einhaltung des CRA Herausforderungen mit sich bringen:

· Komplexität und Umfang: Die IEC 62443-Serie ist umfangreich. Hersteller müssen priorisieren, welche Teile für ihre Produkte und Betriebe am relevantesten sind. Ein schrittweiser Ansatz wird oft empfohlen.

· Ressourcenallokation: Die Implementierung erfordert engagierte Ressourcen, einschließlich Cybersicherheitskompetenz, Schulung des Personals und möglicherweise neuer Werkzeuge und Technologien.

· Integration in bestehende Prozesse: Hersteller müssen die Anforderungen von IEC 62443 in ihre bestehenden Produktentwicklungs-, Qualitätsmanagement- und Betriebsprozesse integrieren.

· Zusammenarbeit in der Lieferkette: Die Sicherstellung der Einhaltung über die gesamte Lieferkette, insbesondere für Komponenten, die von Dritten bezogen werden, erfordert starke Zusammenarbeit und vertragliche Vereinbarungen.

· Kontinuierliche Verbesserung: Cybersicherheit ist kein einmaliger Aufwand. Hersteller müssen einen kontinuierlichen Verbesserungszyklus etablieren, um regelmäßig ihre Sicherheitslage zu bewerten, sich neuen Bedrohungen anzupassen und ihre Prozesse zu aktualisieren.

Durch die Annahme von IEC 62443 können EU-Hersteller:

· Systematisch Cybersicherheitsrisiken über den gesamten Produktlebenszyklus identifizieren und mindern.

· Robuste Praktiken des sicheren Entwicklungszyklus implementieren und Sicherheit von Anfang an einbauen.

· Effektive Verfahren zum Schwachstellenmanagement und Incident Response etablieren.

· Die notwendige Dokumentation erstellen, um die Konformität mit den Anforderungen des CRA nachzuweisen.

· Ihre Infrastruktur mit Zuversicht sichern.

Über die Einhaltung hinaus fördert die Annahme von IEC 62443 eine Kultur der Cybersicherheit, die zu resilienteren Produkten, verbessertem Kundenvertrauen und einer stärkeren Wettbewerbsposition auf dem globalen Markt führt. In einer zunehmend vernetzten Welt, in der Cyberbedrohungen eine ständige Realität sind, ist es nicht nur wichtig, regulatorischen Verpflichtungen nachzukommen, sondern auch die Zukunft der EU-Herstellung abzusichern. Die Zeit zu handeln ist jetzt.

Verbinden Sie sich mit einem Shieldworkz Compliance-Experten , um zu erfahren, wie Sie den CRA und NIS2 einhalten können.

Laden Sie unsere regulatorischen Handbücher herunter, um ein besseres Verständnis der regulatorischen Landschaft der OT-Cybersicherheit und relevanter Interventionen zu erhalten.

Erfahren Sie mehr über risikobasierte Bewertung nach IEC 62443 

Laden Sie die neueste Kopie von unserem Bericht über die Bedrohungslandschaft der OT-Cybersicherheit herunter.