Das Thema Cybersecurity findet sich in immer mehr europäischen
Harmonisierungsrechtsvorschriften (CE-Vorschriften): So zum Beispiel in der
Funkanlagenrichtlinie 2014/53/EU, der neuen Maschinenverordnung (EU) 2023/1230
und natürlich dem Cyber Resiliance Act (EU) 2024/2847.
Im folgenden Beitrag liefern wir Ihnen einen Überblick über den aktuellen Stand der
Umsetzung, den Zeitplan sowie zu den dazugehörigen harmonisierten Normen.
Cybersecurity für Funkanlagen
Für Funkanlagen greift schon ab dem 1.8.2025 eine Cybersecurity-Regelung für mit
dem Internet verbundene Funkanlagen und insbesondere für solche, die
personenbezogene Daten, Verkehrsdaten oder Standortdaten verarbeiten. Eingeführt
wurden diese durch die delegierte Verordnung 2022/30. Und ursprünglich sollte das
auch schon ab dem 1.8.2024 anwendbar sein. Da aber die europäischen
Normgremien etwas länger für die Ausarbeitung von harmonisierten Normen benötigt
haben, wurde der Anwendungsbeginn um ein Jahr nach hinten verschoben – also
auf den 1.8.2025.
Für die Funkanlagen gemäß Richtlinie 2014/53/EU wurden nun die entsprechenden
Cybersecuritiy-Normen im Amtsblatt der EU veröffentlich.
Dort sind nun folgende Normen harmonisiert:
- EN 18031-1:2024 Gemeinsame Sicherheitsanforderungen für Funkanlagen —
Teil 1: Funkanlagen mit Internetanschluss - EN 18031-2:2024 Gemeinsame Sicherheitsanforderungen für Funkgeräte —
Teil 2: Funkgeräte, die Daten verarbeiten, insbesondere internetfähige
Funkgeräte, Kinderbetreuungsfunkgeräte, Spielzeugfunkgeräte und tragbare
Funkgeräte - EN 18031-3:2024 Gemeinsame Sicherheitsanforderungen für Funkgeräte —
Teil 3: Internetfähige Funkgeräte, die virtuelles Geld oder Geldwerte
verarbeiten
Cyber Resilience Act (EU) 2024/2847
Für den Cyber Resilience Act hat die Arbeit an den harmonisierten Normen
gerade begonnen. Hier sind derzeit rund 40 neue Normen geplant. Aktuelle
Informationen dazu haben die europäischen Normungsorganisationen CEN und
CENELEC in einem Webinar am 10. März 2025 geteilt
CE-CON wird die Entwicklung der Normen rund um den Cyber Resilience Act
laufend beobachten und die Anforderungen und Verfahren aus diesen Normen in
die Software CE-CON Safety integrieren.
Anwendungsbeginn für den CRA ist der 11.12.2027.
Aber Achtung: Die Meldepflicht gemäß Art. 14 CRA für aktiv ausgenutzte
Schwachstellen und schwerwiegende Sicherheitsvorfälle beginnt schon am
11.9.2026! Derzeit ist aber noch nicht festgelegt, in welcher Form die Meldung zu
erfolgen hat. Die Einrichtung der einheitlichen Meldeplattform gemäß Artikel 16
CRA ist ebenfalls noch nicht erfolgt. Hersteller von Produkten mit digitalen
Elementen sollten sich aber rechtzeitig informieren, um die Themen
Meldepflichten und auch Software Bill of Materials (SBOM, „Software-Stückliste“)
technisch und organisatorisch vorzubereiten.
Maschinenverordnung (EU) 2023/1230
Auch in der neuen Maschinenverordnung ist die Cybersecurity nun explizit erwähnt.
Schon für die „alte“ Maschinenrichtlinie 2006/42/EG gilt, dass der Hersteller die
Gefährdungen, die von der Maschine ausgehen können, und die damit verbundenen
Gefährdungssituationen ermitteln muss. Werden bei dieser Ermittlung auch
Gefährdungen aus dem Bereich der Cybersecurity festgestellt, muss der Hersteller
geeignete Maßnahmen ergreifen, um diese Gefährdungen auszuschalten oder durch
Anwendung von Schutzmaßnahmen zu mindern.
Das war bisher aber noch wenig konkret, so dass bei der Novellierung durch die
neue Maschinenverordnung nun zwei neue bzw. erweiterte Abschnitte in die Liste
der grundlegenden Sicherheits- und Gesundheitsschutzanforderungen (Anhang III
MVO) eingefügt wurden:
„1.1.9 Schutz gegen Korrumpierung
Die Maschine bzw. das dazugehörige Produkt muss so konstruiert und gebaut sein,
dass der Anschluss einer anderen Einrichtung an die Maschine oder das
dazugehörige Produkt durch jede Funktion der angeschlossenen Einrichtung selbst
oder über eine mit der Maschine bzw. dem dazugehörigen Produkt kommunizierende
entfernte Fernzugriffseinrichtung nicht zu einer gefährlichen Situation führt.
Ein Hardware-Bauteil, das Signale oder Daten überträgt, die für die Verbindung mit
oder den Zugriff auf Software relevant sind, die für die Konformität einer Maschine
oder eines dazugehörigen Produkts mit den einschlägigen Sicherheits- und
Gesundheitsschutzanforderungen von entscheidender Bedeutung ist, muss so
konstruiert sein, dass es angemessen gegen unbeabsichtigte oder vorsätzliche
Korrumpierung geschützt ist.
Maschinen bzw. dazugehörige Produkte müssen Nachweise für ein rechtmäßiges oder unrechtmäßiges Eingreifen in dieses Hardware-Bauteil sammeln, soweit es für die Verbindung mit oder den Zugriff auf Software relevant ist, die für die Konformität der Maschine bzw. des dazugehörigenProdukts von entscheidender Bedeutung ist.
Software und Daten, die für die Konformität der Maschine oder des dazugehörigen
Produkts mit den einschlägigen Sicherheits- und Gesundheitsschutzanforderungen
von entscheidender Bedeutung sind, sind als solche kenntlich zu machen und
angemessen gegen unbeabsichtigte oder vorsätzliche Korrumpierung zu schützen.
Die Maschine bzw. das dazugehörige Produkt muss die installierte Software, die für
den sicheren Betrieb erforderlich ist, identifizieren und diese Informationen jederzeit
in leicht zugänglicher Form bereitstellen können.
Maschinen bzw. dazugehörige Produkte müssen Nachweise für ein rechtmäßiges
oder unrechtmäßiges Eingreifen in der Software oder eine Veränderung der auf der
Maschine bzw. dem dazugehörigen Produkt installierten Software oder ihrer
Konfiguration sammeln.“
„1.2.1 Sicherheit und Zuverlässigkeit von Steuerungen
Steuerungen sind so zu konzipieren und zu bauen, dass es nicht zu
Gefährdungssituationen kommt.
Steuerungen müssen so ausgelegt und beschaffen sein, dass
a) sie, wenn den Umständen und Risiken angemessen, den zu erwartenden
Betriebsbeanspruchungen sowie beabsichtigten und unbeabsichtigten
Fremdeinflüssen, einschließlich vernünftigerweise vorhersehbare böswillige
Versuche Dritter, die zu einer Gefährdungssituation führen, standhalten können;
b) ein Defekt der Hardware oder der Software der Steuerung nicht zu
Gefährdungssituationen führt;
c) Fehler in der Logik des Steuerkreises nicht zu Gefährdungssituationen führen;
d) die Grenzen der Sicherheitsfunktionen im Rahmen der vom Hersteller
durchgeführten Risikobeurteilung festgelegt werden, und keine Änderungen der
durch die Maschine oder das dazugehörige Produkt oder den Bediener generierten
Einstellungen oder Regeln, auch während der Lernphase der Maschine oder des
dazugehörigen Produkts, vorgenommen werden dürfen, wenn solche Änderungen zu
Gefährdungssituationen führen könnten;
e) vernünftigerweise vorhersehbare Bedienungsfehler nicht zu
Gefährdungssituationen führen;
f) das Rückverfolgungsprotokoll der Daten, das im Zusammenhang mit einem
Eingreifen generiert wurden, und der Versionen der Sicherheitssoftware, die nach
dem Inverkehrbringen oder der Inbetriebnahme der Maschine oder des
dazugehörigen Produkts hochgeladen wurden, bis zu fünf Jahre nach dem
Hochladen ausschließlich für den Nachweis der Konformität der Maschine oder des
dazugehörigen Produkts mit diesem Anhang auf begründete Anforderung einer
zuständigen nationalen Behörde zugänglich ist.
Steuerungssysteme für Maschinen oder dazugehörige Produkte, deren Verhalten
oder Logik sich vollständig oder teilweise selbst entwickelt und die für einen in
wechselndem Maße autonomen Betrieb ausgelegt sind, müssen so konzipiert und
gebaut sein, dass
a) sie nicht dazu führen, dass Maschinen oder dazugehörige Produkte Handlungen
ausführen, die über ihre festgelegte Aufgabe und ihren festgelegten
Bewegungsbereich hinausgehen;
b) die Aufzeichnung von Daten über den sicherheitsrelevanten
Entscheidungsprozess für softwaregestützte Sicherheitssysteme zur Gewährleistung
der Sicherheitsfunktion, einschließlich der Sicherheitsbauteile, nach dem
Inverkehrbringen oder der Inbetriebnahme der Maschine oder des dazugehörigen
Produkts aktiviert ist und diese Daten für ein Jahr nach ihrer Aufzeichnung
ausschließlich für den Nachweis der Konformität der Maschine oder des
dazugehörigen Produkts mit diesem Anhang auf begründetes Verlangen einer
zuständigen nationalen Behörde gespeichert werden;
c) es jederzeit möglich ist, die Maschine oder das dazugehörige Produkt zu
korrigieren, um seine inhärente Sicherheit zu wahren.
Insbesondere ist Folgendes zu beachten:
a) Die Maschine oder das dazugehörige Produkt darf nicht unbeabsichtigt in Gang
gesetzt werden können;
b) die Parameter der Maschine oder des dazugehörigen Produkts dürfen sich nicht
unkontrolliert ändern können, wenn eine derartige unkontrollierte Änderung zu
Gefährdungssituationen führen könnte;
c) Änderungen der Einstellungen oder Regeln, die von der Maschine oder dem
dazugehörigen Produkt oder vom Bediener vorgenommen wurden, auch während
der Lernphase der Maschine oder des dazugehörigen Produkts, müssen verhindert
werden, wenn solche Änderungen zu Gefährdungssituationen führen könnten;
d) das Stillsetzen der Maschine oder des dazugehörigen Produkts darf nicht
verhindert werden, wenn der Befehl zum Stillsetzen bereits erteilt wurde;
e) ein bewegliches Teil der Maschine oder des dazugehörigen Produkts oder ein von
der Maschine oder dem dazugehörigen Produkt gehaltenes Werkstück darf nicht
herabfallen oder herausgeschleudert werden können;
f) automatisches oder manuelles Stillsetzen von beweglichen Teilen jeglicher Art darf
nicht verhindert werden;
g) nichttrennende Schutzeinrichtungen müssen uneingeschränkt funktionsfähig
bleiben oder aber einen Befehl zum Stillsetzen auslösen;
h) die sicherheitsrelevanten Teile der Steuerung müssen kohärent auf eine
Gesamtheit von Maschinen oder von dazugehörigen Produkten oder auf
unvollständige Maschinen oder eine Kombination aus diesen einwirken.
Bei kabelloser Steuerung darf ein Ausfall der Kommunikation oder Verbindung oder
eine fehlerhafte Verbindung nicht zu einer Gefährdungssituation führen.“
Diese beiden Abschnitte sind nun deutlich konkreter als die bisherigen Informationen
im Rahmen der Maschinenrichtlinie. Allerdings sind auch diese wesentlichen
Anforderungen noch eher allgemein gehalten. Wie genau und mit welchen Verfahren
sie dann praktisch umgesetzt werden, muss auch hier in harmonisierten Normen zur
neuen Maschinenverordnung geregelt werden.
Eine erste solche Norm ist derzeit auch in Arbeit und es gibt einen ersten
Normentwurf:
- prEN 50742 Safety of machinery - Protection against corruption
Diese Norm soll für die Umsetzung von Anhang III, 1.1.9. und Anhang III, 1.2.1. a)
und f) die notwendigen Informationen liefern. Sie ist für eine
Amtsblattveröffentlichung unter der neuen Maschinenverordnung vorgesehen und
wird hoffentlich rechtzeitig vor dem Anwendungsbeginn der neuen
Maschinenverordnung am 20.1.2027 zur Verfügung stehen.
Für Fragen rund um die Maschinensicherheit und die Cybersecurity stehen Ihnen die
Experten der CE-CON GmbH zur Verfügung. Nehmen Sie gerne Kontakt dazu mit
uns auf!
