PILZ: Keine Safety ohne Security

Pilz Österreich begegnet dem Zukunftsthema Industrial Security mit eigener Abteilung

Industrial Security @Pilz Österreich
Als Botschafter der Sicherheit weist Pilz nun seit Beginn der Überarbeitung der Maschinenverordnung auf die kommenden gesetzlichen und normativen Änderungen (Maschinenverordnung, NIS2, Cyber Resilience Act) und den sich daraus ergebenden Herausforderungen an Hersteller, Integratoren und Betreibern von Maschinen sowie Anlagen.

Um der Bedeutung dieses Themas Rechnung zu tragen, hat Pilz die Abteilung „Industrial Security“ unter der Leitung von Andreas Willert gegründet, denn Safety – seit vielen Jahren der Kernbereich von Pilz – wird es nicht mehr ohne entsprechende Absicherung durch OT Security Maßnahmen geben können.

Security ist kein statisches, sondern ein dynamisch bewegendes Ziel. Es ist nichts, was man einmal macht und dann einen Haken dahinter setzt. Mit dem Ausbau des Kompetenzzentrums Industrial Security gibt Pilz dem Zukunftsthema der sicheren Automation den entsprechenden Raum und Rahmen!

MVONIS 2CRA
ErklärungDie neue Maschinenverordnung EU 2023/1230 beschreibt, wie auch die ablaufende Maschinenrichtlinie 2006/42/EG, einheitliche Anforderungen an die Sicherheit und Gesundheit bei der Interaktion von Mensch und Maschine.Die Richtlinie für Netz- und Informationssystemsicherheit 2 EU 2022/2555 beinhaltet Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union.Der Cyber Resiliance Act EU 2022/0272(COD) ist ein Vorschlag für eine Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um sicherere Hardware- und Softwareprodukte zu gewährleisten.
BedeutungDie MVO ist besonders relevant für Hersteller und Inverkehrbringer von Maschinen und Anlagen. Erstmalig beinhaltet die Maschinenverordnung Anforderungen an die Industrial Security. Bei digitalisierten Produktionen können IT-Sicherheitsbedrohungen zu einem Risiko für die Gesundheit und das Leben von Maschinenbedienern führen.Das NIS-Gesetz, die bisherige nationale Umsetzung der NIS 1, hatte vorwiegend die kritische Infrastruktur und Anbieter relevanter digitaler Dienste betroffen. Die NIS 2 erweitert die Sektoren massiv, beispielsweise wird das herstellende/produzierende Gewerbe adressiert: Maschinenbau, Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischer Ausrüstungen sowie Hersteller von Kraftwagen, Kraftwagenteilen und sonstiger Fahrzeugbau.Hersteller von Produkten, die unter den CRA fallen, müssen die Security während des gesamten Lebenszyklus ihres Produkts ernst nehmen und Nutzern ermöglichen, Security-Aspekte und -Maßnahmen bei der Auswahl und Nutzung zu berücksichtigen.
AuswirkungSicherheitsbezogene Steuerungssysteme müssen angemessen gegen unbeabsichtigte oder vorsätzliche Korrumpierung geschützt werden. Der CE-Zertifizierungsprozess wird künftig die Analyse, Bewertung und Milderung von IT-Sicherheitsrisiken beinhalten.– Kap. IV, Art. 21, Risikomanagementmaßnahmen (auszugsweise): Risikoanalyse und Sicherheitskonzepte für Informationssysteme (die meisten Produktionen haben auch Netzwerke → OT), Sicherheit der Lieferkette, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen, Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, u.v.m.
– Verpflichtende Schulungen für das Top-Management
– Empfindliche Sanktionen: mind. 7 Mio. EUR oder 1,4 % des Gesamtjahresumsatzes bei den o.g. wichtigen Einrichtungen – natürliche Personen (leitende Angestellte) können haftbar gemacht werden
Produkte mit digitalen Elementen werden nur noch das CE erhalten, wenn sie dem CRA entsprechen. Die MVO verweist in Kap. 2, Art. 20, Abs. 9 auf den CRA: Um Steuerungssysteme vor Korrumpierung zu schützen und die Sicherheit und Zuverlässigkeit gewährleisten zu können, werden Maschinen- und Anlagenbauer sowie -Inverkehrbringer angehalten, dass die Steuerungen dem CRA konform sind.
Gültig abIm EU-Amtsblatt am 29.06.2023 veröffentlicht. Am 19.07.2023 in Kraft getreten. Erhält ab 20.01.2027 nach dem Übergangszeitraum ihre alleinige Gültigkeit.18.10.2024 – bis dahin muss Österreich die EU-Richtlinie in nationales Gesetz überführen.Entwurfsphase. Ausdrücklich Spekulation, ohne Gewähr: Wahrscheinlich ab April 2024. Es wäre in Anbetracht von MVO nicht verwunderlich, wenn die Übergangsfrist ebenso Anfang 2027 endet.
Die Auswirkungen der Gesetzesänderungen – was müssen Sie beachten?


Wen betrifft die NIS 2?
Wer unter die NIS 2 fällt, hängt von der Branche und der Unternehmensgröße bzw. -umsatz ab! Die Nichteinhaltung zieht jedenfalls hohe Strafen nach sich!

Für Verstöße gegen Artikel 21 oder 23 (Cyber Security Maßnahmen und Meldungen) liegen die Sanktionen für wichtige Einrichtungen bei 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes und bei wesentlichen Einrichtungen bei 10 Mio. EUR oder 2 % des weltweiten Umsatzes.

Natürliche Personen (leitende Angestellte) können für Pflichtverletzung haftbar gemacht werden.

Weiter zum Unternehmensprofil
teilen