CRA, NIS 2 und MVO: Was kommt auf Maschi\u00adnen\u00adher\u00adsteller und \u2011betreiber zu?<\/h2>\n\n\n\nSimon, wie stellt sich das Thema Cyber\u00adse\u00adcu\u00adrity im Feld dar, wenn Du mit Kunden sprichst?<\/h5>\n\n\n\n
Simon Nutz: <\/strong>Die meisten wissen, dass sie handeln m\u00fcssen, aber viele sind unsi\u00adcher, was konkret gefor\u00addert ist. Wir leisten viel Aufkl\u00e4\u00adrungs\u00adar\u00adbeit und erkl\u00e4ren den Kunden, was auf sie zukommt: Was muss umge\u00adsetzt werden? Was betrifft das Unter\u00adnehmen wirk\u00adlich? Wir starten mit den Basics: Was soll gesch\u00fctzt werden? Was passiert, wenn eine Anlage oder gene\u00adrell die OT ange\u00adgriffen wird? Darauf bauen wir passende Schutz\u00adkon\u00adzepte auf.<\/p>\n\n\n\n Kuczera: <\/strong>Eigent\u00adlich haben Unter\u00adnehmen ein Eigen\u00adin\u00adter\u00adesse, sich vor Cyber\u00adat\u00adta\u00adcken zu sch\u00fctzen. Die Vorgaben der EU sollen ledig\u00adlich sicher\u00adstellen, dass sich alle Unter\u00adnehmen entspre\u00adchend vorbe\u00adreiten.<\/p>\n\n\n\n Der CRA betrifft alle Produkte mit digi\u00adtalen Elementen. Ab Dezember 2027 m\u00fcssen diese ein defi\u00adniertes Sicher\u00adheits\u00adni\u00adveau erf\u00fcllen. Wer neue Maschinen oder IT-Infra\u00adstruktur anschafft, muss CRA-konform handeln. Hersteller, die selbst Produkte auf den Markt bringen, m\u00fcssen entspre\u00adchende Prozesse einhalten. Wir bei Pilz haben beispiels\u00adweise einen nach der IEC 62443\u20134\u20111 zerti\u00adfi\u00adzierten Entwick\u00adlungs\u00adpro\u00adzess und stellen damit die Anfor\u00adde\u00adrungen an den Lebens\u00adzy\u00adklus f\u00fcr eine sichere Produkt\u00adent\u00adwick\u00adlung sicher.<\/p>\n\n\n\n Nutz: <\/strong>Wer sich an der IEC 62443 orien\u00adtiert, macht schon viel richtig. Auch wenn noch nicht alle Normen voll\u00adst\u00e4ndig vorliegen, ist sie eine solide Grund\u00adlage.<\/p>\n\n\n\n Nutz: <\/strong>Bei NIS 2 geht es um die M\u00f6glich\u00adkeit, sich als Unter\u00adnehmen auf ein Cyber\u00adbe\u00addro\u00adhungs\u00adsze\u00adnario vorzu\u00adbe\u00adreiten. Die NIS-2-Richt\u00adlinie gilt f\u00fcr Unter\u00adnehmen mit mehr als 50 Mitar\u00adbei\u00adtenden oder \u00fcber 10 Millionen Euro Jahres\u00adum\u00adsatz. Diese Unter\u00adnehmen m\u00fcssen Risiken erkennen und entspre\u00adchende Ma\u00dfnahmen einleiten: Risi\u00adko\u00adma\u00adnage\u00adment, Backup-Manage\u00adment und Schwach\u00adstel\u00adlen\u00adma\u00adnage\u00adment. Bei einem Angriff besteht k\u00fcnftig Melde\u00adpflicht. So k\u00f6nnen andere Unter\u00adnehmen schnell pr\u00fcfen, ob sie eben\u00adfalls betroffen sind.<\/p>\n\n\n\n \u201eOhne Security keine Safety \u2013 das ist die Kern\u00adaus\u00adsage der Maschi\u00adnen\u00adver\u00adord\u00adnung. Jede Sicher\u00adheits\u00adfunk\u00adtion kann kompro\u00admit\u00adtiert werden und muss gesch\u00fctzt werden.\u201c<\/p>\nMatthias Kuczera, Stan\u00addards Group bei Pilz<\/cite><\/blockquote>\n<\/div>\n\n\n\n Kuczera<\/strong>: Ein Infor\u00adma\u00adti\u00adons\u00adsi\u00adcher\u00adheits\u00adma\u00adnage\u00adment\u00adsystem nach ISO 27001 ist ein eleganter Weg, die Anfor\u00adde\u00adrungen zu erf\u00fcllen. Alter\u00adnativ gibt es Infor\u00adma\u00adti\u00adons\u00adsi\u00adcher\u00adheits\u00adma\u00adnage\u00adment\u00adsys\u00adteme wie TISAX (Trusted Infor\u00adma\u00adtion Security Assess\u00adment Exch\u00adange). Jedes Unter\u00adnehmen muss entscheiden, ob es diesen Weg geht oder andere Ma\u00dfnahmen ergreift.<\/p>\n\n\n\n Kuczera: <\/strong>Ohne Security keine Safety \u2013 das ist die Kern\u00adaus\u00adsage der Maschi\u00adnen\u00adver\u00adord\u00adnung. Es muss jetzt gepr\u00fcft werden, ob eine Sicher\u00adheits\u00adfunk\u00adtion kompro\u00admit\u00adtiert werden kann und daher entspre\u00adchend gesch\u00fctzt werden muss. Auch wenn die MVO erst 2027 greift, ist eine Umset\u00adzung schon jetzt sinn\u00advoll. Security-L\u00fccken exis\u00adtieren real in der Maschine, also in der OT. Ich muss wissen, was meine Maschine macht und was der Worst Case ist, wenn jemand Unbe\u00adfugtes sie kontrol\u00adliert. Sind die Daten vertrau\u00adlich? Ist die Verf\u00fcg\u00adbar\u00adkeit entschei\u00addend? Danach analy\u00adsiere ich, wie ein Angreifer vorgehen k\u00f6nnte und sichere die Steue\u00adrung ab. Denn diese kontrol\u00adliert die Anlage und darf nicht unge\u00adsch\u00fctzt im Internet expo\u00adniert werden. Auch Fehl\u00adan\u00adwen\u00addungen durch Bedien\u00adfehler m\u00fcssen ber\u00fcck\u00adsich\u00adtigt werden. Wichtig ist die enge Kommu\u00adni\u00adka\u00adtion zwischen Hersteller und Betreiber. Nur der Betreiber kennt das konkrete Risiko in seiner Anwen\u00addung.<\/p>\n\n\n\nWie bereiten sich Maschi\u00adnen\u00adher\u00adsteller unter den aktu\u00adellen Rahmen\u00adbe\u00addin\u00adgungen best\u00adm\u00f6g\u00adlich vor?<\/h5>\n\n\n\n
Was fordert die NIS-2-Richt\u00adlinie?<\/h5>\n\n\n\n
![](\"https:\/\/pilz-magazine.com\/de\/wp-content\/uploads\/sites\/23\/2025\/11\/Pilz-Manuel-Kuczera-Portrait-1-300x288.jpg\")
<\/figure>\n\n\n\n\n
Sicher\u00adheit beginnt in der Maschine<\/h2>\n\n\n\n
Die neue Maschi\u00adnen\u00adver\u00adord\u00adnung gibt vor, dass nun auch Security-Aspekte bei der Beur\u00adtei\u00adlung der Maschi\u00adnen\u00adsi\u00adcher\u00adheit betrachtet werden m\u00fcssen. Wie geht ein Maschi\u00adnen\u00adher\u00adsteller oder \u2011betreiber dabei am besten vor?<\/h5>\n\n\n\n
Pilz Podcast #43 || OT-Security kommt \u2013 aber wie gehe ich damit um?<\/h4>\n\n\n\n