Anlässlich des Kick-Off zum Nationalen Koordinierungszentrum für Cyber Sicherheit haben wir in drei spannenden Vorträgen und einer Podiumsdiskussion den Cyber-Resilience Act in den Fokus genommen.
Am 20. November hoben Bundeskanzleramt und FFG das Nationale Koordinierungszentrum für Cyber-Sicherheit aus der Taufe. Im Zuge des Auftaktes zu dieser Eröffnungsfeier wurde auch die Plattform eingeladen eine Session zu organisieren. Dabei fiel die Wahl auf den Cyber-Resilience Act.
Der Cyber-Resilience Act (CRA) ist ein Regularium der EU, das die Erhöhung der Cyber Sicherheit aller (teil-)digitalen Produkte, von der Zahnbürste bis zu Industriemaschinen, zum Ziel hat und das sich aktuell noch in Begutachtung befindet. Wann der Akt beschlossen wird ist unklar, jedoch ist die Verantwortung, die damit auf die Unternehmen zukommt umfangreich und die Frist für die Umsetzung knapp bemessen.
Christoph Schmittner, Wissenschaftler am AIT und Spezialist für Fragen rund um Safety & Cyber Security im Industrie-/Automotive-Bereich verschaffte uns daher einen Überblick über die zu erwartenden Aufgaben. Wichtig ist in diesem Zusammenhang zu erwähnen, dass je nach Risikoklasse des Produktes auch eine Selbstdeklaration ausreichend sein kann – oder eben nicht, wobei für Produkte der höchsten Risikoklasse, dazu zählen beispielsweise Prozessoren oder Betriebssysteme, nur die Zertifizierung durch Dritte in Frage kommen wird.
Als voraussichtlich effizientesten Weg zur Umsetzung von Anforderungen aus dem CRA stellte Thomas Bleier, Gründer und GF von B-Sec in seinem Vortrag harmonisierte Europäische Normen vor. Als wesentliche Grundlage gilt in diesem Zusammenhang die IEC 62443, der Basisstandard für IT-Sicherheit in Industrieunternehmen und obwohl kleinere Änderungen noch möglich sind, sollten Unternehmen so schnell wie möglich anfangen, diese Vorgaben in ihren Entwicklungsprozessen zu berücksichtigen.
Im letzten Vortrag vor der Pause warf Roman Tobler von EY Österreich noch einen kritischen Blick auf den Cyber-Resilience Act. Während die Notwendigkeit von Sicherheitsstandards von allen Experten unterstrichen wurde, sollten die Auswirkungen des Acts jenseits technischer Aspekte, etwa in Bezug auf Lieferketten, Innovationskraft, Einführungsfristen, Auswirkungen auf die Produktion oder die Open Source Community, welche auch in der Industrie eine gewichtige Rolle spielt, nicht unterschätzt werden.
Mögliche Veränderungen im Umgang mit Open Source Elementen spielten auch in der abschließenden Podiums-Diskussion – die Runde der Vortragenden wurde durch Clemens Mann (Andritz) und Robert Kolmhofer (FH Hagenberg, Moderation) erweitert – eine wichtige Rolle, stellt sich doch die Frage, wie die Einhaltung von Standards und damit die Minimierung von Haftungsrisiken in diesem Feld überprüft werden könnten.
Einig waren sich die Experten am Ende dabei, dass alle Unternehmen gut beraten sind, sich so bald wie möglich mit dem Cyber-Resilience Act auseinanderzusetzen. Die Herausforderungen sind nämlich so groß, wie sie scheinen und am Ende werden diejenigen die – möglicherweise entscheidenden – Vorteile haben, die früh mit der Implementierung der nötigen Sicherheitsvorkehrungen begonnen haben.
Präsentation Thomas Bleier (B-SEC)
Präsentation Christoph Schmittner (AIT)
Präsentation Roman Tobler (EY)