1. Home

  2. Über Festo

  3. Blog

  4. Innovation

  5. Cybersecurity

Wie Unternehmen Risiken minimieren und die Anforderungen des EU Cyber Resilience Acts (CRA) erfüllen

Cybersicherheit in der Automatisierung ist heute kein Nice-to-have mehr – sie ist Pflicht. Mit dem Fortschritt von Industrie 4.0 steigen die Gefahren für vernetzte Systeme. Parallel verschärft sich der regulatorische Rahmen. Dieser Artikel zeigt, wie Festo auf Cybersicherheit und Produktsicherheit setzt, welche Rolle die EU-Verordnung Cyber Resilience Act spielt und wie sich Unternehmen jetzt vorbereiten können.

OT-Sicherheit: Warum sie für industrielle Netzwerke entscheidend ist

Operational Technology (OT) umfasst die Steuerung von physischen Prozessen in Bereichen wie Produktion, Energie oder Infrastruktur. Ein erfolgreicher Cyberangriff kann diese Prozesse lahmlegen, zu hohen Sicherheits- und Kostenrisiken führen und zum Verlust von sensiblen Daten führen. Deshalb ist Produktsicherheit ein Kernbestandteil jeder OT-Sicherheitsstrategie. Besonders bei Altanlagen, hybriden IT/OT-Architekturen und Echtzeit-Anforderungen sind angepasste Schutzkonzepte unverzichtbar.

Vorgaben und Richtlinien

Wichtige Anforderungen und Standards für OT-Sicherheit:

  • Cyber Resilience Act (CRA): EU-weite Sicherheitsverordnung für vernetzte Produkte mit digitalen Elementen.
  • EU-Maschinenverordnung (EU) 2023/1230: Ab 20.01.2027 müssen Maschinen gegen Korrumpierung geschützt sein.
  • EU NIS2-Richtlinie (EU) 2022/2555: Gilt ab 18.10.2024 für kritische Einrichtungen.
  • IEC 62443: Internationaler Standard für industrielle Cybersicherheit.
  • ISA/IEC 61511: Für Systeme zur funktionalen Sicherheit.
  • SBOMs (Software Bill of Materials): Auflistung aller Softwarekomponenten und deren Abhängigkeiten mit dem Ziel Transparenz und Produktsicherheit
  • NIST SP 800-82: US-Leitlinie für OT-Sicherheitsarchitekturen und Reaktion auf Angriffe.

Was sind Industrial Control Systems (ICS) und warum sind sie relevant?

ICS steuern und überwachen Produktionsprozesse und Infrastruktur. Dazu gehören SCADA-Systeme, DCS, SPS und HMIs. Diese Systeme sind essenziell für sichere Betriebsabläufe und zunehmend Zielscheibe von Cyberangriffen. Die EU-Verordnung CRA unterstreicht die Notwendigkeit, ICS sicher zu gestalten – vom Design über die Integration bis zur Wartung. Festo unterstützt hier mit zuverlässigen Lösungen, die die relevanten Vorschriften erfüllen.

Was bedeutet der Cyber Resilience Act der Europäischen Union konkret?

Der Cyber Resilience Act verpflichtet Hersteller, Importeure und Händler dazu, digitale Produkte „sicher zu designen, sicher zu konfigurieren und sicher zu halten“. Die Kernelemente:

  • Risikobewertungen vor Bereitstellung auf dem Markt
  • Sicherheitsupdates und Schwachstellenmanagement während des gesamten Produktlebenszyklus
  • CE-Kennzeichnung als Nachweis der Konformität
  • Pflicht zur Meldung von Sicherheitsvorfällen an ENISA ab dem 11.09.2026

Die Vollständige Einhaltung ist ab dem 11.12.2027 verbindlich. Verstöße können mit bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes geahndet werden.

Meh zum CRA
Herr Eberhard Klotz, Sales Director Industry 4.0 bei Festo

“Die neue Verordnung schreibt regelmäßige Sicherheitsupdates vor und stärkt die Transparenz bei Cybersicherheitsrisiken.
Dadurch bleiben Produkte über ihren gesamten Lebenszyklus hinweg optimal geschützt. “

Eberhard Klotz, Sales Director Industry 4.0, and Digitalization

Wie unterstützt Festo?

Ob SPS, Ventilinseln, Engineering-Tools oder KI-basierte Analysetools: Digitale Produkte von Festo unterliegen dem CRA. Um unsere Kundinnen und Kunden zu unterstützen, stellt Festo ein Open-Source-Tool zur Erstellung und Prüfung von CycloneDX-SBOMs bereit. Mithilfe der SBOM können Softwarekomponenten transparent dokumentiert und Schwachstellen erkannt werden.

Festo ist nach IEC 62443-4-1 für sichere Entwicklung zertifiziert (TÜV Süd) und arbeitet mit TARA-Analysen zur Risikobewertung. Bis Ende 2027 sind unsere Lösungen CRA-konform einsatzbereit.

Zum SBOM-Tool auf GitHub

Was müssen OEMs, Integratoren und Betreiber wissen?

Der CRA betrifft alle Rollen in der Automatisierung:

  • OEMs: Müssen die Konformität ihrer Maschinen nachweisen.
  • Integratoren: Haften für die sichere Auswahl von Komponenten.
  • Betreiber: Brauchen Klarheit über Updates und Lifecycle-Sicherheit.
  • Einkauf: Muss Lieferanten kompetent bewerten.

Unsicherheit besteht häufig bei Zertifizierungspfaden und Lebenszyklen. Festo bietet hier Transparenz, Dokumentation und Beratung. Sicherheitslücken können per Mail direkt dem PSIRT-Portal von Festo gemeldet werden (psirt@festo.com).

Ihr CRA-Compliance-Check

☑ Auswirkungen des CRA für Produkte und Beschaffung verstehen

☑ CRA-Bereitschaft von Lieferanten jetzt prüfen

☑ Festo-Sicherheitsdokumente in Planungen einbeziehen

☑ Auf IEC 62443 und CRA-Anforderungen abstimmen

☑ Auf Festo als Sicherheitspartner setzen

Cybersicherheit als Teil des Lifelong Learnings

Wie funktioniert der CRA? Welche Technologien sind betroffen? In kurzen Videos auf Festo LX zeigen wir, was Entscheider wissen müssen:

  • „Cyber Resilience Act in 5 Minuten erklärt“
  • „Big Data, Cloud & Cybersecurity – kompakt.”
Videos in Festo LX