Kontakt
+49 611 7103-0 info@eckelmann.de
20.05.2025
Digitale Unternehmenswerte schützen: CRA – EU-weite Stärke durch Cyberprophylaxe

Es gibt viele Wege, mit denen sich Hacker Zugriff zur Unternehmens-IT verschaffen – und damit die virtuellen Tore für Sabotage, Datendiebstahl und Wirtschaftsspionage aufstoßen. Cyberrisiken durch generative Künstliche Intelligenz sind längst Alltagsbedrohung. Grund genug für die Eckelmann Group, gezielte Cybersicherheitsmaßnahmen in ihr Risikomanagement aufzunehmen. Für Stefan Becker, Leiter Business Unit Automation Project
Produktion I Logistik I Digitale Lösungen und Mitglied der Geschäftsleitung bei Eckelmann ist der Cyber Resilience Act (CRA) der Europäischen Union ein wichtiger Schritt in Richtung Sicherheit.

Herr Becker, wie schätzen Sie die Notwendigkeit des Cyber Resilience Act, kurz CRA, ein?

Die CRA gibt jedem Orientierung, der in unserer vernetzten Welt seine digitalen Vermögenswerte schützen will. Ich halte den Cyber Resilience Act für eine wegweisende Initiative, die einerseits die zentrale Notwendigkeit von Cybersicherheit und Compliance vorgibt, andererseits EU-weit Stärke durch Cyberprophylaxe ermöglicht.

Wie gestaltet Eckelmann eine nachhaltig vernetzte Welt?

Bei Eckelmann arbeiten und forschen 200 Ingenieure, Informatiker und Naturwissenschaftler an der Gestaltung einer nachhaltigen und vernetzten Welt! Digitale Daten sind unser Arbeitsmittel. Eckelmann ist Full-Service-Provider für industrielle Automatisierung und Digitalisierung. Als Spezialist für Anforderungen von Maschinenherstellern und Systemintegratoren schafft Eckelmann in vertrauenswürdiger Partnerschaft exquisite und exklusive Lösungen, bei deren Einzigartigkeit die Intellectual Property (IP) des Kunden geschützt ist.

Darüber hinaus gilt es, nachhaltig Kundendaten zu sichern. Deshalb bieten wir parallel zu unseren Lösungen Serviceleistungen zur Einhaltung des Cyber Resilience Act. Die jüngst im Amtsblatt der EU veröffentlichte Verordnung enthält Vorgaben an die Cybersicherheit von Produkten mit digitalen Elementen. Jetzt haben betroffene Unternehmen 36 Monate Zeit, die im CRA enthaltenen Anforderungen umzusetzen. Bestimmte Meldepflichten müssen bereits in den kommenden 21 Monaten erfüllt werden.

Was ist der CRA – und was bedeutet er auch für die Entwicklung bei Eckelmann?

Der CRA ist eine Verordnung, die durch die Europäische Union erlassen wurde. Aufgrund der Tatsache, dass der CRA eine Verordnung ist, muss dieser nicht mittels Umsetzungsgesetzen in nationales Recht überführt werden.

Da wir bei Eckelmann langfristige Projekte haben, ist es für uns von großer Bedeutung, die Anforderungen bereits heute zu kennen, zu bewerten und unsere Produkte entsprechend zu entwickeln.

Der CRA tritt in zwei Stufen in Kraft, zunächst tritt Artikel 14 Meldepflicht in Kraft. Später folgt die gesamte Verordnung.

Was bedeutet die zum 11. September 2026 in Kraft tretende Meldepflicht?

Eine ausgenutzte Schwachstelle muss vom Hersteller binnen 24 Stunden nach Bekanntwerden über die Plattform der ENISA (European Union Agency for Cybersecurity) gemeldet werden. Dies betrifft alle Produkte mit digitalen Elementen, die im Feld aktiv sind, – unabhängig davon, wann diese Produkte entwickelt wurden.

Was bedeutet die allgemeine Anwendung des CRA zum 11. Dezember 2027?

Ab dem 11. Dezember 2027 müssen alle Produkte, die unter den CRA fallen, diesen vollumfänglich einhalten. Nur wenn diese Produkte die grundlegenden Anforderungen des CRA erfüllen, dürfen sie mit einer CE-Kennzeichnung versehen und in der europäischen Union in Verkehr gebracht werden.

Dies betrifft auch Produkte, die bereits heute in der Entwicklung sind und erst nach dem 11. Dezember 2027 in Verkehr gebracht werden.

Können Sie uns ein Beispiel aus der Praxis geben, die zeigt, wie notwendig die Verbindlichkeit der CRA ist?

Der Angriff auf industrielle Anlagen ist für uns nicht nur Fiktion. Tatsächlich betreuen wir Kunden, deren komplette IT-Infrastruktur von außen angegriffen wurde. In einem konkreten Fall gelang es unserem Service, ungeachtet einer komplett korrumpierten Infrastruktur die Produktion aufrecht zu erhalten. Unsere Anlagensteuerungen waren ausreichend geschützt und gut vom Rest der Netzwerke abgekoppelt. So konnten wir die Produktion unsere Kunden weiterhin mit Aufträgen versorgen – und einen erheblichen wirtschaftlichen Schaden abwenden.

Wie unterscheidet sich der CRA vom Network and Information Security Guideline, kurz NIS2?

Während der CRA die Sicherheit digitaler Elemente fokussiert, zielt die NIS2-Richtlinie auf die Sicherheit kritischer Infrastrukturen und besonders wichtigen Einrichtungen ab. Eckelmann fällt auch unter die NIS2 Richtlinie.

Sie definiert Anforderungen, um die unternehmenseigene IT abzusichern. Unternehmen, die Produkte mit digitalen Elementen erwerben, können sich ab dem Dezember 2027 auf die CE-Erklärung der Hersteller bzgl. die Cybersicherheit der Produkte berufen.

Auf welche Hard- oder Softwareprodukte bezieht sich der CRA?

Der CRA ist eine wirtschaftsübergreifende Verordnung. Im Fokus steht die gesamte Lieferkette – alle Produkte mit digitalen Elementen, die kommunizieren können. Vom Mobiltelefon über Smart Home-Kühlschranke bis zu den industriellen Komponenten, die wir produzieren. Dazu zählen beispielsweise Industriesteuerungen, fernwartbare Maschinen, Leitsysteme, im Grunde genommen alles, was unsere Kundenlösungen beinhalten.

Unsere Spezialisten übernehmen die Risikoanalyse und sind jederzeit über Gesetzesänderungen auf EU-Ebene informiert. In dem Bestreben, unseren Kunden einen Teil der anfallenden Arbeiten im Kontext des CRA abzunehmen.

Ist das Risikomanagement ein neues Thema für Eckelmann?

Nein, das Risikomanagement ist essenzieller Bestandteil unserer Firmenkultur. Wir haben ein Risikomanagement etabliert, das sich mit den Risiken und Chancen sowohl der Unternehmensgruppe als auch der einzelnen Projekte und Produkte beschäftigt. Dies wurde uns bereits durch verschiedene Stakeholder bescheinigt.

Wie sieht das in der Praxis aus?

Im Schulterschluss mit den Spezialisten auf Kundenseite betrachten wir die vorhandene Cyber Resilience Strategie, um gegebenenfalls gezielt nachzujustieren, Schwachstellen im Netz zu ermitteln und zu schließen. Aufgrund der resultierenden Risikobewertung konzipieren und entwickeln wir Cybersicherheitsfunktionen für den gesamten Produktlebenszyklus.

Dieses Schwachstellenmanagement setzen wir bei Eckelmann besonders hoch an. So können wir vertragsabhängig mit Sicherheitsaktualisierungen idealen Schutz zwischen Hersteller und gewerblichem Nutzer gewährleisten.

Selbstverständlich ist die Ergänzung durch automatisierte und digitale Dokumentation: Denn der CRA fordert die Identifikation und Dokumentation von Schwachstellen bei Produkten und Komponenten.

Kälte- & Gebäudeleittechnik Newsletter abonnieren
WordPress Double Opt-in by Forge12