Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzererfahrung zu bieten. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen wie die Wiedererkennung auf Ihrer Website aus und helfen unserem Team dabei, zu verstehen, welche Bereiche der Website für Sie am interessantesten und nützlichsten sind. Sie können alle Ihre Cookie-Einstellungen anpassen.
Unsere Dienstleistung für Sie
AMC bietet Ihnen für Ihre individuellen und spezifischen Anforderungen ein umfangreiches und attraktives Dienstleistungsangebot an. Dabei stehen wir Ihnen zur Realisierung Ihrer speziellen Projekte von der Aufgabenstellung bis zur Inbetriebnahme mit unserem Knowhow und Engagement hilfreich zur Seite.
Wir übernehmen für Sie die komplette Bearbeitung von Projekten zur Lösung Ihrer Aufgaben oder sind Ihnen bei der Bearbeitung von Teilaufgaben behilflich.
Hier sind wir zu Hause
Immer wieder über den Tellerrand zu blicken - das hat uns für viele Jahre begleitet und wachsen lassen: Maschinen- und Anlagenbau, Fabrikautomation, Automobilindustrie, Energie und Umwelt sowie Transportation stehen für uns im Hauptfokus unserer Produkte und Lösungen.
Immer auf den neuesten Stand
Der Fortschritt der Digitalisierung und Automatisierung geht stetig voran. Hier erfahren Sie aktuelle News und Trends um die verschiedensten Technologien unserer Produkt- und Lösungsbereiche und auch Ankündigungen zu neuen Produkten
Digitalisierung & Automatisierung - AMC als Ihr Partner für den Erfolg von morgen!
Wir, die AMC – Analytik & Messtechnik GmbH Chemnitz blicken mit Stolz auf unsere Erfolgsgeschichte zurück, die uns zu dem gemacht hat, was wir heute sind und wofür wir heute leben. Seit 1990 haben Ingenieure und Techniker von AMC moderne Produkte und innovative Lösungen auf dem Gebiet der Mess-, Prüf- und Automatisierungstechnik geliefert bzw. realisiert.
Hier erreichen Sie uns
Unsere Produkte und Lösungen sind von Interesse und könnten für Ihre nächsten Aufgaben und Projekte verwendet passen? Dann zögern Sie nicht, mit uns Kontakt aufzunehmen. Die erfahrenenen Mitarbeiter von AMC stehen Ihnen gern zur Verfügung.
Cybersicherheit für industrielle Netzwerke und Systeme – Wofür stehen NIS2, CRA, Data Act und IEC 62443?
Ob in der Fertigung, Energieversorgung oder Transport – ohne wirksame Schutzmechanismen riskieren Unternehmen Produktionsausfälle, Datenverlust und Compliance-Verstöße. In der EU sind neue Cybersicherheitsrichtlinien verabschiedet worden, die schrittweise umzusetzen sind. Diese betreffen nicht nur Organisationen und staatliche Einrichtungen sondern auch viele Unternehmen die in bzw. mit der EU Geschäfte machen.
Somit liegt die Verantwortung für sichere Infrastruktur nicht allein bei Regierungen, Behörden, Betreibern sondern auch bei allen Zulieferern, Dienstleistern, Maschinen- und Anlagenbauern, Entwicklern, die beim Aufbau und dem Betrieb von Anlagen und Systemen mitwirken oder Komponenten für diese Systeme herstellen und liefern.
Aktuell sind dazu viele neue Begrifflichkeiten, Abkürzungen, Informationen in Artikeln, Webinaren zu lesen und zu hören. Mit diesem Beitrag möchten wir als AMC versuchen, diese in einfacher und übersichtlicher Form Ihnen zusammenzufassen, um auch damit verbundene Missverständnisse und Unklarheiten zu beseitigen und um für die Umsetzung dieser Richtlinien nötige Schritte und Aufgaben aufzuzeigen.
NIS 2 Richtlinie zum Schutz kritischer Infrastrukturen
Die Netz- und Informationssicherheitsrichtlinie (NIS2) ist die neue EU-Cybersicherheitsrichtlinie, die Organisationen grundlegende Sicherheitsmaßnahmen zur Minderung des Cyberangriffsrisikos und zur Verbesserung des Cybersicherheitsniveaus in der EU (oder Unternehmen, die mit der EU Geschäfte machen) abverlangt.
Die NIS 2 ist eine verbesserte Version der NIS-Richtlinie von 2016, die bereits ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union gewährleisten sollte, aber einige Schwachstellen aufwies.
Die wichtigsten Unterschiede zwischen NIS 1 und NIS 2 sind:
- Die neue Version bezieht mehr Sektoren und Unternehmen ein, die für die Gesellschaft und die Wirtschaft unverzichtbar sind, wie z. B. Energie, Gesundheitswesen, Verkehr und digitale Infrastruktur.
- Die NIS 2 fordert die betroffenen Unternehmen und Organisationen auf, ein effektives Risikomanagement zu betreiben und ernste oder signifikante Cyber-Zwischenfälle an die zuständigen nationalen Stellen zu melden, die dann die erforderlichen Maßnahmen ergreifen können. Die NIS 1 gab nur allgemeine Vorgaben für die Sicherheitsmaßnahmen und die Meldung von Vorfällen. • Die neue Security-Richtlinie sieht strengere Sanktionen für die Mitgliedstaaten vor, die bis zu 20 Mio. Euro oder vier Prozent des globalen Umsatzes betragen können, wenn die betroffenen Unternehmen und Organisationen die erforderlichen Sicherheitsmaßnahmen nicht umsetzen oder ernste oder signifikante Cyber-Zwischenfälle nicht an die zuständigen nationalen Stellen berichten. Die NIS 1 überließ die Festlegung der Sanktionen den Mitgliedstaaten, was zu einer uneinheitlichen Anwendung führte.
- Die NIS 2 unterstreicht die persönliche Verantwortung des Managements für die Cyber-Sicherheit und legt fest, dass Geschäftsführer erstmals mit ihrem Privatvermögen haften, wenn sie die gesetzlichen Vorschriften nicht einhalten.
Wer ist von NIS-2 betroffen?
Der 17. Oktober 2024 – das ist der Tag, an dem alle 27 EU-Mitgliedstaaten die NIS-2-Cyber-Sicherheitsvorschriften nahtlos in ihre nationalen Gesetze übernommen haben müssen. Doch die drängende Frage bleibt: Welche Unternehmen sind verpflichtet die NIS-2-Richtlinie umzusetzen?
- Wesentliche Einrichtungen: Dies sind die Organisationen, die im Bereich der kritischen Infrastrukturen tätig sind. Dazu gehören z. B. Energie, Transport, Wasserwirtschaft, Gesundheitswesen oder Banken.
- Wichtige Einrichtungen: Zu dieser Kategorie gehören die führenden Unternehmen der Lebensmittel- und Chemieindustrie sowie diejenigen, die für die Herstellung von elektrischen Geräten, Maschinen und Fahrzeugen verantwortlich sind.
- Außerdem haben die Mitgliedstaaten selbst die Möglichkeit, die betroffenen Zielgruppen der NIS 2 zu erweitern. Sie können zusätzliche Einrichtungen in ihre nationalen Listen aufnehmen und so lokale Behörden, Bildungseinrichtungen und mehr dazu verpflichten, die Richtlinien umzusetzen.
Was bedeutet NIS2 konkret für Sie?
Die NIS-2-Richtlinie ist eine EU-Richtlinie, die am 16. Januar 2023 in Kraft getreten ist und die Cyber-Sicherheit und -resilienz von kritischen Infrastrukturen und digitalen Dienstleistern verbessern soll. Die Richtlinie verpflichtet die betroffenen Unternehmen und Organisationen, sich an ein wirksames Risikomanagement zu halten und ernste oder signifikante Cyber-Zwischenfälle an die zuständigen nationalen Stellen zu berichten, die dann die notwendigen Maßnahmen ergreifen können. Um die potenziellen Schäden für die Nutzenden, die Umwelt und die öffentliche Ordnung zu minimieren, ist es dabei Ziel, Sicherheitslücken frühzeitig zu erkennen und präventiv dagegen vorzugehen. Um sicherzustellen, dass alle Beteiligten die gleichen hohen Standards einhalten, sind die Unternehmen außerdem dafür verantwortlich, die Sicherheit der gesamten Lieferkette zu gewährleisten und die Anforderungen an ihre Geschäftspartner und Lieferanten weiterzuleiten.
Zu den weiteren Maßnahmen gehören u. a.:
- Die Implementierung von angemessenen und verhältnismäßigen Sicherheitsmaßnahmen, die den aktuellen Standards und bewährten Praktiken entsprechen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität ihrer Daten und Dienste zu gewährleisten.
- Die Erstellung und Aktualisierung eines Business-Continuity-Plans, der die Wiederherstellung der normalen Betriebsbedingungen nach einem Cyber-Zwischenfall ermöglicht.
- Um unbefugten Zugriff zu verhindern, Einführung einer Multi-Faktor-Authentifizierung für den Zugriff auf ihre Netzwerke und Informationssysteme.
Cyber Resilience Act (CRA): Sicherheit von vernetzten Produkten
Der Cyber Resilience Act (CRA) ist eine neue Verordnung, die sich auf die Cybersicherheit von Produkten mit digitalen Elementen konzentriert. Sein Anwendungsbereich erstreckt sich auf alle vernetzten Geräte und Software, einschließlich des Internets der Dinge (Internet of Things, IoT) sowie Hardware- und Softwareprodukte. Ziel der CRA ist es, Cybersicherheitsanforderungen für Produkte einzuführen, die Hersteller zur Berücksichtigung der Sicherheit während des gesamten Produktlebenszyklus zu verpflichten und einen einheitlichen Rechtsrahmen für die Cybersicherheit von Produkten in der EU zu schaffen
Mit dem CRA wird ein Konformitätsbewertungssystem eingeführt, das die bestehenden Regelungen zur CE-Kennzeichnung erweitert, u. a. um die Möglichkeit einer Zertifizierung nach dem Cybersecurity Act. In diesem Zusammenhang sieht Artikel 27 vor, dass bei Produkten, für die eine EU-Konformitätserklärung oder ein Zertifikat im Rahmen eines europäischen Cybersicherheits-Zertifizierungssystems ausgestellt wurde, davon ausgegangen wird, dass sie die grundlegenden Anforderungen des CRA erfüllen, soweit die Erklärung bzw. das Zertifikat diese Anforderungen abdeckt.
Darüber hinaus wird die Kommission in Artikel 8 ermächtigt, delegierte Rechtsakte zu erlassen, um festzulegen, welche kritischen Produkte mit digitalen Elementen ein Europäisches Cybersicherheitszertifikat nach dem Cybersecurity Act mit mindestens der Vertrauenswürdigkeitsstufe „substanziell“ erhalten müssen.
Data Act: Ein Überblick über die EU-Datenverordnung
Mit dem Data Act (EU-Datenverordnung) führt die Europäische Union klare Regeln für den Umgang mit Daten ein. Ab September 2025 erhalten Nutzer vernetzter Produkte wie IoT-Geräten oder Maschinen mehr Kontrolle über die von ihnen generierten Daten. Unternehmen werden verpflichtet, diese Daten zugänglich zu machen und mit anderen fair zu teilen. Ziel ist es, eine bessere Nutzung von Daten zu ermöglichen und neue Möglichkeiten für Innovation und Zusammenarbeit zu schaffen. Die Verordnung stellt aber auch klare Anforderungen für Hersteller und Dienstleister. Für Unternehmen ergeben sich technische Herausforderungen, aber auch Chancen für neue Geschäftsmodelle und Innovationen.
Anwendungsbereich des Data Acts
Der Data Act ist bewusst weit gefasst, um die verschiedenen Aspekte der modernen Datenwirtschaft abzudecken. Die Verordnung gilt für alle Unternehmen, die Produkte oder Dienstleistungen in der EU anbieten – unabhängig davon, wo ihr Hauptsitz liegt. Dazu gehören IoT-Geräte wie Smart-Home-Produkte, industrielle Maschinen und Fahrzeuge sowie Anbieter von Cloud- und Edge-Computing-Diensten. Auch öffentliche Stellen können unter bestimmten Bedingungen Zugang zu Daten erhalten, wenn diese für Aufgaben im öffentlichen Interesse benötigt werden. Zentrale Inhalte des Data Acts Der Data Act legt eine Reihe zentraler Regelungen fest, die das Zusammenspiel zwischen Herstellern, Nutzern und Datenempfängern neu definieren. Diese Anforderungen sind entscheidend, um eine gerechte Datenwirtschaft zu fördern und den Schutz sensibler Informationen zu gewährleisten.
- Rechte der Nutzer: Zugang zu ihren Daten
- Verpflichtungen der Unternehmen bei Datenweitergabe
- Regeln für den gesetzlich verpflichtenden Datenaustausch
- Förderung der Interoperabilität von Systemen
- Schutz vor unrechtmäßigen Zugriffen auf Daten
Data Act Implikationen für Produkthersteller
Der Data Act erfordert von Hersteller vernetzter Produkte klare Anpassungen, um die neuen Anforderungen zu erfüllen:
- Technische Anforderungen: Produkte müssen so gestaltet sein, dass Daten in maschinenlesbaren Formaten bereitgestellt werden können. Offene Schnittstellen zur Interoperabilität mit anderen Systemen sind Pflicht.
- Sicherheitsanforderungen: Der Zugang zu Daten darf nur verweigert werden, wenn die Weitergabe nachweislich Sicherheitsrisiken oder den Verlust von Betriebsgeheimnissen verursacht. Solche Fälle müssen dokumentiert und den Behörden gemeldet werden.
- Informationspflichten: Hersteller müssen Nutzer über Art, Umfang und Dauer der Datenerfassung transparent informieren, noch bevor ein Produkt verkauft wird.
- Chancen für neue Geschäftsmodelle: Die geforderte Datenweitergabe eröffnet Potenziale für zusätzliche Services wie datenbasierte Wartung oder Optimierung. Gleichzeitig können Hersteller sich durch innovative Datennutzung im Wettbewerb differenzieren. Der Data Act fordert technologische Anpassungen und stärkere Transparenz, bietet aber auch Möglichkeiten, durch datengetriebene Innovationen neue Märkte zu erschließen.
Der Data Act fordert technologische Anpassungen und stärkere Transparenz, bietet aber auch Möglichkeiten, durch datengetriebene Innovationen neue Märkte zu erschließen.
Data Act - Fazit und Ausblick
Der Data Act markiert einen Wendepunkt für den Umgang mit Daten in der EU. Mit klaren Regeln zu Zugang, Weitergabe und Interoperabilität schafft die Verordnung einen verbindlichen Rahmen, der die Rechte von Nutzern stärkt und zugleich Innovationen fördert. Für Unternehmen – insbesondere Maschinenbauer und IoT-Hersteller – bedeutet dies erhebliche technische und organisatorische Anpassungen, aber auch Chancen durch neue datenbasierte Geschäftsmodelle.
Die erfolgreiche Umsetzung wird davon abhängen, wie gut Unternehmen die neuen Anforderungen in ihre Produkte und Prozesse integrieren. Gleichzeitig werden weitere Leitlinien und Normen eine entscheidende Rolle spielen, um die praktische Anwendung des Data Acts zu erleichtern und die europäische Datenwirtschaft nachhaltig zu stärken.
IEC 62443 - Zertifizierung als Sicherheitsstandard in der Industrie
In einer zunehmend vernetzten Welt spielen industrielle Automatisierungs- und Steuerungssysteme eine zentrale Rolle. Mit zunehmender Digitalisierung und Vernetzung steigt jedoch auch die Anfälligkeit dieser Systeme für Cyber-Angriffe. Hier setzt die Zertifizierung nach IEC 62443 an – ein robustes Rahmenwerk zur Gewährleistung und Verbesserung der Cyber-Sicherheit in IACS. IEC 62443-Zertifizierungen bieten einen strukturierten und international anerkannten Ansatz, um die Sicherheit von industriellen Steuerungssystemen zu testen und zu bewerten.
Mit einer IEC 62443 Zertifizierung können Unternehmen nachweisen, dass ihre Produkte, Systeme oder Prozesse die strengen Sicherheitsanforderungen dieser Norm erfüllen.
Eine IEC 62443-Zertifizierung ist mehr als nur ein Qualitätssiegel – sie ist ein umfassender Prozess, der Unternehmen hilft, potenzielle Schwachstellen zu identifizieren und zu beheben. Von der Entwicklung sicherer Komponenten bis hin zur Integration komplexer Systeme deckt die IEC 62443-Zertifizierung alle Aspekte der industriellen Cybersicherheit ab.
Grundlagen und Bedeutung des IEC 62443 Standards
Der IEC 62443 Standard ist ein international anerkanntes Regelwerk, das sich umfassend mit der Cybersicherheit von Netzwerk- und Informationssystemen in der industriellen Automatisierungstechnik befasst. Die internationale Normenreihe IEC 62443 bezieht sich auf die Sicherheit von „Industrial Automation and Control Systems"(IACS), somit von Automatisierungs- und Steuerungssystemen. Entwickelt von der Internationalen Elektrotechnischen Kommission (IEC), zielt dieser Standard darauf ab, Unternehmen dabei zu unterstützen, ihre industriellen Steuerungssysteme vor den wachsenden Bedrohungen durch Cyberangriffe zu schützen. Besonders wichtig ist der Standard im Kontext der OT-Security und IT-Sicherheit, da er beide Bereiche integriert, um einen umfassenden Schutz zu gewährleisten.
Die Bedeutung des IEC 62443 Standards liegt in seiner strukturierten und ganzheitlichen Herangehensweise, die sowohl technische als auch organisatorische Maßnahmen umfasst, um eine robuste Sicherheitskultur zu fördern. Er adressiert nicht nur die Sicherheit einzelner Komponenten, sondern betont auch die Wichtigkeit eines ganzheitlichen Lebenszyklus-Ansatzes, der von der Planung über die Implementierung bis hin zur Wartung und kontinuierlichen Überwachung reicht. Dies ist besonders relevant in der Ära der Industrie 4.0, in der die zunehmende Digitalisierung und Vernetzung neue Risiken und Angriffsflächen für Cyberattacken schafft.
Durch die konsequente Implementierung von IEC 62443 können Unternehmen ihre Anlagen und Netzwerke effektiv gegen diese Bedrohungen absichern und so die Integrität, Verfügbarkeit und Vertraulichkeit ihrer Systeme gewährleisten.
Die Struktur des IEC 62443 Standards
Der IEC 62443 Standard ist modular aufgebaut und in vier Teile gegliedert, die unterschiedliche Aspekte der industriellen Cybersicherheit abdecken. Die Normenreihe umfasst
- Teil 1: allgemeine Konzepte
- Teil 2: Richtlinien und Verfahren für das Management der Cybersicherheit
- Teil 3: Sicherheitsanforderungen an Systeme
- Teil 4: Komponenten und sichere Produktentwicklung
IEC 62443-4-2: Technische Sicherheitsanforderungen
Im Gegensatz dazu befasst sich IEC 62443-4-2 mit den technischen Sicherheitsanforderungen für industrielle Automatisierungs- und Steuerungssysteme, insbesondere für einzelne Komponenten wie Industrie PCs, Router und Gateways und andere eingebettete Systeme. Dieser Teil des Standards definiert spezifische Richtlinien zur Implementierung von Sicherheitsfunktionen, die erforderlich sind, um Schutz gegen identifizierte Risiken zu gewährleisten. Hierbei werden konkrete technische Anforderungen an die Hardware und Software gestellt, um ein hohes Maß an Cybersicherheit zu gewährleisten.
Zusammenspiel von IEC 62443-4-1 und 62443-4-2
Während IEC 62443-4-1 den Prozess der Produktentwicklung absichert, stellt IEC 62443-4-2 sicher, dass die Endprodukte den höchsten Cybersicherheitsstandards entsprechen. Durch die Kombination beider Teile können Unternehmen sowohl die Sicherheit ihrer Entwicklungsprozesse als auch die ihrer fertigen Produkte gewährleisten, was die Resilienz industrieller Anlagen gegenüber Cyberangriffen erheblich stärkt.
AMC ist Ihr Systemhaus für die industrielle Computertechnik
Gern beraten wir Sie zu aktuellen und geplanten Produkten mit IEC 62443-4-2 Zertifizierung. Rufen Sie uns einfach an oder senden Sie uns Ihre Anfrage per Mail.
Link zur Produktübersicht: