Security-by-Design in der Produktion

In der EU gilt seit 2024 der Cyber Resilience Act. Die Regulatorien, die Ende 2027 endgültig in Kraft treten, gelten für fast alle «Produkte mit digitalen Elementen», die auf dem europäischen Markt verkauft werden. Wir haben mit dem IT-Security-Spezialisten darüber gesprochen, was das für die Hersteller von Maschinen, Geräten und Software bedeutet.

«Der Cyber Resilience Act sagt: Wir wollen eine EU, die auch auf der Produktebene resilient ist gegen Cyberangriffe», erklärt Buchenberg. «Das sind Prozessthemen, die viele Unternehmen nachhaltig beschäftigen werden. Es wäre wünschenswert, wenn alle Betroffenen es jetzt schon täten.» Denn im Dezember 2027 müssen sie alle neuen Anforderungen umsetzen können.

«Das ist eine lange Liste, und Firmen drohen saftige Strafen, wenn sie diese Pflichten verletzen», betont der IT-Security-Spezialist. «Die betreffenden Produkte müssen mit einem Security-by-Design-Ansatz entwickelt und hergestellt werden. Sie müssen ‹ohne ausnutzbare Schwachstellen› auf den Markt kommen, über integrierte Security-Massnahmen verfügen, Datensicherheit gewährleisten und digitale Angriffsflächen minimieren.»

Darüber hinaus gibt es eine Pflicht für die Meldung und die Behebung von Schwachstellen, die auch noch nach dem Verkauf gilt. «Softwareentwickler müssen zum Beispiel fünf Jahre lang Sicherheitsupdates bereitstellen, die diese Lücken schliessen, und das kostenlos», wie Buchenberg weiter ausführt. «Wenn ein Hersteller eine Fräsmaschine mit Steuerung und HMI ausliefert, muss er jahrelang Firmwareupdates bereitstellen.»

Er erklärt aber nicht nur, sondern skizziert auch praktikable Lösungsansätze. Welche das sind, erfahren Sie im Panorama Nr. 1/2026 auf den Seiten 26 und 27.