Cyberangriffe auf Produktionsanlagen und Maschinen sind längst keine theoretische Bedrohung mehr, sondern fester Bestandteil der Risikolandschaft im industriellen Umfeld. Unsichere Fernwartungszugänge, unzureichendes Patch-Management oder mangelnde IT- und OT-Sicherheit können schnell zum Betriebsrisiko werden. Das kann auch für Versicherer erhebliche finanzielle Folgen haben.

Anzeige

Gleichzeitig verschärft der Gesetzgeber den Druck deutlich. Mit dem Cyber Resilience Act (CRA), der NIS2-Richtlinie und der neuen EU-Maschinenverordnung entstehen neue regulatorische Anforderungen, die weit über bisherige technische Standards hinausgehen. Unternehmen müssen sich darauf einstellen, dass Cybersicherheit nicht länger ein optionales IT-Thema ist, sondern integraler Bestandteil der Unternehmensverantwortung wird.

Vom Technikthema zur Managementaufgabe

Die zunehmende Vernetzung von Produktionsanlagen hat die industrielle Realität grundlegend verändert. Wo früher abgeschottete OT-Umgebungen dominierten, sind heute Maschinen, Steuerungen und Systeme eng mit Unternehmensnetzwerken verbunden. Das steigert zwar die Effizienz und die Flexibilität, erhöht aber zugleich die Angriffsfläche erheblich.

Die neue regulatorische Realität zwingt Unternehmen nun dazu, diese Risiken systematisch zu adressieren. Hersteller, Betreiber und Integratoren geraten stärker in die Pflicht, Cyberrisiken aktiv zu managen und nachweisbar abzusichern. Damit werden Risiken sichtbar, die bislang häufig unterschätzt oder ausgeblendet wurden.

Der Cyber Resilience Act setzt bereits bei der Entwicklung digitaler Produkte an. Hersteller sind verpflichtet, Sicherheitsaspekte von Beginn an zu berücksichtigen. Produkte dürfen nicht mit bekannten Schwachstellen auf den Markt kommen, und auch Standardkonfigurationen müssen sicher gestaltet sein.

Zudem endet die Verantwortung nicht mit dem Verkauf: Sicherheitsupdates und Patches müssen über den gesamten Lebenszyklus bereitgestellt werden. Schwachstellen sind aktiv zu kommunizieren. Das muss gegenüber Kunden ebenso wie gegenüber Behörden geschehen. Für industrielle Komponenten bedeutet das einen Paradigmenwechsel: Sie gelten nicht mehr als reine Funktionsträger, sondern als dauerhaft zu pflegende sicherheitskritische Systeme.

EU-Maschinenverordnung: Cyberrisiken werden Teil der Maschinensicherheit

Auch die neue EU-Maschinenverordnung erweitert den Sicherheitsbegriff deutlich. Cyberrisiken werden erstmals ausdrücklich als Bestandteil der Maschinensicherheit definiert. Hersteller müssen nachweisen, dass ihre Maschinen selbst unter Angriffen oder bei fehlerhaften Daten sicher funktionieren.

Dazu gehört unter anderem, dass Softwareänderungen nachvollziehbar dokumentiert werden und Systeme sowohl gegen Cyberangriffe als auch gegen technische Fehlfunktionen robust sind. Besonders relevant wird dies beim Einsatz von KI in Maschinen: Entscheidungen müssen nachvollziehbar sein und Fehlfunktionen sicher begrenzt werden.

Mit der NIS2-Richtlinie verschiebt sich die Verantwortung endgültig auf die Führungsebene. Cybersicherheit wird zur unternehmerischen Pflicht. Unternehmen müssen Risiken analysieren, geeignete Schutzmaßnahmen implementieren und Sicherheitsvorfälle innerhalb enger Fristen melden.

Dabei geht es nicht mehr nur um klassische IT-Systeme. Auch Produktionsumgebungen und die gesamte Lieferkette rücken in den Fokus. Versäumnisse können künftig nicht nur operative Schäden verursachen, sondern auch haftungs- und sanktionsrechtliche Konsequenzen nach sich ziehen.

„Weder NIS2, die EU-Maschinenverordnung noch der CRA sind reine Bußgeldthemen, sondern längst zentrale Voraussetzungen für den Marktzugang und die Wettbewerbsfähigkeit“, verdeutlicht Christian Koch, Senior Vice President Cybersecurity IT/OT, Innovations & Business Development bei NTT DATA DACH. „Nur die Unternehmen, die diese Anforderungen konsequent umsetzen, bauen die notwendigen internen Sicherheitsstrukturen auf und erhöhen langfristig ihre Krisenfestigkeit. Und damit letztendlich auch das Vertrauen bei Kunden und Partnern.“