Die Anzahl, Zusammenhänge und Abhängigkeiten der verschiedenen Regelwerke und Normen mag auf den ersten Blick als übertrieben gesehen werden. Aber verbreitet sich nicht die Digitalisierung immer schneller, nimmt sie nicht überall einen immer größeren Raum ein und steigt nicht die Komplexität bei IT-Systemen? Wird die gegenseitige Abhängigkeit davon nicht immer höher?
Neue Wege zu gehen, über den Tellerrand von Abteilungen und Rollen hinaus zu sehen und den Blick zu weiten, kann helfen, die Zusammenhänge zu erkennen, aber auch die Optionen, wie sich die Steine zusammenfügen lassen und wo damit die Stabilität besser wird.
Denn zu den o.g. Normen und Gesetzen offen zu sein, hilft! Dann zeigt sich die Notwendigkeit eines integrierten Ansatzes zur Bewältigung der aktuellen und vielfältigen Cybersicherheitsherausforderungen. Und man kann auch sehen, dass Silodenken Organisationen damit der Vergangenheit angehört.
Die neue Maschinenverordnung (MVO)
Die EU-weiten Vorgaben zur Maschinensicherheit wurden neu gefasst und anhand zeitgemäßer technisch-rechtlicher Anforderungen aktualisiert. Die neue Maschinenverordnung (EU) 2023/1230 löst die seit 2006 geltende Maschinenrichtlinie 2006/42/EG ab und gilt in allen EU-Mitgliedsstaaten als verpflichtend.
Daher müssen alle Unternehmen, die Maschinen herstellen, in Verkehr bringt oder in Betrieb nehmen, die Vorgaben der neuen Verordnung innerhalb der gestellten Übergangsfrist von 42 Monaten nach Inkrafttreten umsetzen, um ab dem Anwendungszeitpunkt weiterhin aktiv am Markt agieren zu können!
Ist das jetzt eine Anforderung von übereifrigen EU-Verwaltungsbeamten oder was ist der Hintergrund? Weit gefehlt, die Neuerung hatte gute Gründe und wurde aus mehreren wichtigen Gründen aktualisiert:
Anpassung an den technologischen Fortschritt: Die Verordnung soll neue Risiken abdecken, die sich aus aufstrebenden Technologien wie Digitalisierung, künstliche Intelligenz und kollaborative Robotik ergeben. Neue Maschinen sind ohne Netzwerkanschluss für Remote-Wartung oder Kommunikation im Produktionsnetzwerk nicht mehr denkbar.
Schließen von Sicherheitslücken: Bestehende regulatorische Lücken in der aktuellen Maschinenrichtlinie sollen geschlossen werden, um die Sicherheit zu verbessern.
Beseitigung von Rechtsunsicherheiten: Die neue Verordnung zielt darauf ab, Unklarheiten beim Anwendungsbereich und bei Begriffsbestimmungen zu beseitigen.
Harmonisierung mit anderen EU-Vorschriften: Inkonsistenzen mit anderen EU-Produktvorschriften sollen aufgelöst werden, um ein einheitliches Regelwerk zu schaffen.
Erweiterung des Adressatenkreises: Die Verordnung richtet sich nun an alle Wirtschaftsakteure, die an der Bereitstellung von Maschinen im europäischen Markt beteiligt sind, nicht nur an Hersteller.
Verringerung von Dokumentationsaufwand: Die neue Verordnung zielt darauf ab, monetäre und ökologische Kosten durch umfangreiche papierbasierte Dokumentation zu reduzieren.
Diese Aktualisierungen der MVO sollen ein innovationsförderndes Klima für die Wirtschaft schaffen und gleichzeitig die Sicherheit und den Gesundheitsschutz verbessern.
Synergie-Effekte
Im Zusammenspiel der MVO mit anderen Neuerungen zeigen sich weitere Vorteile! Der Cyber Resilience Act (CRA), die Produkthaftpflicht und die neue Maschinenverordnung der EU schaffen tatsächlich Synergieeffekte, insbesondere in Verbindung mit der ISO 27001. Hier sind aus unserer Sicht zu sehen:
Integriertes Risikomanagement: Der CRA, die Produkthaftpflicht und die Maschinenverordnung erfordern alle ein umfassendes Risikomanagement. Die ISO 27001 bietet einen strukturierten Rahmen für Risikomanagement, der diese Anforderungen abdeckt und somit Doppelarbeit vermeidet.
Lebenszyklus-Ansatz: Der CRA fordert die Sicherstellung der Cybersicherheit über den gesamten Produktlebenszyklus. Die ISO 27001 unterstützt einen ganzheitlichen Ansatz zur Informationssicherheit, der sich gut mit den Anforderungen des CRA und der Maschinenverordnung ergänzt.
Konformitätsbewertung und Zertifizierung:Der CRA verlangt Konformitätsbewertungen, die bei kritischen Produkten von unabhängigen Dritten durchgeführt werden müssen. Eine ISO 27001-Zertifizierung kann als Nachweis für die Erfüllung vieler Cybersicherheitsanforderungen dienen und den Aufwand für zusätzliche Bewertungen reduzieren.
Kontinuierliche Verbesserung: Sowohl der CRA als auch die ISO 27001 setzen auf kontinuierliche Verbesserung der Sicherheitsmaßnahmen. Dies harmoniert mit den Anforderungen der Produkthaftpflicht und der Maschinenverordnung an die fortlaufende Produktsicherheit.
Technologiesynergien: Investitionen in Sicherheitstechnologien wie SIEM-Systeme können gleichzeitig die Anforderungen des CRA, der Maschinenverordnung und der ISO 27001 erfüllen.
Dokumentation und Nachweisführung: Alle genannten Regelwerke erfordern eine umfassende Dokumentation. Ein ISMS nach ISO 27001 bietet eine strukturierte Grundlage für diese Dokumentation, die für mehrere Compliance-Anforderungen genutzt werden kann.
Schulung und Bewusstseinsbildung: Die Sensibilisierung der Mitarbeiter für Cybersicherheit ist ein zentraler Aspekt sowohl des CRA als auch der ISO 27001. Gemeinsame Schulungsprogramme können entwickelt werden, die alle relevanten Anforderungen abdecken.
Man kann auch noch weitere Aspekte der neuen Produkthaftpflichtregelung der EU oder andere Normen für die KI wie die ISO 42001 einbeziehen, die auch von dem integrativen Ansatz profitiert! Aber das würde hier den Rahmen sprengen.
Fazit
Durch die Nutzung dieser Synergieeffekte können Unternehmen ihre Ressourcen effizienter einsetzen, Kosten sparen und ein konsistentes, umfassendes Cybersicherheitsmanagement etablieren, das den Anforderungen verschiedener Regelwerke gerecht wird.
Ja, das schafft erst einmal Aufwand, aber die Abhängigkeiten und die hohe Dynamik des Marktes zwingt zur Anpassung. Und was wäre die Alternative, die eine gleiche Leistung (Output, Integration, Umfassende Betrachtung) bei isolierten Betrachtung erbringen würde? Doppelarbeiten und Silodenken wären nicht zu vermeiden.
Die Themen integriert anzupacken reduziert den Gesamtaufwand und alle betroffenen Einheiten des Unternehmens können voneinander profitieren, Silodenken adieu!
コメント