03.07.2025

Cybersicherheit für industrielle Systeme: Strategisch vorbereitet auf den Cyber Resilience Act

Die Anforderungen an Betreiber und Hersteller vernetzter industrieller Systeme steigen kontinuierlich. Mit dem Cyber Resilience Act (CRA) etabliert die Europäische Union erstmals einen verbindlichen Rechtsrahmen für die Cybersicherheit digitaler Produkte. Gleichzeitig bleibt die ISO/IEC 62443 der international anerkannte Standard zur Absicherung industrieller Automatisierungs- und Steuerungssysteme (Industrial Automation and Control Systems, IACS). Unsere Beratung hilft Unternehmen, beide Vorgaben effektiv miteinander zu verzahnen.

Unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Partner

Cyber Resilience Act im Zusammenspiel mit ISO/IEC 62443

Der CRA schafft neue Pflichten für alle Akteure entlang der industriellen Wertschöpfungskette: Hersteller, Systemintegratoren, Zulieferer und Betreiber digitaler Produkte müssen Sicherheitsanforderungen umfassend umsetzen, dokumentieren und über den gesamten Produktlebenszyklus nachhalten. Wichtige Elemente wie Security by Design, Schwachstellenmanagement und Update-Prozesse werden verpflichtend.

Die ISO/IEC 62443 wiederum bietet einen bewährten technischen und organisatorischen Rahmen, um genau diese Anforderungen strukturiert umzusetzen. Besonders relevant sind hier die Teile -2-1 (Sicherheitsmanagement), -3-2 (Risikobewertung) und -4-1 (sicherer Entwicklungsprozess).

Kostenloser Leitfaden: Cyber Resiliance Act in 10 Schritten umsetzen (inkl. Compliance-Schnelltest)

Unser Praxis-Leitfaden zeigt Ihnen in 10 klaren Schritten, wie Sie die Anforderungen des CRA sicher und strategisch umsetzen. Inklusive Compliance-Schnelltest für den Sofort-Check. Jetzt kostenlos anfordern!

Bitte addieren Sie 1 und 8.

*Ihre Einwilligung für den Versand unseres Newsletters umfasst auch die aggregierte Nutzungsanalyse (Öffnungsrate & Linkklicks). Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung

Was ist die ISO/IEC 62443?

Die ISO/IEC 62443 ist ein international anerkannter Normenverbund zur Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen (IACS). Sie bietet sowohl für Hersteller als auch für Betreiber einen strukturierten Ansatz zur Absicherung von industriellen Steuerungs- und Fertigungsanlagen. Die Norm deckt dabei den gesamten Lebenszyklus ab: von der Systementwicklung und Integration über den Betrieb bis hin zur Wartung. Durch ihre modulare Struktur erlaubt die ISO/IEC 62443 eine rollenbasierte Umsetzung für Hersteller, Integratoren und Betreiber. Im Kontext des CRA liefert sie die methodische Grundlage, um die gesetzlichen Anforderungen systematisch, risikoorientiert und nachprüfbar zu erfüllen.

Unsere Beratungsleistungen für industrielle Systeme im Bereich Cybersicherheit

1. Gap-Analyse & Risikobewertung

Wir analysieren systematisch bestehende Sicherheitslücken innerhalb Ihrer Organisation und Ihres Produktportfolios. Dabei werden sowohl die CRA-Anforderungen als auch die ISO/IEC 62443 berücksichtigt. Im Fokus stehen u.a.:

  • Sicherheitsorganisation nach ISO/IEC 62443-2-1,
  • Risikoanalysemethodik nach ISO/IEC 62443-3-2,
  • Entwicklungsprozesse nach ISO/IEC 62443-4-1,
  • künftige CRA-Pflichten für Hersteller und Betreiber.

2. Normkonforme Umsetzung

Wir begleiten bei der Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen:

  • Etablierung von Security by Design & Default,
  • Segmentierungsstrategien und Netzwerkarchitekturen,
  • Schwachstellenmanagementprozesse,
  • Zertifizierungsvorbereitungen nach ISO/IEC 62443,
  • Harmonisierung mit den CRA-Anforderungen für CE-Konformität.

3. Dokumentation & Nachweissicherheit

Wir erstellen oder überarbeiten Ihre technische Dokumentation mit Blick auf rechtliche Nachweissicherheit:

  • Sicherheitsarchitektur und -analysen,
  • Risiko- und Bedrohungsbewertungen,
  • Update- und Patch-Strategien,
  • Schwachstellenmanagement und Reportingprozesse.

4. Herstellerpflichten & CE-Kennzeichnung

Wir unterstützen bei der praxisgerechten Umsetzung der neuen CRA-Pflichten, u. a.:

  • Marktüberwachungs- und Meldepflichten (Art. 11 CRA),
  • CE-Kennzeichnung auf Basis der Konformitätsbewertung,
  • Dokumentationspflichten gemäß Anhang I und II CRA.

5. Integrationsberatung für Zulieferer und OEMs

Wir moderieren die Abstimmung entlang komplexer Lieferketten:

  • Rollendefinition gemäß ISO/IEC 62443 (Asset Owner, System Integrator, Component Supplier),
  • Abstimmung von Verantwortlichkeiten zwischen Herstellern und OEMs,
  • Vertragsgestaltung zur Absicherung der Haftungs- und Nachweisfragen.

Ihre Vorteile durch unsere integrierte Beratung

Unsere integrierte Beratung bietet Ihnen die Möglichkeit, Synergieeffekte zwischen der ISO/IEC 62443 und dem Cyber Resilience Act optimal zu nutzen und so eine einheitliche und belastbare Cybersicherheitsstrategie zu etablieren.

Durch eine zielgerichtete Maßnahmenplanung vermeiden wir unnötige Überimplementierung und schaffen gleichzeitig eine hohe Zeit- und Kosteneffizienz bei der Umsetzung.

Darüber hinaus stellen wir sicher, dass Ihre Organisation zukunftssicher aufgestellt ist, indem wir die Harmonisierung mit weiteren EU-Digitalgesetzen wie der NIS-2-Richtlinie bereits frühzeitig in die Strategie integrieren.

Zielgruppen

Unsere Leistungen richten sich gezielt an:

  • Hersteller und Entwickler vernetzter industrieller Komponenten und Systeme,
  • Systemintegratoren und Betreiber kritischer Infrastrukturen,
  • OEMs mit Verantwortung für Produkt- und Prozesssicherheit in Europa.

Informationssicherheit, die schützt – und weiterdenkt

Wir sichern nicht nur Ihre Systeme – wir stärken Ihre Strukturen. Mit durchdachten IT-Sicherheitslösungen, die zu Ihrem Unternehmen passen und sich mitentwickeln.

Jetzt Termin vereinbaren

Zurück zur Newsübersicht

Weitere Neuigkeiten

22.09.2025

Privacy by Design: Die 10 wichtigsten Maßnahmen

Privacy by Design heißt: Datenschutz muss von Beginn an Teil von Produkt‑, Prozess‑ und IT‑Design sein. Entscheidend sind klare Zwecke und Datenflüsse, echte Datenminimierung mit Löschregeln, datenschutzfreundliche Defaults sowie praktikable Prozesse für Sicherheit, Betroffenenrechte und Dienstleister. Dieser Beitrag zeigt die zehn wichtigsten Maßnahmen für eine schlanke, prüfbare Umsetzung.

Weiterlesen …

18.09.2025

KI und Ransomware: Wie Cyberkriminelle Künstliche Intelligenz zur Waffe machen

Ransomware bleibt eine der disruptivsten Cyberbedrohungen für Unternehmen weltweit. Was einst als einfache Schadsoftware begann, die Dateien für schnelles Lösegeld verschlüsselte, hat sich zu einer milliardenschweren kriminellen Industrie entwickelt. Der neueste Trend, der Ransomware noch gefährlicher macht, ist der Einsatz von Künstlicher Intelligenz (KI) durch Cyberkriminelle. KI ist längst nicht mehr nur ein Werkzeug der Verteidiger – Angreifer lernen, ihre Fähigkeiten auszunutzen, um schneller, ausgefeilter und wirkungsvoller anzugreifen.

Weiterlesen …

09.09.2025

Risikomanagement nach ISO 27005 in 6 Schritten umsetzen

Risikomanagement ist das Herzstück eines wirksamen Informationssicherheits-Managementsystems (ISMS). Die ISO/IEC 27005 liefert dafür einen praxistauglichen Leitfaden – flexibel, skalierbar und direkt anschlussfähig an ISO/IEC 27001. In diesem Beitrag zeigen wir, wie Sie strukturiert vorgehen und welche Vorteile sich daraus für Ihr Unternehmen ergeben.

Weiterlesen …