Keywords
CRA, Cyber Resilience Act, Smart Meter, kritische Anlagen, IEC 62443, CC EAL4, EUCC
Zusammenfassung
Dr. André Egners, verantwortlich für die Sicherheitsstrategie bei Landis+Gyr und in verschiedenen Standardisierungsgremien tätig, spricht über Cybersicherheit in Smart Metern und die Bedeutung des Cyber Resilience Act. Er erläutert, wie er die Sicherheitslevel des IEC 62443 Standards anwendet und wie Unternehmen beim Einkauf von Komponenten mehr Cybersicherheit einfordern können.
Kernargumente
Smart Meter sind kritische Komponenten.
Als kritische Komponenten sind Smart Meter oftmals einfach zugänglich. In vielen Ländern sind sie im öffentlichen Raum angebracht und zugänglich.
Der Delegated Act der Radio Equipment Directive geht bereits auf stark auf Cybersicherheitsanforderungen ein.
Hersteller smarter Komponenten sollten nicht erst warten, bis die Direktiven greifen und die harmonisierten Standards vorliegen.
Der IEC 62443 Standard ist ein gutes Instrument, um proaktiv an der Compliance mit dem CRA zu arbeiten.
Die Betrachtung der verschiedenen Bereiche Hersteller, Betreiber, Integratoren macht IEC 62443 für Unternehmen sehr gut nutzbar.
Die notwendigen Security Level kann man von Seite der vom Standard geforderten Fähigkeiten und von Seite der möglichen Angriffe evaluieren.
Im Bereich, wo nation-state Angreifende aktiv werden, sollte Security Level 4 Maßgabe sein.
In kritischen Anlagen sollten Komponenten in jedem Fall nach Security Level 4 betrachtet werden, um zumindest die Sicherheitslücken zu kennen und ggf. durch zusätzliche Sicherheitsmaßnahmen absichern zu können.
Im Bereich der kritischen Anlagen werden Zertifizierungen für die Komponenten und Systeme wichtig.
Frameworks mit verpflichtenden Rezertifizierung bei Produktaktualisierungen sind bei digitalisierten Produkten nicht anwendbar.
Gut gesagt
Am Ende brauchen wir einen Secure-Development-Lifecycle für die Produkte. Darum geht es im Kern: dass die Produkte von Anfang an sicher entwickelt werden und nicht nachher mit Schwachstellen im Feld sind.
Die IEC 62443 ist als harmonisierter Standard einfach der Best Bet. Aus unserer Sicht ist es eine intelligente Wahl, einfach das Risiko zu minimieren.
Wenn man strukturiert mit Hilfe des IEC 62443 Standards die Capabilities testet, kannst du als Käufer auch leichter Produkte miteinander vergleichen.
Je höher der Security Level der Anwendung, desto robuster müssen die Security Features von deinem Produkt sein.
Die Cybersecurity-Anforderungen nehmen bei Ausschreibungen als Nichtpreiskriterium deutlich zu.
Unternehmen sollten in ihre Tender echte validierbare Sicherheitskriterien aufnehmen.
Kapitel
00:00 Vorstellung
01:23 Kurzexkurs zum Cyber Resilience Act (CRA)
03:21 Einfluss des CRA und der Radio Equipment Directive auf die Smart-Meter-Entwicklung
06:28 Bedeutung von Standards bei der Smart-Meter-Entwicklung
08:12 IEC 62443 und der CRA
10:28 Warum der IEC 62443 Standard die richtige Wahl ist
13:12 Security Level nach IEC 62443
17:15 Das Gewicht von Cybersicherheit in Ausschreibungen
18:40 CC EAL4 vs EUCC-Zertifizierungen
21:11 Best-Practice-Empfehlung fürs Purchasing Department und Betreibende
