BACnet Insight



          element is the introduction of a zoning model (zones and   grundlegend verändert. Dieser Beitrag beleuchtet die vier   CER: Physische Resilienz für kritische Infrastrukturen
          conduits) for structured security architecture analogous   zentralen Regulierungen – NIS-2, CER, CRA und RED –
          to  IEC  62443.  The standard  also  emphasizes  that   und zeigt auf, was sie für Betreiber, Integratoren und Her-  Die Critical Entities Resilience Directive (CER), gültig seit
          cybersecurity is not a one-time event, but a continuous   steller konkret bedeuten.  Januar 2023, ergänzt die NIS-2 um die physische Dimen-
          process in operations – including regular testing,                   sion. Sie adressiert Risiken durch Sabotage, Naturkatast-
          documentation, and training. It thus provides a valuable   NIS-2: Gesetzliche Pflicht zur Cyberresilienz  rophen oder technische Ausfälle.
          bridge between international standards and practical
          implementation – especially for operators and system   Seit Januar 2023 ist die überarbeitete Richtlinie über   Betroffene Sektoren:
          integrators.                 11  Netz- und Informationssicherheit (NIS-2) auf europäischer  ƒ  Energieversorgung (Strom, Gas und Öl)
                                                                                 T
                                            Ebene in Kraft. Sie zielt darauf ab, die digitale  Wider-  ƒ  ransport und Verkehr (Schiene, Luft, Straße und See)
          In addition to this, the WG-FM guideline “Security in   standsfähigkeit kritischer und wichtiger Einrichtungen zu  ƒ  Digitale Infrastruktur
                                                                                 W
          Building Automation” was published by  BIG-EU. This   stärken – darunter auch zahlreiche Akteure der Gebäu-  ƒ  asserwirtschaft (Trinkwasserversorgung und Abwas-
          makes it clear that security begins in the planning phase.   deautomation.  serentsorgung)
          The guideline recommends developing a comprehensive                  ƒ  Öffentliche Verwaltung
          security  concept  at  an  early  stage  that  involves  all   Zentrale Anforderungen für Betreiber:  ƒ  Gesundheitswesen
          parties involved – from planning and commissioning to  ƒ  Durchführung systematischer Risikoanalysen  ƒ  Lebensmittelversorgung
          ongoing operation. Technical recommendations include  ƒ  Etablierung standardisierter Prozesse für den Umgang   ƒ  eltraum
                                                                                 W
          network segmentation, avoiding direct Internet exposure   mit Sicherheitsvorfällen  ƒ  Bankwesen
          of  automation systems, secure  remote maintenance  ƒ  Absicherung der Lieferkette durch vertragliche und   ƒ  Finanzmarkt-Infrastruktur
          solutions, and structured vulnerability management.   organisatorische Maßnahmen
                                            ƒ  Einführung eines Meldeverfahrens bei Cybervorfällen  Pflichten für Betreiber:
          Operator obligations are also a focus: they should create  ƒ  Benennung einer festen Kontaktstelle bei der natio-  ƒ  Durchführung physischer Risikoanalysen
                                                                                 T
          the organizational conditions necessary to respond   nalen Aufsichtsbehörde, z.B. in Deutschland das Bun-  ƒ  echnische Schutzmaßnahmen wie Zutrittskontrollen
          to security-related events. The guide is closely based   desamt für Sicherheit in der Informationstechnik (BSI)  und Brandschutz
          on established standards such as IEC 62443 and ISO                   ƒ  Konzepte zur Sicherstellung des Betriebs auch im Kri-
          27001, but remains deliberately application-oriented –   Insbesondere Betreiber großer Liegenschaften, Rechen-  senfall
          especially for small and medium-sized enterprises. With   zentren oder Versorgungseinrichtungen sollten sich früh-  ƒ  Meldepflichten einhalten
          supplementary checklists and practical tips, the guide   zeitig mit der eigenen Betroffenheit auseinandersetzen.
          offers pragmatic assistance for the secure implementation   Die Richtlinie verlangt technische und organisatorische   Für smarte Gebäude bedeutet das: Brandschutz, Zugangs-
          of GA projects in the area of conflict between technical   Maßnahmen – einschließlich dokumentierter interner Pro-  sicherheit, Redundanzen und Monitoring sind regulato-
          complexity and regulatory responsibility.  zesse.                    risch vorgeschrieben – nicht mehr nur Best Practice.

          Both documents – VDMA Standard Sheet 24774 and   Die NIS-2-Richtlinie musste in allen Mitgliedstaaten der   Auch  die  CER-Richtlinie  wird  im  Rahmen  eines  eige-
          the WG-FM guide – make an important contribution to   Europäischen Union bis spätestens zum 17. Oktober 2024   nen Gesetzgebungsverfahrens konkretisiert werden. Hier
          making cybersecurity in building automation tangible,   in nationales Recht überführt werden.  Während einige   zeichnet sich ab, dass insbesondere Betreiber mit phy-
          plannable, and sustainable.    12  Länder den Umsetzungsprozess bereits abgeschlossen   sisch schutzbedürftiger Infrastruktur – etwa Rechenzen-
                                            haben oder sich in der finalen Phase befinden, ist in ande-  tren, Versorgungseinrichtungen  oder  sicherheitskritische
          Conclusion                        ren Staaten – darunter auch Deutschland – die nationale   Gebäude – neue organisatorische und technische Maß-
                                            Gesetzgebung noch in Bearbeitung.   nahmen umsetzen müssen.
          The legal framework for cybersecurity is changing, with
          new obligations for operators and manufacturers arising   In Deutschland erfolgt die Umsetzung derzeit durch das  ƒ  Bis 17. Januar 2026 müssen nationale Strategien zur
          from European regulations such as NIS-2, CER, CRA,   sogenannte „Gesetz zur Umsetzung der NIS-2-Richtli-  Resilienz kritischer Einrichtungen sowie umfassende
          and RED. But regardless of deadlines and regulations,   nie und zur Regelung wesentlicher Grundzüge des Infor-  Risikoanalysen durchgeführt werden.
          one thing is certain: anyone who wants to operate   mationssicherheitsmanagements  in der Bundesverwal-  ƒ  Bis 17. Juli 2026 sind kritische Einrichtungen zu iden-
          their buildings and systems securely in the long term   tung“ (NIS2UmsuCG). Dabei werden sowohl bestehende   tifizieren – danach gelten für betroffene Organisatio-
          should act proactively now.  Cybersecurity requirements   Gesetze – etwa das BSI-Gesetz – angepasst als auch   nen strenge Vorgaben zur Umsetzung innerhalb von
          cannot be reduced to individual measures, but require   neue Verpflichtungen für Betreiber kritischer und wichti-  höchstens 10 Monaten.
          a well-thought-out combination of technical solutions,   ger Einrichtungen eingeführt.
          organizational processes, and clear responsibilities. This           Einige EU-Mitgliedstaaten haben die nationale Umsetzung
          is the only way for building automation operators and   Solange die jeweilige nationale Umsetzung noch nicht   bereits abgeschlossen oder befinden sich in fortgeschrit-
          manufacturers to effectively control the increasing risks   abgeschlossen ist, gelten in vielen Ländern weiterhin die   tenen Phasen.
          while responsibly exploiting the opportunities offered by   Bestimmungen der ursprünglichen NIS-1-Richtlinie. Diese
          digitalization.                  bleibt bis zur formellen Ablösung durch nationales NIS-2-  CRA: Sicherheitspflicht für Hersteller digitaler
                                            Recht rechtsverbindlich. Unternehmen und Betreiber soll-  Produkte
                                            ten sich daher frühzeitig mit den erweiterten Anforderun-
          Mit  der  fortschreitenden  Digitalisierung  technischer  Inf-  gen der NIS-2 vertraut machen. Denn unabhängig vom   Der Cyber Resilience Act (CRA) wurde im Dezember 2024
          rastrukturen geraten automatisierte Gebäudeanlagen   aktuellen Umsetzungsstand ist mit deutlich umfassende-  verabschiedet und wird ab Dezember 2027 verbindlich.
          zunehmend in den Fokus der Gesetzgebung. Die Europä-  ren Dokumentations-, Melde- und Sicherheitsanforderun-  Die Verordnung definiert grundlegende Sicherheitsanfor-
          ische Union hat ein umfassendes Regelwerk geschaffen,   gen zu rechnen, die in Zukunft verbindlich werden.  1  derungen für Produkte mit digitalen Komponenten. Her-
          das die Sicherheitsarchitektur in der Gebäudeautomation              steller müssen nicht nur während der Entwicklung, son-


                                                                                     BACnet Europe Journal 43 09/25 27