Page 27 - BACnet_Europe-Journal_43
P. 27
BACnet Insight
element is the introduction of a zoning model (zones and grundlegend verändert. Dieser Beitrag beleuchtet die vier CER: Physische Resilienz für kritische Infrastrukturen
conduits) for structured security architecture analogous zentralen Regulierungen – NIS-2, CER, CRA und RED –
to IEC 62443. The standard also emphasizes that und zeigt auf, was sie für Betreiber, Integratoren und Her- Die Critical Entities Resilience Directive (CER), gültig seit
cybersecurity is not a one-time event, but a continuous steller konkret bedeuten. Januar 2023, ergänzt die NIS-2 um die physische Dimen-
process in operations – including regular testing, sion. Sie adressiert Risiken durch Sabotage, Naturkatast-
documentation, and training. It thus provides a valuable NIS-2: Gesetzliche Pflicht zur Cyberresilienz rophen oder technische Ausfälle.
bridge between international standards and practical
implementation – especially for operators and system Seit Januar 2023 ist die überarbeitete Richtlinie über Betroffene Sektoren:
integrators. 11 Netz- und Informationssicherheit (NIS-2) auf europäischer Energieversorgung (Strom, Gas und Öl)
T
Ebene in Kraft. Sie zielt darauf ab, die digitale Wider- ransport und Verkehr (Schiene, Luft, Straße und See)
In addition to this, the WG-FM guideline “Security in standsfähigkeit kritischer und wichtiger Einrichtungen zu Digitale Infrastruktur
W
Building Automation” was published by BIG-EU. This stärken – darunter auch zahlreiche Akteure der Gebäu- asserwirtschaft (Trinkwasserversorgung und Abwas-
makes it clear that security begins in the planning phase. deautomation. serentsorgung)
The guideline recommends developing a comprehensive Öffentliche Verwaltung
security concept at an early stage that involves all Zentrale Anforderungen für Betreiber: Gesundheitswesen
parties involved – from planning and commissioning to Durchführung systematischer Risikoanalysen Lebensmittelversorgung
ongoing operation. Technical recommendations include Etablierung standardisierter Prozesse für den Umgang eltraum
W
network segmentation, avoiding direct Internet exposure mit Sicherheitsvorfällen Bankwesen
of automation systems, secure remote maintenance Absicherung der Lieferkette durch vertragliche und Finanzmarkt-Infrastruktur
solutions, and structured vulnerability management. organisatorische Maßnahmen
Einführung eines Meldeverfahrens bei Cybervorfällen Pflichten für Betreiber:
Operator obligations are also a focus: they should create Benennung einer festen Kontaktstelle bei der natio- Durchführung physischer Risikoanalysen
T
the organizational conditions necessary to respond nalen Aufsichtsbehörde, z.B. in Deutschland das Bun- echnische Schutzmaßnahmen wie Zutrittskontrollen
to security-related events. The guide is closely based desamt für Sicherheit in der Informationstechnik (BSI) und Brandschutz
on established standards such as IEC 62443 and ISO Konzepte zur Sicherstellung des Betriebs auch im Kri-
27001, but remains deliberately application-oriented – Insbesondere Betreiber großer Liegenschaften, Rechen- senfall
especially for small and medium-sized enterprises. With zentren oder Versorgungseinrichtungen sollten sich früh- Meldepflichten einhalten
supplementary checklists and practical tips, the guide zeitig mit der eigenen Betroffenheit auseinandersetzen.
offers pragmatic assistance for the secure implementation Die Richtlinie verlangt technische und organisatorische Für smarte Gebäude bedeutet das: Brandschutz, Zugangs-
of GA projects in the area of conflict between technical Maßnahmen – einschließlich dokumentierter interner Pro- sicherheit, Redundanzen und Monitoring sind regulato-
complexity and regulatory responsibility. zesse. risch vorgeschrieben – nicht mehr nur Best Practice.
Both documents – VDMA Standard Sheet 24774 and Die NIS-2-Richtlinie musste in allen Mitgliedstaaten der Auch die CER-Richtlinie wird im Rahmen eines eige-
the WG-FM guide – make an important contribution to Europäischen Union bis spätestens zum 17. Oktober 2024 nen Gesetzgebungsverfahrens konkretisiert werden. Hier
making cybersecurity in building automation tangible, in nationales Recht überführt werden. Während einige zeichnet sich ab, dass insbesondere Betreiber mit phy-
plannable, and sustainable. 12 Länder den Umsetzungsprozess bereits abgeschlossen sisch schutzbedürftiger Infrastruktur – etwa Rechenzen-
haben oder sich in der finalen Phase befinden, ist in ande- tren, Versorgungseinrichtungen oder sicherheitskritische
Conclusion ren Staaten – darunter auch Deutschland – die nationale Gebäude – neue organisatorische und technische Maß-
Gesetzgebung noch in Bearbeitung. nahmen umsetzen müssen.
The legal framework for cybersecurity is changing, with
new obligations for operators and manufacturers arising In Deutschland erfolgt die Umsetzung derzeit durch das Bis 17. Januar 2026 müssen nationale Strategien zur
from European regulations such as NIS-2, CER, CRA, sogenannte „Gesetz zur Umsetzung der NIS-2-Richtli- Resilienz kritischer Einrichtungen sowie umfassende
and RED. But regardless of deadlines and regulations, nie und zur Regelung wesentlicher Grundzüge des Infor- Risikoanalysen durchgeführt werden.
one thing is certain: anyone who wants to operate mationssicherheitsmanagements in der Bundesverwal- Bis 17. Juli 2026 sind kritische Einrichtungen zu iden-
their buildings and systems securely in the long term tung“ (NIS2UmsuCG). Dabei werden sowohl bestehende tifizieren – danach gelten für betroffene Organisatio-
should act proactively now. Cybersecurity requirements Gesetze – etwa das BSI-Gesetz – angepasst als auch nen strenge Vorgaben zur Umsetzung innerhalb von
cannot be reduced to individual measures, but require neue Verpflichtungen für Betreiber kritischer und wichti- höchstens 10 Monaten.
a well-thought-out combination of technical solutions, ger Einrichtungen eingeführt.
organizational processes, and clear responsibilities. This Einige EU-Mitgliedstaaten haben die nationale Umsetzung
is the only way for building automation operators and Solange die jeweilige nationale Umsetzung noch nicht bereits abgeschlossen oder befinden sich in fortgeschrit-
manufacturers to effectively control the increasing risks abgeschlossen ist, gelten in vielen Ländern weiterhin die tenen Phasen.
while responsibly exploiting the opportunities offered by Bestimmungen der ursprünglichen NIS-1-Richtlinie. Diese
digitalization. bleibt bis zur formellen Ablösung durch nationales NIS-2- CRA: Sicherheitspflicht für Hersteller digitaler
Recht rechtsverbindlich. Unternehmen und Betreiber soll- Produkte
ten sich daher frühzeitig mit den erweiterten Anforderun-
Mit der fortschreitenden Digitalisierung technischer Inf- gen der NIS-2 vertraut machen. Denn unabhängig vom Der Cyber Resilience Act (CRA) wurde im Dezember 2024
rastrukturen geraten automatisierte Gebäudeanlagen aktuellen Umsetzungsstand ist mit deutlich umfassende- verabschiedet und wird ab Dezember 2027 verbindlich.
zunehmend in den Fokus der Gesetzgebung. Die Europä- ren Dokumentations-, Melde- und Sicherheitsanforderun- Die Verordnung definiert grundlegende Sicherheitsanfor-
ische Union hat ein umfassendes Regelwerk geschaffen, gen zu rechnen, die in Zukunft verbindlich werden. 1 derungen für Produkte mit digitalen Komponenten. Her-
das die Sicherheitsarchitektur in der Gebäudeautomation steller müssen nicht nur während der Entwicklung, son-
BACnet Europe Journal 43 09/25 27