Cyber Resilience Act und Speicherprogrammierbare Steuerungen – eine Herausforderung für Maschinen- und Anlagenbauer

SPS und CRA

Speicherprogrammierbare Steuerungen (SPS) sind programmierbare Geräte, die Maschinen und Prozesse steuern. Sie ersetzen klassische Relais- und Schützschaltungen und ermöglichen eine flexible Anpassung an verschiedene Produktionsanforderungen. Damit sind sie essenzielle Komponenten moderner Automatisierungstechnik. Die meisten Maschinen- und Anlagenbauer stellen ihre Steuerungen nicht selbst her, sondern beziehen sie von spezialisierten Herstellern. 

Der CRA der Europäischen Union zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu erhöhen. Hersteller von Maschinen und Anlagen werden ausdrücklich angesprochen, ebenso Hersteller der darin verbauten Steuerungen. Es wird klargestellt, dass die in dem Rechtsakt aufgeführten Cybersicherheitsanforderungen einzuhalten sind, bevor die Maschine, die Anlage oder auch ihre Steuerung auf dem EU-Markt in Verkehr gebracht werden darf. 

Die Anforderungen des CRA ergänzen die grundlegenden Anforderungen des Anhang III, Abschnitte 1.1.9. und 1.2.1. der Maschinen-Verordnung (EU) 2023/1230. 

Der CRA ist am 10.12.2024 in Kraft getreten und wird ab dem 10.12.2027 vollumfänglich anwendbar sein. Einige Bestimmungen gelten bereits früher. So müssen z.B. Hersteller ab dem 10.09.2026 aktiv ausgenutzte Schwachstellen, von denen sie Kenntnis erlangen, melden. 

Einige konkrete Aspekte: 

Updatepflicht

Die so genannte „Updatepflicht“ wird im CRA unter dem Aspekt „Unterstützungszeitraum“ behandelt. Die Unterstützung umfasst die wirksame Behandlung von Cybersicherheits-Schwachstellen über die gesamte Lebensdauer des Produkts, i.d.R. mindestens 5 Jahre. Im Hinblick auf die Verwendung im industriellen Umfeld wird unter ausdrücklicher Bezugnahme auf Steuerungssysteme klargestellt, dass dieser Zeitraum deutlich länger sein kann. Möglicherweise in Anerkennung dessen, dass die Updatepflicht über die nicht selten Jahrzehnte dauernde Nutzung einer Maschine nicht realistisch ist, eröffnet der CRA Herstellern die Möglichkeit, 

den Quellcode entweder gegenüber anderen Unternehmen, die sich zu einer verlängerten Bereitstellung von Diensten zur Behandlung von Schwachstellen verpflichten, oder für die Öffentlichkeit freizugeben, damit Schwachstellen auch nach Ablauf des Unterstützungszeitraums behandelt werden können.

Ab wann sich der Hersteller damit aber der Updatepflicht entziehen kann, ist völlig unklar.

➡ Im Hinblick auf die Updatepflicht sollten Hersteller von Maschinen und Anlagen sowohl mit ihren Kunden als auch mit ihren SPS-Lieferanten sorgfältig ausgearbeitete Vertragsklauseln erstellen.

Software Bill-of-Material

Hersteller von Maschinen und Anlagen mit SPS müssen sicherstellen, dass diese keine cyberanfälligen Komponenten enthalten. Das gilt auch dann, wenn sie die SPS von einem Lieferanten zukaufen. Unter anderem zur Erleichterung der Schwachstellenanalyse sollen Hersteller von Maschinen und Anlagen daher dokumentieren, welche „Komponenten mit digitalen Elementen in der Maschine bzw. Anlage enthalten sind, und dazu eine „Software-Stückliste“ (auch „Software-BoM“ genannt) aufstellen und pflegen. Diese Pflicht trifft zwar auch die Hersteller der SPS selbst. Die Zurverfügungstellung der Software-BoM durch den SPS-Lieferanten an den Maschinen- oder Anlagenbauer ist aber im CRA nicht ausdrücklich verpflichtend festgelegt.

➡ Auch hier sollten daher differenzierte vertragliche Regelungen Klarheit schaffen.

Haftung des Herstellers von Maschinen und Anlagen für Sicherheitslücken in der SPS:

Dieses Thema ist keine Frage des EU-Digitalrechts, sondern des Schuldrechts. Für Kaufverträge, auf die das deutsche Recht anzuwenden ist, hat der BGH mehrfach klargestellt, dass der Zulieferer nicht Erfüllungsgehilfe des Herstellers ist (z.B. in BGH Urteil vom 2. April 2014 – VIII ZR 46/13). Maschinenhersteller dürften daher i.d.R. nicht für Fehler oder Sicherheitslücken in der zugekauften SPS haften, wenn sie den Zulieferer sorgfältig ausgewählt haben.