Seit dem Frühjahr 2023 regelt die TRBS 1115 Teil 1 die Cybersicherheit von Aufzügen und weiteren überwachungsbedürftigen Anlagen. Bislang stehen lediglich die Anlagenbetreiber in der Pflicht, diesen Anforderungen an die Cybersicherheit nachzukommen. Für Aufzugs- und Aufzugskomponentenhersteller existieren zwar bereits verschiedene Regelwerke, um ihre Bauteile vor versehentlicher oder absichtlicher Kompromittierung zu schützen, verpflichtend sind diese aber Stand heute nicht.
In Zukunft wird es voraussichtlich auch für die Aufzugsbranche verpflichtende Vorgaben zur Cybersicherheit von Bauteilen geben – wahrscheinlich in Form einer harmonisierten Richtlinie der relevanten Normen. Wie diese Richtlinie im Detail aussehen wird, ist nach heutigem Stand noch nicht final geklärt. Wie also sollen Aufzugs- und Aufzugskomponentenhersteller das eigene Portfolio auf künftige, regulatorische Anforderungen vorbereiten, ohne den genauen Wortlaut zu kennen?
Auch wenn es aktuell noch keine verpflichtenden Vorgaben zur Cybersicherheit bei der Herstellung von Aufzügen und den entsprechenden Bauteilen in der EU gibt, können Sie sich bereits heute für die Zukunft rüsten. Durch den Cyber Resilience Act (CRA) werden Anforderungen der Cybersicherheit bei der Inverkehrbringung auf dem europäischen Markt für sogenannte "Produkte mit digitalen Elementen" verpflichtend. Das bedeutet, dass Cybersicherheit für das CE-Kennzeichen ab dem 11. Dezember 2027 essenziell wird und bereits ab dem 11. September 2026 Meldepflichten bezüglich ausgenutzter Schwachstellen und Sicherheitsvorfällen bestehen. Auch Aufzugskomponenten sind hiervon betroffen.
Es ist abzusehen, dass durch die Erfüllung der Anforderungen aus der ISO 8102-20 bereits ein Großteil der künftigen Obligationen für Aufzugs- und Aufzugskomponentenhersteller aus dem CRA abgedeckt werden.
Wir helfen Ihnen dabei, den Stand der Cybersicherheit Ihrer Aufzugskomponenten zu bewerten, damit Sie sich optimal auf die künftigen Regelungen vorbereiten können. Im Rahmen unseres Assessments bewerten unsere Experten Ihre Produkte auf Basis der ISO 8102-20. Diese spezifiziert elektrische Anforderungen für Komponenten, Aufzüge, Fahrtreppen und Fahrsteige in Bezug auf Cybersicherheit. Grundlage der ISO 8102-20 ist die internationale Normenreihe IEC 62443 für Cybersicherheit im industriellen Umfeld.
Das Assessment besteht aus zwei Stufen, einer Vorprüfung und der eigentlichen Prüfung.
Zentrales Element der Vorprüfung ist eine Checkliste zur Feststellung der relevanten Domäne Ihrer Komponente und des aktuellen Stands der Cybersicherheit in Ihrem Entwicklungsprozess. Auf Basis Ihrer Beantwortung und der Auswertung unserer Experten findet ein initialer Workshop statt.
In der zweiten Stufe des Assessments findet die eigentliche Prüfung statt. Dabei unterziehen unsere Experten die bereitgestellten Dokumente einer Ordnungsprüfung, stellen Abweichungen zur ISO 8102-20 zusammen und Ihnen zur Durchsicht zur Verfügung. Es folgt ein zweiter Workshop.
Falls notwendig haben Sie im Anschluss die Gelegenheit für eine Revision bzw. Nachbesserungen. Danach erfolgt die Überprüfung der Revision durch unsere Experten und die Erstellung des Prüfberichts. Im weiteren Verlauf findet jährlich eine stichprobenartige Überprüfung statt.