Mitsubishi Electric sichert CE-Konformität mit Resilienz Management

Der Cyber Resilience Act (CRA) verpflichtet Hersteller, Importeure und Händler, Cybersicherheit über den gesamten Lebenszyklus von Produkten mit digitalen Elementen nachweisbar umzusetzen. Für die industrielle Automatisierung bedeutet das, dass Produkte von Anfang an sicher entwickelt werden („Secure by Design”), mit voreingestellten Sicherheitsfunktionen ausgeliefert werden („Secure by Default”), bekannte Schwachstellen aktiv behoben werden und über den gesamten Lebenszyklus kostenlose Sicherheitsupdates verfügbar sind.

Die Verordnung (EU) 2024/2847 wurde am 20. November 2024 veröffentlicht. Ab dem 11. September 2026 greifen Meldepflichten für aktiv ausgenutzte Schwachstellen, ab dem 11. Dezember 2027 gelten alle Anforderungen vollständig. Damit wird Cybersicherheit zu einem zentralen Bestandteil der CE-Konformität.

Für Betreiber vernetzter Produktionsanlagen steigern verbindliche Update- und Meldeprozesse die Planbarkeit und reduzieren Risiken in der Lieferkette. Steuerungen, HMIs und Netzwerktechnik müssen künftig nicht nur leistungsfähig, sondern auch auditierbar cyberresilient sein. Mitsubishi Electric integriert die CRA-Vorgaben konsequent in Entwicklung, Betrieb und Support. Ein Product Security Incident Response Team (PSIRT) koordiniert das Schwachstellenmanagement und veröffentlicht Gegenmaßnahmen. Als CVE Numbering Authority (CNA) kann Mitsubishi Electric Sicherheitslücken eindeutig kennzeichnen und transparent kommunizieren. Ergänzend setzt das Unternehmen auf signierte Firmware-Updates, rollenbasierte Zugriffskontrollen und Monitoring-Konzepte, die den Betrieb schützen und Compliance sicherstellen. Alle Maßnahmen orientieren sich an internationalen Standards wie IEC 62443-4-2 und schaffen eine belastbare Grundlage für Audit und Nachweisführung.

Von HMI bis SPS: Technische Maßnahmen für auditierbare Cyberresilienz

Mitsubishi Electric ist dabei, diese Anforderungen erfolgreich umzusetzen. Bei HMIs, wie zum Beispiel bei der neuenGOT3000-Serie kommen signierte Firmware-Updates, restriktive Standardkonfigurationen und eine rollenbasierte Benutzerverwaltung zum Einsatz. SPS-Systeme wie die neuen Plattformen MELSEC MX-F und MX-F werden durch getrennte Engineering- und Betriebsnetze, verschlüsselte Fernzugriffe und definierte Update-Prozesse gegen Cyberattacken resilient gemacht. Typische Nachweise umfassen eine vollständige SBOM, dokumentierte Patch-Prozesse, Log-Export und die Kommunikation des Supportzeitraums. Für Antriebe, Roboter und Engineering-Software gelten vergleichbare Prinzipien: sichere Kommunikationspfade, dokumentierte Lebenszyklus-Supportzeiten und Offenlegung bekannter CVEs (Common Vulnerabilities and Exposures). Diese Maßnahmen erhöhen die Resilienz gegenüber Manipulationen und unterstützen die Nachweisführung im Rahmen der CE-Kennzeichnung.

Aktuelle Bedrohungslage und regulatorischer Druck

Die Relevanz des CRA wird durch aktuelle Entwicklungen unterstrichen. Laut Dragos Report stieg die Zahl der Ransomware-Angriffe auf Industrieorganisationen im Jahr 2024 gegenüber 2023 um mehr als 87 Prozent, parallel wurden neue ICS-spezifische Malware-Familien identifiziert. Gleichzeitig verschärft Deutschland mit dem NIS-2--Umsetzungsgesetz die Anforderungen an Unternehmen: Rund 29?000 Unternehmen fallen seit Ende 2025 unter erweiterte Sicherheits- und Meldepflichten, Cybersecurity wird ausdrücklich zur Leitungsaufgabe. Damit steigt der Compliance-Druck entlang der industriellen Lieferkette erheblich und ergänzt die Vorgaben des CRA.

Mehr Vertrauen in industrielle Systeme

Der CRA eröffnet Chancen für mehr Transparenz und Vertrauen in Automatisierungslösungen. Mitsubishi Electric bietet Lösungsansätze für eine sichere, zukunftsfähige Produktion, von sicheren Firmware-Updates über Zugriffskontrollen bis hin zu Monitoring-Konzepten. Ergänzend stellt das Unternehmen Checklisten und Security Advisories bereit, um die Nachweisführung für Audits zu erleichtern. Praxisbeispiele wie wöchentliche Patchfenster für HMIs oder SPS-Engineering über Jump-Hosts nach dem Bastion-Prinzip verdeutlichen den Nutzen für den Betrieb.

Quelle: MITSUBISHI