Was verbindet EROWA mit dem Thema Cybersicherheit?
Thomas Wittich: Wir bewegen uns wie viele andere Industriefirmen in mehreren Spannungsfeldern: Einerseits geht es um klassische IT-Sicherheit, andererseits um die Absicherung von OT-Systemen in der Produktion. Zusätzlich unterscheiden sich die Anforderungen je nach Rolle – ob wir Betreiber eigener Systeme sind oder Hersteller und Integrator von Produkten und Lösungen, die beim Kunden im Einsatz stehen. Das führt zu unterschiedlichen Massnahmen und Zuständigkeiten.
Hinzu kommt ein Zielkonflikt: Mehr Cybersicherheit bedeutet grundsätzlich stabilere und robustere Systeme. Gleichzeitig können strengere Sicherheitsmechanismen aber die Inbetriebnahme und Wartungszugriffe deutlich erschweren.
Wann wurde fĂĽr Sie klar, dass der Cyber Resilience Act fĂĽr EROWA relevant wird?
Wir haben das Thema auf dem Radar, seit die Verordnung im Dezember 2024 in Kraft getreten ist. Wir verfolgen regulatorische Entwicklungen regelmässig – wenn auch nicht immer systematisch. Beim CRA war jedoch klar, dass es mit umfassenden Auswirkungen auf Produkte, Prozesse und die Organisation verbunden ist.
Wo und wie betrifft der CRA Ihr Unternehmen konkret?
Kurz gesagt: praktisch überall. Wir entwickeln und produzieren hochpräzise Automationssysteme mit eingebetteter Software und digital vernetzten Schnittstellen. Betroffen sind sowohl unsere eigenen Produkte als auch zugekaufte Komponenten, mechatronische Systeme ebenso wie Software.
Welche Bereiche oder Funktionen sind bei Ihnen besonders gefordert?
Besonders stark betroffen ist die Softwareentwicklung, vor allem im Umgang mit bestehender Legacy-Software, bei der die Cybersicherheit nicht systematisch integriert wurde. Daneben sind aber auch die Produktentwicklung insgesamt sowie die Qualitätssicherung involviert.
Welche Fragen oder Unsicherheiten beschäftigen Sie aktuell am meisten?
Auf technischer Ebene ist wie bereits erwähnt der Umgang mit Legacy-Software ein zentrales Thema: Wie lassen sich bestehende Systeme CRA-konform weiterentwickeln, ohne unverhältnismässige Eingriffe vornehmen zu müssen.
Rechtlich sorgen die noch fehlenden harmonisierten Normen fĂĽr Unsicherheit. Solange diese nicht vorliegen, bleibt unklar, wie bestimmte Anforderungen konkret umzusetzen und nachzuweisen sind.
Organisatorisch ist es vor allem der Umfang an Dokumentationspflichten, der Respekt einflösst. Wobei die Anforderungen erst richtig eingeschätzt werden können, wenn die erwähnten harmonisierten Normen verfügbar sind.
Ist der Cyber Resilience Act aus Ihrer Sicht Fluch oder Segen?
Für Betreiber von Systemen ist er langfristig sicher ein Gewinn, da er zu stabileren und sichereren Produkten beitragen wird. Für Hersteller und Integratoren wie uns bedeutet er jedoch einen sehr hohen bürokratischen Aufwand. Dieser lässt sich kaum über zusätzlichen Umsatz oder höhere Preise kompensieren.
Warum haben Sie sich fĂĽr die Teilnahme am Praxiszirkel Cyber Resilience Act entschieden?
Mich interessiert, wie Firmen mit ähnlicher Ausgangslage die Anforderungen angehen. Zudem möchte ich mit den Best-Practice-Beispielen ein Gespür dafür entwickeln, was in der Praxis machbar ist. Und es geht mir um Wissenserweiterung durch den Zugang zu aktuellen Informationen sowie den direkten Austausch.
Praxiszirkel
«Cyber Resilience Act»
Der Praxiszirkel richtet sich an Industrieunternehmen, die den Cyber Resilience Act praxisnah einordnen und strukturiert umsetzen wollen. Im Fokus stehen die Einschätzung der Betroffenheit, relevante Anforderungen und realistische Umsetzungsschritte.