SEW-EURODRIVE betreibt ein zertifiziertes Information Security Management System nach ISO/IEC 27001, die die Sicherheit der Daten gewährleisten. Im Einklang mit der NIS-2-Direktive wurden umfassende OT-Security-Maßnahmen implementiert, um die Sicherheit und Verfügbarkeit von Produkten und Dienstleistungen zu gewährleisten. Diese Maßnahmen tragen dazu bei, die Resilienz gegen Cyberangriffe zu erhöhen und die Kontinuität der Geschäftsprozesse zu sichern.
Im Rahmen der Kundenbetreuung verarbeiten wir personenbezogene Daten der Beschäftigten unserer Kunden. SEW-EURODRIVE hält daher geeignete technische und organisatorische Maßnahmen vor, um hierbei die Datenschutzrechte der Beschäftigten zu schützen.
Für Produkte, Applikationen und Systemlösungen gelten bei SEW-EURODRIVE auch im Bereich der Product Security höchste Qualitätsanforderungen. Damit diese über die gesamte Lebensdauer der Produkte hinweg sichergestellt werden können, haben wir unter anderem zur Meldung von Sicherheitsvorfällen oder sicherheitsrelevanten Anfragen ein zentrales Postfach sowie ein Kontaktformular eingerichtet.
Bekannt werdende Schwachstellen und Sicherheitsvorfälle werden über unser zentrales CERT-Team für alle Produkte von SEW-EURODRIVE mit digitalen Elementen behandelt. Resultierende Updates oder anderweitige Security-Empfehlungen zur Risikominimierung veröffentlicht SEW-EURODRIVE in Form von Security Advisories. Darüber hinaus besteht die Möglichkeit sich in einen Newsletter einzutragen, über den wir automatisch Informationen zu neuen und aktualisierten Security Advisories unseren Produkten versenden.
Das von SEW-EURODRIVE eingeführte Product Security Management wurde bereits 2021 vom TÜV NORD gemäß der IEC 62443-4-1 erfolgreich zertifiziert.
Die NIS-2-Richtlinie wurde am 27.12.2022 veröffentlicht und sollte bis 17.10.2024 in den Staaten der EU in nationale Gesetze überführt werden. Das deutsche NIS-2-Umsetzungsgesetz wird zum Ende 2025 erwartet, andere Staaten der EU haben die NIS-2-Richtlinie bereits in ihr nationales Gesetz überführt. Mit der NIS-2-Richtlinie soll ein einheitliches hohes Cybersicherheitsniveau in der EU erreicht werden.
Für die Gesellschaft kritische und wichtige Einrichtungen (Betriebe) müssen technische und organisatorische Maßnahmen zur Erhöhung der Cyberresilienz zur Sicherstellung der Business-Continuity einführen. Dazu gehören unter anderem:
Die EU-Richtlinie für Funkanlagen RED (Radio Equipment Directive) legt die Anforderungen an elektronische Geräte mit Funkschnittstellen in der EU fest. Mit Wirkung ab 01.08.2025 wurde die RED durch einen Delegated Act um Cyber-Sicherheitsanforderungen gesetzlich verpflichtend erweitert. Das Einhalten der RED wird formal in der Konformitätserklärung bestätigt. Produkte, die die Security-Anforderungen der erweiterten RED nicht erfüllen, dürfen ab dem 1.8.2025 nicht mehr in der EU und im EWR in Verkehr gebracht werden.
Die EU-Verordnung wurde im Juli 2023 veröffentlicht und ist nach einer Übergangsfrist von 42 Monaten ab Mitte Januar 2027 für alle EU-Staaten verbindlich. Das Einhalten der MVO wird formal in der Konformitätserklärung bestätigt. Maschinen, die die Anforderungen der neuen MVO nicht erfüllen, dürfen ab dem 20.01.2027 nicht mehr in der EU und im EWR in Verkehr gebracht werden.
Der Cyber Resilience Act (CRA) ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt in Verkehr gebracht werden. Das Einhalten des CRA wird formal in der Konformitätserklärung bestätigt. Produkte, die den CRA nicht erfüllen, dürfen ab dem 11.12.2027 nicht mehr in der EU und im EWR in Verkehr gebracht werden.
Die europäische Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Kurzform "Data Act") hat zum Ziel, die Rechte von Nutzerinnen und Nutzern von vernetzten Produkten und Diensten zu stärken. Außerdem soll der einheitliche Rechtsrahmen den Datenaustausch zwischen Unternehmen in der EU fördern und neue Möglichkeiten für datenbasierte Geschäftsmodelle eröffnen.
Als Pionier der Antriebstechnik integrieren wir Security by Design in alle unsere Lösungen und Produkte und begleiten unsere Kunden als kompetenter Partner durch die sichere digitale Transformation.Dr. Hans Krattenmacher
Angesichts bestehender und kommender Verordnungen der EU und der Fülle der Anforderungen steigt bei Anlagenherstellern und -betreibern die Ratlosigkeit. Wir haben hier die häufigsten Fragen zusammengestellt, die unsere Kunden uns tagtäglich stellen.
Leider unterscheidet die deutsche Sprache nicht zwischen Security und Safety. Dabei ist Unterschied der Bedeutung im Englischen elementar: Safety bezeichnet alle Maßnahmen zur Vermeidung von unabsichtlich auftretenden Gefahren. Um diesen Aspekt der Sicherheit kümmert sich je nach Applikation die passende Sicherheitstechnik bzw. "Functional Safety" in unseren Produkten und Systemlösungen. Security schützt dagegen vor böswilligen und kriminellen Angriffen auf Unternehmen und ihre Leistungen.
Product Security ist ein Zustand, in dem eine Automatisierungs- oder Steuerungslösung vor unbefugtem Zugriff sowie vor unbeabsichtigten oder absichtlichen Änderungen, Verlusten oder Zerstörung geschützt ist. Security umfasst sowohl den Schutz vor digitalen Bedrohungen (Cybersecurity) als auch vor physischen Gefahren (physische Sicherheit). Die EU hat hier entsprechende Richtlinien festgelegt (siehe oben), die entweder verbindlich sind, oder in naher Zukunft verpflichtend werden.
Wenn Sie Hersteller von Produkten, Maschinen und Anlagen sind, die vernetzt sind, untereinander Daten austauschen oder Funkwellen aussenden, müssen Sie die geltenden regulatorischen Anforderungen erfüllen und entsprechende Maßnahmen ergreifen, um die Sicherheitsrisiken für Nutzer, Betreiber und Dritte zu minimieren.
Das Product Security Management von SEW-EURODRIVE wurde vom TÜV NORD gemäß der IEC 62443-4-1 erfolgreich zertifiziert. Es trägt mit Vorkehrungen und Maßnahmen zum Schutz unserer Produkte, Lösungen und Dienstleistungen vor Cyberbedrohungen entlang des gesamten Produktlebenszyklus bei – von der Entwicklung über die Produktion bis hin zum Einsatz bei unseren Kunden.
SEW-EURODRIVE sorgt mit Product-Security-Maßnahmen für den Schutz seiner Produkte, Lösungen und Dienstleistungen vor Cyberbedrohungen. Das gilt entlang des gesamten Lebenszyklus unserer Produkte und Leistungen. Diese Maßnahmen werden kontinuierlich weiterentwickelt. Ein wichtiges Element dabei stellt die Einrichtung unseres zentralen, internationalen CERT-Teams dar, welches Meldungen von Schwachstellen entgegen nimmt, analysiert und bearbeitet.
Neben den in der Europäischen Union bzw. dem Europäischen Wirtschaftsraum ansässigen Ländergesellschaften der SEW-EURODRIVE gelten die oben genannten EU-Richtlinien auch für die Tochtergesellschaften SEW-PowerSystems GmbH (Wangen im Allgäu) und CABA-BLIND Antriebsaggregate GmbH (Neuried). Unser internationales CERT-Team nimmt hierfür die zentrale Rolle ein, zu informieren und Meldungen entgegenzunehmen.
Hinweis:
Von den genannten EU-Richtlinien und Verordnungen unberührt sind bereits ausgelieferte Geräte, Systemlösungen, Ersatzteile sowie Reparaturen.