Der Beitrag „CRA oder IEC 62443“ schafft hier Klarheit: Er liefert einen strukturierten Fragenkatalog, mit dem Sie prüfen können, ob Ihr Produkt unter den CRA fällt, unter IEC 62443 oder unter beide Vorschriften.

Einige zentrale Kriterien sind:

• Handelt es sich um ein digitales Produkt mit Netzwerkverbindung?
• Wird das Produkt in der EU in Verkehr gebracht oder bereitgestellt?
• Wird das Produkt in einem industriellen oder sicherheitskritischen Umfeld eingesetzt?
• Kommuniziert es mit OT-Komponenten oder ist Teil eines automatisierten Steuerungs- oder IACS-Systems?

Anhand konkreter Praxisbeispiele (z. B. Steuerungskomponente, Maschinensteuerung, Industrie-Cloud oder Fernwartungs-App) wird gezeigt, wie sich diese Regelwerke überschneiden oder abgrenzen.

ICS unterstützt Sie mit GAP-Analysen und maßgeschneiderten Strategien bei der Umsetzung – so dass Sie rechtskonform arbeiten, Risiken früh erkennen und Wettbewerbsvorteile sichern.

Den vollständigen Artikel mit allen Details und Praxisbeispielen lesen Sie hier: CRA oder IEC 62443 – was gilt wann für welches Produkt

Die Informatik Consulting Systems GmbH (ICS) macht deutlich: Niemand muss sich alleine durch regulatorische Vorgaben kämpfen. Entscheidend ist, einen Partner an der Seite zu haben, der zuhört, Orientierung gibt und den Weg mitgeht.

NIS2 und CRA: aktueller Stand

• Die NIS2-Richtlinie wurde am 27. Dezember 2022 veröffentlicht. Die Mitgliedsstaaten müssen sie bis 17. Oktober 2024 in nationales Recht umsetzen.
• Der Cyber Resilience Act (CRA) trat am 10. Dezember 2024 in Kraft. Ab September 2026 gelten erste Meldepflichten, ab 11. Dezember 2027 sind alle Anforderungen verbindlich.
• Beide Regelwerke greifen ineinander: Während NIS2 Betreiber und Dienste adressiert, stellt der CRA Anforderungen an Produkte mit digitalen Elementen.

ICS begleitet praxisnah

ICS setzt in seiner Beratung auf einen strukturierten Ansatz:

• Zuhören und einordnen: Jedes Unternehmen bringt individuelle Herausforderungen mit.
• Unterstützung bei Entscheidungen: Klärung von Prioritäten und Handlungspfaden.
• Umsetzung mit SECIRA: Das ICS-Tool visualisiert Risiken, macht komplexe Zusammenhänge verständlich und sorgt für normgerechte Dokumentation.

Das Ziel: Klarheit schaffen und Sicherheit greifbar machen – vom ersten Orientierungsgespräch bis zur operativen Umsetzung.

Die Vorfälle zeigen eindrücklich: Wenn zentrale Dienstleister oder Komponenten in der Abfertigungskette kompromittiert werden, hat das unmittelbare Auswirkungen auf den Betrieb ganzer Flughäfen. Für Betreiber, Airlines und Dienstleister wird deutlich, dass Prävention und schnelle Erkennungs- sowie Reaktionsfähigkeiten zur Kernanforderung gehören.

Retro-Feeling ist nett – aber nicht bei IT-Security. Manuelle Notlösungen können kurzfristig helfen, sind langfristig jedoch inakzeptabel: Sie verursachen Image-Schäden, hohe Kosten und gefährden die Betriebsstabilität.

Mit dem Pentest-Konfigurator von ICS steht der Branche eine pragmatische Möglichkeit zur Verfügung, gezielt genau dort zu testen, wo die Lücken am wahrscheinlichsten sind. Der Konfigurator erlaubt es, Prüfungen nach Rollen, Systemtypen (z. B. Kioske, Middleware, Back-End) und Angriffsvektoren zu bündeln und so realistische Szenarien abzubilden. Auf diese Weise lassen sich Schwachstellen identifizieren, bevor Angreifer sie ausnutzen – und vermeiden, dass Organisationen plötzlich ins Analogzeitalter zurückkatapultiert werden.

Mehr Informationen zum Pentest-Konfigurator und zur individuellen Sicherheitsprüfung:
>> zum Konfigurator

Viele Unternehmen setzen noch immer auf Excel-Tabellen, um Risiken zu erfassen. Doch damit stoßen sie schnell an Grenzen:

• Fehleranfälligkeit: Versionen überschneiden sich, Historien fehlen, Daten werden uneinheitlich gepflegt.
• Mangelnder Kontext: Risiken werden isoliert bewertet – ohne Bezug zu Assets, Abhängigkeiten oder Schnittstellen.
• Keine Dynamik: Excel ist statisch, während Bedrohungen sich täglich weiterentwickeln.

Die Realität ist: Einzelmaßnahmen und Insellösungen genügen nicht mehr. Gefragt sind Systeme, die Risiken automatisiert bewerten, visuell nachvollziehbar darstellen und normgerecht dokumentieren. Moderne Ansätze im Risikomanagement schaffen Transparenz über die gesamte Angriffsoberfläche – und damit die Basis für fundierte Entscheidungen im Unternehmen.

Ein zukunftssicheres Risikomanagement bedeutet, OT-Sicherheit mit Kontext und Klarheit zu gestalten: Compliance nach IEC 62443, Auditfähigkeit gemäß NIS2 und volle Transparenz für alle Stakeholder.

So wird Risikomanagement nicht zur lästigen Pflicht, sondern zum strategischen Werkzeug für mehr Sicherheit und Vertrauen.

Fazit und Ausblick

Die Bedrohungslage wächst – und mit ihr die Verantwortung, proaktiv zu handeln. Wer sein Risikomanagement heute modernisiert, schützt nicht nur Systeme, sondern auch Vertrauen, Reputation und Wettbewerbsfähigkeit.

>> Jetzt ist der richtige Zeitpunkt, um von statischen Tabellen auf intelligente Lösungen umzusteigen. Unternehmen, die handeln, sind den Angriffen von morgen einen entscheidenden Schritt voraus.

mehr zu ICS und SECIRA

Karg erklärt, wie der System Under Consideration (SUC) klar definiert werden muss, damit keine Komponenten übersehen werden – weder aus zu engem Blickwinkel noch aus zu großer Verallgemeinerung. Im Interview wird deutlich: Die Risikoanalyse nach IEC 62443-3-2 benötigt zwei Stufen – eine initiale Bewertung ausschließlich nach Auswirkungsklassen wie Vertraulichkeit, Integrität oder Verfügbarkeit, gefolgt von der detaillierten Analyse, sobald Risiken identifiziert sind.

Ein zentrales Element ist das Modellieren von Zonen und Conduits – die logische Aufteilung von Systemen und deren Verbindungen, damit unterschiedliche Schutzanforderungen und Schnittstellen klar zugeordnet sind. Liegt ein Risiko oberhalb des tolerablen Bereichs vor, erfolgt eine vertiefte Analyse. Interventionen wie Firewalls, Verschlüsselung, organisatorische Maßnahmen und vielem mehr werden iterativ eingeführt und deren Wirkung bewertet.

Stefan Karg betont außerdem, dass Unternehmen, gerade kleine und mittlere, oft vor Herausforderungen stehen: mangelnde Erfahrung, begrenzte Ressourcen, kein geeignetes Werkzeug. ICS begegnet dem mit der Plattform SECIRA, die Risikoanalysen entlang des IEC 62443-3-2 Ansatzes strukturiert, transparent und skalierbar macht – inklusive Dokumentation und Auditfähigkeit.

Warum dieses Interview lesen lohnt

• Es enthält praxisnahe Antworten, wie eine Risikoanalyse in OT-Umgebungen Schritt für Schritt aufgebaut wird.
• Es vermittelt, wie Unternehmen klare Verantwortlichkeiten definieren und Sicherheitsniveaus festlegen.
• Es beleuchtet, wie normkonforme Risikoeinschätzungen in vielen Fällen auch Compliance-Vorgaben wie NIS2 oder CRA stützen.
• Leser bekommen Einblicke in Tools und Methoden, die bei echten Umsetzungsprojekten in Industrie und Bahntechnik verwendet werden.

>> zum Interview mit Stefan Karg

Der Beitrag bietet einen Schnelltest, um die eigene Risikoanalyse auf Struktur und Sicherheit zu prüfen: Wurde das System klar definiert? Sind Gefährdungen vollständig erfasst? Liegt eine nachvollziehbare Risikobewertung vor? Wurden signifikante Änderungen korrekt dokumentiert? Und: Ist der gesamte Lebenszyklus des Systems berücksichtigt?

Diese Reflexionspunkte bilden eine fundierte Grundlage, um Auditanforderungen, wie sie die Sektorleitlinie für den deutschen Bahnbereich stellt, sicher zu erfüllen. Die Sektorleitlinie konkretisiert das europaweit geltende CSM-RA-Verfahren etwa bei Änderungen an Signalanlagen, Energie- oder Telekommunikationssystemen – ein Thema, das ICS praxisnah begleitet.

Mit interdisziplinären Workshops, methodischer Tiefe und Erfahrungen aus der Bahnbranche unterstützt ICS Unternehmen entlang aller Phasen – von der ersten Risikoerfassung bis zur abschließenden Dokumentation.

Klicke auf den >> Blog-Link, um mehr zu erfahren – und sichere deine Risikoanalyse nach den aktuellen Vorgaben der Branche ab!

Die Informatik Consulting Systems GmbH (ICS) zeigt mit SECIRA, wie Risikomanagement heute funktionieren muss: visuell, kollaborativ, automatisiert – und auditfähig. SECIRA bildet die Risikolandschaft auf Basis eines digitalen Zwillings ab, programmiert priorisierte Bewertungen und liefert fertige Dashboards.

Herausforderungen mit Excel:

• Versionschaos: Excel ist nicht für Teamarbeit konzipiert – ständiges Überschreiben, verlorene Versionen und hohe Fehleranfälligkeit sind die Folge.
• Mangelnde Nachvollziehbarkeit: Wer hat wann was geändert? Excel bietet keine revisionssichere Historie – problematisch bei Audits oder Compliance.
• Kein Kontextbezug: Risiken stehen oft isoliert — ohne Bezug zu Assets, Normen oder Systemarchitekturen (z. B. IEC 62443, CRA).
• Schlechte Skalierbarkeit: Bei zunehmender Komplexität wird Excel unübersichtlich und fehlerträchtig.
• Fehlende Automatisierung: Analyse, Priorisierung und Berichterstattung müssen manuell erstellt werden — zeitaufwendig und fehleranfällig.

SECIRA als moderne Alternative:

• Automatische Dashboards & Reporting – ideal für Audits, Management und Sicherheit.
• Gemeinsame Plattform für alle Beteiligten – inklusive Rollen, Versionskontrolle, Kommentare und Historie.
• Digitaler Zwilling als Basis – Risiken visualisieren sich im Systemzusammenhang, inklusive Komponenten und Schnittstellen.
• Normen-Ready: Unterstützt Anforderungen wie NIS2, CRA oder branchenspezifische Vorgaben.

SECIRA ersetzt Unsicherheit durch Übersicht, manuelle Mühe durch Automatisierung und Bauchgefühl durch fundierte Entscheidungshilfen.

>> zum Blogartikel

Das Branchenevent in Berlin brachte mehr als 145 Referent:innen auf drei Bühnen, 170 Aussteller und rund 1.700 Fach- und Führungskräfte aus der gesamten Wertschöpfungskette der Bahnindustrie zusammen. Für ICS war dies der ideale Rahmen, um ihre Expertise im Bereich Cybersecurity und Risikomanagement sichtbar zu machen.

Ein Höhepunkt war der Vortrag von Patric Birr, COO der ICS, zum Thema „Cybersecurity im Bahnsektor: Automatisierung von Risikoanalysen“. Der große Andrang im Anschluss zeigte deutlich, wie hoch der Bedarf an innovativen Lösungen ist.

Besonders SECIRA stieß auf enormes Interesse: Die Lösung macht komplexe Risiken verständlich, schafft Transparenz und unterstützt Unternehmen dabei, NIS2- und CRA-Anforderungen effizient umzusetzen. Sowohl neue Kontakte als auch Gespräche mit Bestandskunden und potenziellen Partnern bestätigten den Mehrwert des Ansatzes.

Ein herzliches Dankeschön gilt allen Besucher:innen sowie dem gesamten ICS-Team vor Ort und im Hintergrund – der gemeinsame Einsatz war die Basis für diesen Erfolg.

Der aktuelle Blogbeitrag der Informatik Consulting Systems GmbH (ICS) zeigt, wie TCMS über klare Architektur und normgerechte Integration Subsysteme wie Traktion, Türen, HLK oder Diagnose zuverlässig verbindet. Das Ergebnis: mehr Sicherheit, Struktur und Betriebssicherheit – perfekt orchestriert im Zugsystem.

Zentrale Inhalte des Blogartikels:

• Nahtlose Subsystemeinbindung: TCMS steuert alle kritischen Elemente und reduziert Komplexität durch klare Verantwortlichkeite
• Normkonformität (EN 50716:2023): Millisekundengenaue Kommunikation und SIL-Umsetzung (SIL2–SIL4) sichern Systemzuverlässigkeit
• Kommunikationstechnologien im Fokus: Von MVB über WTB bis Ethernet – jede Architektur erfordert spezifisch abgestimmte Bus-System

Architektur & Verifikation: ICS begleitet vom Requirements Engineering über Schnittstellendesign bis zur sicheren Verifikation – modular, dokumentiert und revisionssicher

Diese integrativen Methoden—TCMS als zentrale Steuerplattform, klare Zuständigkeiten, normgerechte Standards—legen die Basis für sicherheitskritische, wartungsfreundliche und zukunftsfähige Fahrzeugsysteme.

>> Zum Artikel