VdS-Richtlinie 3836 komplett überarbeitet

Die Folge: Das potentielle Schadensniveau für Personen oder Sachwerte beim Ausfall einzelner Systemknoten kann Auswirkungen auf den gesamten Verbund haben und steigt mit dem Grad der Vernetzung exponentiell. Neben der Funktions- und Betriebssicherheit nimmt daher die Cyber-Sicherheit zunehmend eine fundamentale Rolle ein.

VdS 3836 (02) mit enger Anbindung an IEC 62443

Für die neue Version der VdS 3836 haben wir in einem großen Arbeitskreis, bestehend aus Experten der Sicherheitsbranche, Behördenvertretern, Versicherern sowie Herstellern und Betreibern von Systemen und Einrichtungen, umfassende Änderungen erarbeitet. Vor allem gibt es jetzt deutlich mehr Überschneidung mit der Industrienormenreihe IEC 62443 („Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“) als bei der Vorgänger-Version. Man könnte es so auf den Punkt bringen: Die Richtlinien VdS 3836 (02) konkretisieren die IEC 62443 für Komponenten und Systeme der Brandschutz- und Sicherungstechnik und machen sie somit anwendbar für die Branche. Geltungsbereich der neuen VdS 3836.
Bild: VdS

Zum Hintergrund: In vielen Industriebereichen sind die IEC-Normen bereits etabliert, für zahlreiche Hersteller aus den spezifischen Sicherheitsbereichen ist sie aber an vielen Stellen zu unkonkret, oft zu komplex und in der Praxis daher kaum anwendbar. Die neuen VdS-Richtlinien gehen gezielt darauf ein, was in der Brandschutz- und Sicherungstechnik sinnvoll und notwendig ist.

Europäische Cyber-Resilience-Act stellt hohe Anforderungen

Angesichts der Entwicklungen in der europäischen Gesetzgebung wird dieses Thema in naher Zukunft noch relevanter: 2019 wurde der Cyber-Security-Act verabschiedet, der unter anderem die Zielsetzung verfolgt, die Cyber-Sicherheit von IKT-Produkten (Informations- und Kommunikationstechnologien) und Dienstleistungen im europäischen Binnenmarkt zu verbessern und die Widerstandskraft gegenüber Cyber-Bedrohungen zu stärken. Bald wird es darüber hinaus den Cyber-Resilience-Act geben, der zurzeit verhandelt wird. Der erste veröffentlichte Entwurf fordert verbindlich ein hohes Maß an Cyber-Sicherheit. Während sich der Cyber-Security Act in erster Linie an Institutionen und Behörden richtet, die sich mit der Konformitätsbewertung von Cyber-Sicherheit befassen, wird der CyberResilience-Act für alle Hersteller, Distributoren und Importeure maßgeblich sein, deren digitale Produkte eine direkte oder indirekte Kommunikationsverbindung zu weiteren Geräten oder Netzwerken nutzen. Die Produktverantwortlichen werden voraussichtlich dazu verpflichtet sein, vor Inverkehrbringung ihrer Produkte ein risikoadäquates Cyber-Sicherheitsniveau nachzuweisen. Für viele Unternehmen ist die Zertifizierung eines anerkannten Standards daher ausgesprochen hilfreich.

Geltungsbereiche der VdS 3836(02)

Die neuen Richtlinien gelten für Systeme und Komponenten wie diese:

Überfall- und Einbruchmeldeanlagen,

Brandmelde- und Sprachalarmanlagen,

Wächterkontroll- und Sicherungsanlagen,

Feuerlöschanlagen,

Mechatronische Sicherungstechnik,

Videosicherheitsanlagen und -managementsysteme,

andere Gefahrenmelde- und -alarmierungsanlagen,

Übertragungs- und Alarmempfangseinrichtungen,

Managementsysteme der Brandschutz- und Sicherungstechnik.

Bei den nächsten Brandschutztagen des VdS in Köln am 6. und 7. Dezember 2023 wird die Richtlinie selbstverständlich auch Thema sein.
Bild: VdS

Die Anforderungen der Richtlinie beziehen sich auf alle exponierten Schnittstellen sowie Steuerungs-, Regel- und Bedienfunktionen der Komponente, die die Cyber-Sicherheit der Komponente oder weiterer Komponenten und Systeme, die daran angeschlossen sind, beeinflussen können.Was ist damit aber konkret gemeint? Beispielsweise bieten Anlagen und Systeme der Brandschutz- und Sicherheitstechnik teils Schnittstellen an, über die eine Fernkonfiguration oder -bedienung durch den Errichter bzw. Betreiber über das Internet möglich ist. Aus Sicht der Cyber-Sicherheit stellen sich dabei aber einige Fragen, die vom Errichter bzw. Betreiber vor der Nutzung unbedingt beantwortet werden sollten: Werden bei der Kommunikation mit der Anlage sensible Daten ausgetauscht? Sind Kommunikationssitzungen besonders zu schützen? Werden aktuelle Verfahren zur Identifikation und Authentifizierung der Nutzer verwendet? Welche Ereignisse/Aktionen sind aus Sicht der Cyber-Sicherheit zulässig? Was ist zu tun bei unerlaubten Aktionen, bei Fehlern oder Störereignissen? Für diese und noch viele weitere Fragestellungen definieren die Richtlinien Schutzziele, die durch die VdS-Laboratorien überprüft und zertifiziert werden können.

VdS 3836 (02) kostenlos für Seminarteilnehmer

Die Richtlinien VdS 3836 (02) sind kostenpflichtig im VdS-Webshop verfügbar. Wer das Online-Seminar „VdS 3836 – Cyber-Sicherheit für Systeme und Komponenten der Brandschutz- und Sicherungstechnik“ bucht ( https://vds.de/el-vds3836), erhält die Richtlinien vorab kostenlos.