Der EU Cyber Resilience Act (CRA) verpflichtet ab Dezember 2027 alle Hersteller von Produkten mit digitalen Elementen zu umfassenden Sicherheitsmaßnahmen. Nach gründlicher Überprüfung ihrer Technologien kommt PROFIBUS & PROFINET International (PI) zu folgendem Ergebnis: PROFINET bietet bereits heute die Grundlage für CRA-Konformität. Hersteller können bestehende Installationen nutzen und je nach Risikobewertung schrittweise erweitern. Mit der PROFINET-Spezifikation stehen zusätzliche Bausteine für erweiterte Sicherheitsanforderungen bereit.

„Die Anforderungen des CRA stellen Unternehmen vor große Herausforderungen“, sagt Xaver Schmidt, Vorstandsvorsitzender der PI. „Unsere Analyse zeigt: Hersteller, die auf PROFINET setzen, haben bereits heute eine solide Basis für CRA-Konformität. Bei höherem Sicherheitsbedarf können Hersteller ihre Produkte künftig Schritt für Schritt mit PROFINET-Security Features erweitern – von authentifizierter sicherer Kommunikation bis hin zur vollständigen Verschlüsselung."

Der CRA verlangt von Herstellern eine Bewertung der Cybersicherheitsrisiken ihrer Produkte. Dabei analysieren sie mögliche Angriffsszenarien und bewerten den erforderlichen Schutz für industrielle Kommunikation. Je nach Risikobewertung können Hersteller einzelne oder mehrere Bausteine aus der PROFINET-Security-Architektur implementieren, um die CRA-Anforderungen an sichere Kommunikation zu erfüllen:

Secure Cell: 
Netzwerksegmentierung und Zugriffskontrolle (Zellenschutzkonzept) sind mit heutigen PROFINET-Installationen bereits umsetzbar. Zusätzliche Härtungsmaßnahmen sind mit der PROFINET Spezifikation V2.5 verfügbar.

Secure Access:
Direkter, sicherer Zugriff auf Geräte von überlagerten Netzwerken für Anwendungsfälle wie Asset Management bis hin zu Artificial Intelligence.

Secure Realtime:
Integrität, Authentifikation und bei Bedarf Vertraulichkeit durch kryptographische Absicherung der azyklischen und zyklischen Echtzeitkommunikation für kritische Infrastrukturen. 

Die Bausteine Secure Access und Secure Realtime werden mit der PROFINET-Spezifikation V2.5 beschrieben, die Mitte 2026 veröffentlicht wird.

„Cybersicherheit ist kein One-size-fits-all-Ansatz, sondern muss skalierbar sein – von der kleinen Standalone-Maschine bis zur kilometerweit verteilten Anlage", so Schmidt. „Die PROFINET-Architektur deckt das gesamte Spektrum ab: von der Netzwerksegmentierung bis zur kryptografisch abgesicherten Echtzeitkommunikation – und das bei gleichbleibender Performance. Entscheidend ist: Viele Hersteller können ihre vorhandenen PROFINET-Installationen als Basis nutzen und bei Bedarf erweitern. Das ermöglicht eine bedarfsgerechte Umsetzung des CRA, ohne Kompromisse beim Datenzugriff."

PI entwickelt die PROFINET-Spezifikation in enger Zusammenarbeit mit dem TÜV SÜD und orientiert sich dabei an der Industrienorm IEC 62443.