Use-Case Industrial-IoT · Maxvorstadt + Neubiberg · CRA + IEC 62443 + NIS2

Cyber Resilience Act + IEC 62443 + EU AI Act für Industrial-IoT - Siemens-Maxvorstadt und Infineon-Campeon-Cluster

Siemens Maxvorstadt + Infineon Neubiberg. Cyber Resilience Act EU 2024/2847 seit 11.12.2024. IEC 62443 SL-Target. NIS2 + EU AI Act Anhang III für Industrial AI.

Workshop am Grindelberg Alle 7 Use-Cases ←

Kapitel 1 — Vier Compliance-Welten parallel

CRA + IEC 62443 + NIS2 + EU AI Act - in einer Decision-Chain pro Produkt-Release.

Münchner Industrial-IoT-Konzerne tragen vier parallele Compliance-Welten pro Produkt-Update: EU Cyber Resilience Act (CRA, EU 2024/2847) seit 11.12.2024 in Kraft, mit Conformity-Assessment + SBOM + 24h-Vulnerability-Disclosure. IEC 62443 mit Security Level Target pro Zone/Conduit (SL 1-4) und 7 Foundational Requirements. NIS2 (EU 2022/2555) umgesetzt durch NIS2UmsuCG seit 10/2024 mit 24h-Incident-Reporting an BSI. EU AI Act für Industrial AI in Anhang I (Sicherheits-Komponenten Maschinenrichtlinie) oder Anhang III Punkt 8 (Versorgungsinfrastruktur).

Plus Münchner Aufsicht: BayLDA-KI-Checkliste v0.9 vom 24.01.2024 + DSK-Orientierungshilfe KI und Datenschutz 06.05.2024 für DSGVO-Schicht. BSI-Grundschutz + BSI-Kritisverordnung für KRITIS-Subset (Siemens Energy, Infineon Halbleiter-Lieferanten). Maschinenrichtlinie (EU 2023/1230) für Industrial Control Systems mit AI-Komponenten.

Decision-Layer-Split typisch für Industrial-IoT-Produkt-Release: 40% REGELWERK (CRA-Conformity-Assessment-Records, IEC-62443-FR-Validierung, NIS2-Risk-Management-Maßnahmen, SBOM-Generation), 40% KI AUTONOM (Threat-Model-Klassifikation, Vulnerability-Severity-Scoring, OT-Netzwerk-Topologie-Analyse, Conformity-Assessment-Pre-Triage), 20% MENSCH (CISO/CTO-Sign-Off bei SL-Target-Erhöhung, NIS2-Incident-Klassifikation, Conformity-Assessment-Final-Review).

Audit-Trail per Produkt-Release: CRA-Conformity-Assessment-Record-ID (z.B. cra_ca_v2026_q2), IEC-62443-SL-Target + FR-Status, NIS2-Risk-Management-Records nach Art. 21, SBOM-Hash, EU-AI-Act-Logging gemäß Art. 12 (wo applicable). Beim Notified Body-Audit (CRA) + BSI-Audit (NIS2) + AI-Conformity-Assessment-Audit: 1-Klick-Export pro Audit-Format.

Kapitel 2 — Decision-Record für eine CRA-Conformity-Assessment-Entscheidung

Wie ein Industrial-IoT-Sensor-Produkt-Release den CRA durchläuft.

Anonymisierter Decision-Record für eine CRA-Conformity-Assessment-Decision bei einem Münchner Industrial-IoT-Konzern (z.B. Siemens-Sensor-Produkt). Tag 1 von 84 vor geplantem Produkt-Release. Mit IEC 62443 SL-Target-Wahl + NIS2-Risk-Management.

CRA-CA-2026-05-17-IOT-SENSOR-V4

CRA Conformity Assessment · Industrial-IoT-Sensor v4.0 · Eingang 17.05.2026 · Geplanter Release 10.08.2026

Ergebnis Self-Assessment-Pfad · IEC 62443 SL 2 · NIS2-Reporting integriert
  1. 01 REGEL

    CRA-Produkt-Klassifizierung

    Produkt fällt unter CRA Annex III - Sensor mit digitalen Elementen, vernetzt. Nicht in Annex III Critical Class (kein PKI/Smart-Card). Self-Assessment-Pfad möglich. Regel cra_classification_v2.1.

    ✓ Self-Assessment-Pfad
  2. 02 REGEL

    SBOM-Generierung (Software Bill of Materials)

    Automatische SBOM-Generierung aus Build-Pipeline (CycloneDX-Format). Alle Open-Source-Komponenten + Versions + Lizenz erfasst. SBOM-Hash für Produkt-Release-Record persistiert. Regel sbom_cra_v3.4.

    ✓ SBOM persistiert
  3. 03 KI

    Vulnerability-Scoring (Modell <code>cra-vuln-scoring-v2.1</code>)

    SBOM gegen NIST NVD + ENISA Database gemappt. 3 bekannte CVEs in Dependencies (CVSS 4.2, 5.8, 7.1). Höchster: CVE-2026-XXXX in libssl 3.0.x. Modell klassifiziert Auswirkung im Produkt-Kontext (CVSS 7.1 in unserem Use-Case = 4.5 wegen isoliertem Network-Segment).

    Confidence 0.93 · Schwelle 0.85

    ✓ 3 CVEs identifiziert
  4. 04 REGEL

    IEC 62443 SL-Target-Wahl

    Produkt-Use-Case: Smart Manufacturing Sensor mit OT-Network-Integration. Threat-Model: Industrial Espionage + Sabotage. SL-Target Empfehlung: SL 2 (Skilled Attacker Protection). Foundational Requirements FR 1-7 Check-Liste. Regel iec62443_sl_target_v2.0.

    ✓ SL 2 vorgeschlagen
  5. 05 KI

    FR-Status-Pre-Check pro Foundational Requirement

    FR 1 (I&A): X.509-Cert-basiert ✓. FR 2 (Use Control): RBAC implementiert ✓. FR 3 (System Integrity): SBOM + Code-Signing ✓. FR 4 (Data Conf): TLS 1.3 ✓. FR 5 (Restricted Data Flow): Network-Segmentation ✓. FR 6 (Timely Response): Logging + Alerting ✓. FR 7 (Resource Availability): Redundanz + Failover ✓. Modell iec-fr-checker-v1.7.

    Confidence 0.94 · Schwelle 0.85

    ✓ FR 1-7 erfüllt
  6. 06 MENSCH

    CISO-Sign-Off bei SL-Target-Wahl

    Pflicht-Stop bei SL-Target. CISO Hr. M. (Industrial Security, 12 Jahre Siemens) erhält Decision-Record mit Threat-Model, SL-Target-Empfehlung, FR-Status, CVE-Liste. Entscheidet SL 2 (bestätigt) vs. SL 3 (würde Re-Zertifizierung kosten). Dokumentiert mit Begründung.

    ✓ SL 2 bestätigt
  7. 07 REGEL

    NIS2-Risk-Management-Records-Update

    Produkt-Update + 3 CVEs + SL 2 Bestätigung → NIS2 Art. 21 Risk-Management-Records aktualisiert. BSI-Meldung nicht erforderlich (CVEs sind in Dependencies, nicht aktiv ausgenutzt, kein Significant Incident). Regel nis2_risk_v2.3.

    ✓ Records aktualisiert
  8. 08 REGEL

    CRA Conformity Assessment Final Sign-Off

    Self-Assessment komplett: Annex I Essential Cybersecurity Requirements (Security by Design, Vulnerability Handling, Conformity Assessment) + Annex II Information Requirements (User Documentation). Conformity-Assessment-Records pro Anhang dokumentiert. CE-Marking-Eligibility bestätigt. Regel cra_conformity_v3.1.

    ✓ Self-Assessment komplett
  9. 09 REGEL

    Audit-Trail-Persist (CRA + IEC 62443 + NIS2)

    Vollständiger Decision-Record persistiert mit SBOM-Hash, CVE-Liste, SL-Target-Begründung, FR-Status, CISO-Sign-Off, NIS2-Records. 1-Klick-Export für CRA-Notified-Body-Format (wenn Audit erforderlich), IEC-62443-Assessment-Sicht, BSI-Meldewesen-Format. EU-AI-Act-Logging falls AI in Produkt. Regel audit_v1.4.

    ✓ Audit-Trail persistiert

Kapitel 3 — Workshop im Munich Urban Colab oder bei Siemens/Infineon

Engineering aus Hamburg, Workshop in Maxvorstadt oder Neubiberg.

Engineering-Hauptsitz Hallerstraße 8 Hamburg. Workshop in München: Munich Urban Colab (Freddie-Mercury-Straße 5, Kreativquartier) als neutraler Boden oder direkt bei Siemens (Werner-von-Siemens-Straße 1, Maxvorstadt) oder Infineon (Am Campeon 1-15, Neubiberg-Campeon-Campus). Separate Räume für CISO-Session, Engineering-Workshop, Compliance/DPO-Briefing, BR-Sitzung. Workshop unter 10.000 EUR.

Industrial-IoT-Workshop-Pattern: Tag 1 = Threat-Model-Mapping (Siemens-/Infineon-Engineering + CISO + OT-Security + Compliance). Tag 2 = Decision-Layer-Demo mit Industrial-IoT-Use-Cases (CRA-Self-Assessment, IEC-62443-SL-Target-Wahl, NIS2-Incident-Reporting, EU-AI-Act-Logging). Tag 3 = Integration-Workshop mit OT-Tooling (z.B. Siemens SIMATIC SCADA, Infineon Tools, OPCUA-Gateways). Plus Konzern-BR-Session mit IG-Metall-Sachverständigem (Industrial Security ist BR-relevant durch Verhaltens-/Leistungs-Datenerfassung).

Integration mit Industrial-IT/OT: Decision-Layer integriert mit Industrial-IoT-Plattformen: Siemens MindSphere/Insights Hub, AWS IoT, Azure IoT, IBM Maximo Application Suite. OT-Protokolle: OPC-UA, MQTT, Modbus, PROFINET. SBOM-Tools: CycloneDX, SPDX, Anchore Grype, Snyk. CRA-Compliance-Tools: noch nicht standardisiert, Decision-Layer kann als Conformity-Assessment-Workbench dienen. Quellcode der Adapter geht mit Repository-Übergabe an Siemens/Infineon - kein Vendor Lock-in der Schnittstellen.

Konzern-BR-Mitbestimmung bei Industrial-IoT: Industrial-IoT-Datenerfassung in Produktionsumgebung erfasst Mitarbeiter-Daten (Arbeitsplatz-Sensoren, Maschinenbedienungs-Logs). § 87 (1) Nr. 6 BetrVG zwingend. Münchner Siemens-KBR hat Erfahrung mit IIoT-Mitbestimmungs-Verhandlungen seit ~2019 (MindSphere-Einführung). Konzern-BV-Muster für IIoT-mit-AI muss messbare Eskalations-Schwellen + Audit-Trail-UI für Sachverständige + technisch erzwungener Anonymisierungs-Pfad bei Verhaltens-relevanten Daten haben. Decision-Layer erfüllt das.

Verwandte Use-Cases

Häufige Fragen

Welche Münchner Industrial-IoT-Konzerne adressiert diese Spoke?
Siemens AG (Konzernzentrale Werner-von-Siemens-Straße 1, 80333 München-Maxvorstadt, seit 2016 alleinige Konzernzentrale - kein Doppel-HQ mit Berlin), Infineon Technologies AG (Am Campeon 1-15, 85579 Neubiberg, Landkreis München - NICHT München-Stadt). Plus weitere Münchner Industrial-Player: Rohde & Schwarz (Messtechnik, München-Riem), Krones, Wacker Chemie (Industrial-IoT für Chemie-Produktion). Plus Linde Engineering Pullach für Process-Industry-IoT.
Was ist Cyber Resilience Act (CRA) konkret und was bedeutet er für Industrial-IoT?
EU CRA Verordnung 2024/2847, in Kraft seit 11.12.2024. Vollanwendung Dezember 2027 (mit Übergang ab 11.06.2026 für Reporting-Pflichten). Erfasst alle Produkte mit digitalen Elementen (PDE): von Smart-Sensoren über IoT-Gateways bis zu Industrial Control Systemen (ICS). Pflichten: Conformity Assessment (Self-Assessment + Notified Body je nach Risiko-Klasse), Vulnerability-Disclosure-Pflicht (24h für aktiv ausgenutzte Schwachstellen), Software Bill of Materials (SBOM), CE-Marking als Konformitäts-Nachweis. Für Siemens/Infineon: jedes vernetzte Produkt fällt unter CRA. Decision-Layer dokumentiert Conformity-Assessment-Records pro Produktversion mit Audit-Trail.
Wie wird IEC 62443 SL-Target im Decision-Layer gemappt?
IEC 62443 (Industrial Communication Networks - Network and System Security) definiert vier Security Levels (SL 1-4) für Zone + Conduit-Architektur. SL-Target ist Pflicht-Decision pro System-Komponente. Decision-Layer-Pattern: REGELWERK validiert SL-Target gegen Foundational Requirements (FR 1-7: Identification & Authentication, Use Control, System Integrity, Data Confidentiality, Restricted Data Flow, Timely Response to Events, Resource Availability). KI AUTONOM klassifiziert OT-Netzwerk-Topologie + Threat-Model. MENSCH-Pflicht bei SL-Target-Erhöhung (z.B. SL 2 → SL 3) wegen Re-Zertifizierungs-Kostenrisiko. Audit-Trail per Komponenten-Update mit IEC-62443-Audit-Format-Export.
Was bedeutet NIS2 für Münchner Industrial-IoT-Konzerne?
EU NIS2-Richtlinie (UE 2022/2555) umgesetzt in Deutsch-NIS2UmsuCG seit Oktober 2024 (mit Verzögerungen bei Detail-Verordnungen). Erfasst kritische und wichtige Einrichtungen - Siemens (Energy, Manufacturing) + Infineon (Halbleiter-Lieferant für KRITIS) sind als wesentliche/wichtige Einrichtungen erfasst. Pflichten: Risk-Management-Maßnahmen (Art. 21), Reporting-Pflicht 24h für signifikante Vorfälle (Art. 23), Aufsichts-Maßnahmen mit Bußgeldern bis 10 Mio. EUR oder 2% Konzernumsatz. Decision-Layer-Audit-Trail unterstützt NIS2-Reporting durch automatisierte Incident-Klassifikation + Eskalations-Pfad zum BSI-Meldewesen.
Wie wird EU AI Act Anhang III für Industrial AI gemappt?
Klassische Industrial AI von Siemens wie Predictive Maintenance oder Production Optimization ist von Anhang III nicht ausdrücklich erfasst - dort geht es um Kreditwürdigkeit (Punkt 5a) und Verbrauchsmuster in Versorgungsinfrastruktur (Punkt 8). Hochrisiko werden Industrial Control Systems mit AI-Komponenten aber über Annex I (Sicherheits-Komponenten von Maschinenrichtlinien). Der Decision-Layer deckt beide Wege ab und erfüllt die Kernpflichten des EU AI Act (Risk-Management nach Art. 9, Logging nach Art. 12, Human-Oversight nach Art. 14, Genauigkeit und Robustheit nach Art. 15) samt Conformity-Assessment-Records nach Annex VI/VII. Vollanwendung ist der 02.08.2026.

Workshop am Grindelberg vereinbaren

3 Tage Discovery: Tag 1 Prozessanalyse, Tag 2 Decision-Layer-Mapping, Tag 3 Use-Case-Priorisierung. Konkretes Liefer-Artefakt.

Termin vereinbaren

Discovery-Workshop unter 10.000 €. Pilot-Festpreis besprechen wir nach dem Workshop.

← Zur Übersicht: AI Agents Hamburg (7 Use-Cases)