VDE-AR-E 2802-20 Anwendungsregel:2021-10

Die VDE-Anwendungsregel VDE-AR-E 2802-20 gilt für den Anwendungsbereich der Industrie 4.0 und beschreibt ein standardisiertes und strukturiertes Vorgehensmodell zur Erstellung eines Cybersecurity-Konzeptes. Zielgruppe sind die unterschiedlichen Rollen in der industriellen Automatisierungstechnik, vom Produkthersteller über den Integrator bis zum Betreiber.
Das in der VDE-Anwendungsregel VDE-AR-E 2802-20 beschriebene Vorgehensmodell liefert eine standardisierte und strukturierte Herangehensweise zur Identifikation des angemessenen Schutzbedarfs von Geschäftsprozessen und Informationen (primären Vermögenswerten, en: primary assets), der Auswahl von zugehörigen Maßnahmenkatalogen und geeigneter Maßnahmenpakete für informationsverarbeitende Vermögenswerte (unterstützende Vermögenswerte, en: supporting assets) zu deren Absicherung, sowie deren Implementierung und Verifikation. Auf eine detaillierte Risikoanalyse wird hierzu zunächst verzichtet, diese kann und teilweise muss ergänzend durchgeführt werden.
Vorhandenes Cybersecurity-Expertenwissen in Form von Maßnahmenkatalogen und Best-Practices bilden die essenzielle Basis und dienen als Startpunkt für die Erarbeitung eines Cybersecurity-Konzeptes, der Umsetzung und Verifikation.
Die VDE-Anwendungsregel VDE-AR-E 2802-20 beschreibt keine detaillierte Risikoanalyse. Diese kann und teilweise muss ergänzend durchgeführt werden.
Ein typisches Anwendungsbeispiel ist die Industrieautomation. In einem Beispielszenario für diesen Bereich wird das Vorgehensmodell aufgezeigt und verdeutlicht.
Ankündigungstext englisch:
The VDE application guide VDE-AR-E 2802-20 applies to the application area of Industry 4.0 and describes a standardized and structured procedure model for creating a cybersecurity concept. The target groups are the various roles in industrial automation technology, from the product manufacturer and the integrator to the operator.
The procedure model described in the VDE application guide VDE-AR-E 2802-20 provides a standardized and structured approach for identifying the appropriate need for protection of business processes and information (primary assets), the selection of associated catalogs of measures and suitable packages of measures for information-processing assets (supporting assets) for their protection, and their implementation and verification. For the time being, a detailed risk analysis is not required; it can and, in some cases, must be carried out as a supplement.
Existing cybersecurity expert knowledge in the form of catalogs of measures and best practices form the essential basis and serve as a starting point for the development of a cybersecurity concept, implementation and verification.
The VDE application guide VDE-AR-E 2802-20 does not describe a detailed risk analysis. This can and in some cases must be carried out as a supplement.
A typical application example is industrial automation. The process model is demonstrated and clarified in an example scenario for this area.