© Pexels/ Andrea Piacquadio

Cyber Resilience Act: EU stärkt Cybersicherheit von Hard- und Software

Im Durchschnitt besitzt ein Europäer 17 vernetzbare Geräte. Auch in der Industrie nimmt die digitale Transformation zunehmend an Fahrt auf. Würden IT- und OT-Lösungen von Cyberkriminellen kompromittiert, könnten die Folgen gravierend sein. Mit dem EU Cyber Resilience Act hat die Europäische Kommission Mitte September 2022 einen zentralen Meilenstein zur Stärkung von Europas Cyberresilienz veröffentlicht. In den Trilogverhandlungen muss jetzt ein praxistauglicher Verordnungstext geeint werden.

Smart Home, Smart Mobility und Industrie 4.0: Vom Alltag über die Mobilität bis hin zur Produktion in Fabriken werden immer mehr Bereiche unseres täglichen Lebens smarter, d. h. digitaler und damit vernetzter. Laut aktuellen Studien liegt die durchschnittliche Anzahl an vernetzten Geräten (IoT-Devices) pro Haushalt in Europa bei 17,4 – ein Anstieg um zwölf Prozent und damit mehr als im internationalen Vergleich. Die fortschreitende Verbreitung digitaler Technologien schafft eine Vielzahl neuer Möglichkeiten, sowohl für private als auch für gewerbliche Nutzer. Allerdings bringt die Digitalisierung auch zahlreiche Herausforderungen in Bezug auf Sicherheit und Datenschutz mit sich.

In Unternehmen ermöglicht der Einsatz von Sensoren und Akkutoren in Maschinen und Anlagen die Echtzeitüberwachung ebenso wie die darauf aufbauend vorausschauende Wartung. Unternehmen bieten zunehmend nicht mehr nur Hardware-Lösungen wie Produktionsmaschinen, sondern auch digitale plattform- sowie App-basierte Services.

Vernetzte Produkte sind jedoch konstant den Bedrohungen von Cyberkriminellen ausgesetzt. Diesen Risiken kann durch gezielte technische, regulatorische und verhaltensbezogene Maßnahmen (z. B. Security-by-Design) begegnet werden. Die deutsche Industrie investiert bereits in die Cybersicherheit von Produkten, Prozessen, Menschen und Dienstleistungen. Dennoch ist eine hundertprozentige Cybersicherheit nicht zu erreichen, geschweige denn zu garantieren.

Die Zeichen stehen auf Einigung noch vor den EU-Parlamentswahlen 2024

Vor dem Hintergrund der zunehmenden digitalen Transformation in Privathaushalten und der Industrie sowie der konstant hohen Cyberbedrohungslage hat die Europäische Kommission 2021 den Cyber Resilience Act vorgeschlagen. Der Cyber Resilience Act führt für alle Produkte mit digitalen Elementen verpflichtende Cybersicherheitsanforderungen ein. Zudem wird über den Cyber Resilience Act ein Schwachstellenmanagement für die Hersteller dieser Produkte etabliert. Durch die Kombination Cybersicherheitsanforderungen und Schwachstellenmanagement wird die Cyberresilienz von Produkten im gesamten Wertschöpfungsprozess – vom Design über die Produktion und Inverkehrbringung bis zum Betrieb – gestärkt.

Die europäischen Gesetzgeber in Rat und Parlament zielen auf einen Abschluss des Gesetzgebungsverfahrens vor den Europawahlen Anfang Juni 2024 ab. Sollte das Gesetzgebungsverfahren die nicht spätestens zum Ende des ersten Quartals 2024 abgeschlossen sein, würde es erst nach der Ernennung einer neuen EU-Kommission im Herbst des kommenden Jahres wieder aufgenommen werden. Im schlimmsten Fall würde das neu zusammengesetzt EU-Parlament sein Verhandlungsmandat nochmals anpassen, wodurch es zu signifikanten Verzögerungen käme, die sich Europa angesichts der massiven Cyberbedrohungslage nicht erlauben kann.

Die Trilogverhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union wurden Mitte September 2023 initiiert. Die Verhandlungspositionen weichen jedoch teils deutlich voneinander ab – insbesondere in der Frage der Klassifizierung der Produktgruppen, die in den Anwendungsbereich des Cyber Resilience Acts fallen.

BDI unterstützt Regulierungsvorhaben und legt konkrete Vorschläge vor

Für Unternehmen sind kohärente gesetzliche Regelungen entscheidend, um die Entwicklung und das Inverkehrbringen von Produkten zu ermöglichen, die den gesetzlichen Anforderungen entsprechen. Der BDI hat sich daher – gemeinsam mit dem Deutschen Institut für Normung (DIN) und  der Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (DKE) sowie dem Verband der Maschinen- und Anlagenbauer (VDMA) und dem Zentralverband der Elektro- und Digitalindustrie (ZVEI) und dem Bitkom – zwischen 2019 und 2022 für die Einführung von horizontalen Cybersicherheitsanforderungen eingesetzt, die sich an den Grundsätzen des New Legislative Framework, dem Ordnungsrahmen für die Europäische Produktregulierung, orientieren. Die deutsche Wirtschaft unterstützt die Europäische Union (EU) folglich in ihrem Bestreben, die Cyberresilienz Europas ganzheitlich zu stärken, indem sie Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen einführt. Der Cyber Resilience Act wird Betreiber Kritischer Infrastrukturen sowie besonders wichtige und wichtige Einrichtungen dabei unterstützen, ihre Risikomanagementmaßnahmen gemäß NIS-2-Richtlinie umzusetzen.

Bei den laufenden interinstitutionellen Verhandlungen kommt es jetzt darauf an, sich auf praxisnahe Anforderungen zu verständigen. Aus BDI-Sicht sind insbesondere wichtig:

  • Umsetzungsfrist von mindestens 36 Monaten einführen: Da eine Vielzahl von Hard- und Software in den Anwendungsbereich des CRA fallen, sind Hersteller und Entwickler von ganz unterschiedlichen Produkten gefordert, die Anforderungen des CRA umzusetzen. Voraussetzung dafür ist die Entwicklung harmonisierter Standards in Standardisierungsorganisation. Gleichzeitig muss die Marktaufsicht durch geeignetes Personal und Fachexpertise ertüchtigt werden. Die ursprünglich vorgesehene Umsetzungsfrist von 12 bis 24 Monate ist dafür zu kurz. Der BDI spricht sich für eine Umsetzungsfrist von mindestens 36, idealerweise sogar 48 Monate aus.
  • Ersatzteile aus dem Anwendungsbereich ausnehmen: Da Unternehmen nicht für einen unbefristeten Zeitraum Updates für so-genannte Legacy-Produkte bereithalten können, gleichzeitig – auch aus Nachhaltigkeitserwägungen – einen möglichst langen Betrieb ermöglichen wollen, müssen Ersatzteile aus dem Anwendungsbereich der Verordnung ausgenommen werden. Dies gilt insbesondere im industriellen Umfeld, in dem Produktionsanlagen sowie große IoT-Geräte (z.B. Lokomotiven) vielfach 30 bis 50 Jahre im Einsatz sind.
  • Updatefrist sollte produktspezifisch ausgestaltet werden: Die EU-Kommission hat in ihrem Entwurf vorgesehen, dass jeder Hersteller eines Produkts mit digitalen Elementen für fünf Jahre Updates zur Verfügung stellen muss. Dies erachten wir als unpraktikabel aufgrund der sehr heterogenen Produktgruppen, die in den Anwendungsbereich der Verordnung fallen. Hersteller sollten vielmehr beim Anbieten ihres Produkts (z.B. auf der Verpackung eines Smartphones) transparent kommunizieren, wie lange sie Updates anbieten. So kann Cybersicherheit zu einem Wettbewerbskriterium werden.

Publikationen

Weiterführende Links

StandardsBreakfast Webtalk zum Thema: Cybersecurity – Sind wir den Cyberkriminellen schutzlos ausgeliefert?

nach oben