Cyber Resilience Act: EU stärkt Cybersicherheit von Hard- und Software

Smart Home, Smart Mobility und Industrie 4.0: Vom Alltag über die Mobilität bis hin zur Produktion in Fabriken werden immer mehr Bereiche unseres täglichen Lebens smarter, d. h. digitaler und damit vernetzter. Laut aktuellen Studien liegt die durchschnittliche Anzahl an vernetzten Geräten (IoT-Devices) pro Haushalt in Europa bei 17,4 – ein Anstieg um zwölf Prozent und damit mehr als im internationalen Vergleich. Die fortschreitende Verbreitung digitaler Technologien schafft eine Vielzahl neuer Möglichkeiten, sowohl für private als auch für gewerbliche Nutzer. Allerdings bringt die Digitalisierung auch zahlreiche Herausforderungen in Bezug auf Sicherheit und Datenschutz mit sich.

In Unternehmen ermöglicht der Einsatz von Sensoren und Akkutoren in Maschinen und Anlagen die Echtzeitüberwachung ebenso wie die darauf aufbauend vorausschauende Wartung. Unternehmen bieten zunehmend nicht mehr nur Hardware-Lösungen wie Produktionsmaschinen, sondern auch digitale plattform- sowie App-basierte Services.

Vernetzte Produkte sind jedoch konstant den Bedrohungen von Cyberkriminellen ausgesetzt. Diesen Risiken kann durch gezielte technische, regulatorische und verhaltensbezogene Maßnahmen (z. B. Security-by-Design) begegnet werden. Die deutsche Industrie investiert bereits in die Cybersicherheit von Produkten, Prozessen, Menschen und Dienstleistungen. Dennoch ist eine hundertprozentige Cybersicherheit nicht zu erreichen, geschweige denn zu garantieren.

Einigung erzielt: Cyber Resilience Act tritt 2024 in Kraft

Vor dem Hintergrund der zunehmenden digitalen Transformation in Privathaushalten und der Industrie sowie der konstant hohen Cyberbedrohungslage hat die Europäische Kommission 2021 den Cyber Resilience Act vorgeschlagen. Der Cyber Resilience Act führt für alle Produkte mit digitalen Elementen verpflichtende Cybersicherheitsanforderungen ein. Zudem wird über den Cyber Resilience Act ein Schwachstellenmanagement für die Hersteller dieser Produkte etabliert. Durch die Kombination Cybersicherheitsanforderungen und Schwachstellenmanagement wird die Cyberresilienz von Produkten im gesamten Wertschöpfungsprozess – vom Design über die Produktion und Inverkehrbringung bis zum Betrieb – gestärkt.

Die europäischen Gesetzgeber in Rat und Parlament konnten sich im Dezember 2023 auf einen gemeinsamen Text für den Cyber Resilience Act verständigen. Dieser wird aktuell in alle EU-Amtssprachen übersetzt und dann durch das neu gewählte Parlament im sogenannten Corrigendum-Verfahren Ende des Jahres 2024 angenommen.

BDI unterstützt Regulierungsvorhaben - Unternehmen müssen jetzt mit der Umsetzung beginnen

Für Unternehmen sind kohärente gesetzliche Regelungen entscheidend, um die Entwicklung und das Inverkehrbringen von Produkten zu ermöglichen, die den gesetzlichen Anforderungen entsprechen. Der BDI hat sich daher – gemeinsam mit dem Deutschen Institut für Normung (DIN) und  der Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (DKE) sowie dem Verband der Maschinen- und Anlagenbauer (VDMA), dem Zentralverband der Elektro- und Digitalindustrie (ZVEI) und dem Bitkom – zwischen 2019 und 2022 für die Einführung von horizontalen Cybersicherheitsanforderungen eingesetzt, die sich an den Grundsätzen des New Legislative Framework, dem Ordnungsrahmen für die Europäische Produktregulierung, orientieren. Die deutsche Wirtschaft unterstützt die Europäische Union (EU) folglich in ihrem Bestreben, die Cyberresilienz Europas ganzheitlich zu stärken, indem sie Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen einführt. Der Cyber Resilience Act wird Betreiber Kritischer Infrastrukturen sowie besonders wichtige und wichtige Einrichtungen dabei unterstützen, ihre Risikomanagementmaßnahmen gemäß NIS-2-Richtlinie umzusetzen.

Der nun beschlossene Gesetzestext verlangt den produzierenden Unternehmen viel ab, da sie binnen drei Jahren die weitreichenden Anforderungen des Cyber Resilience Acts umsetzen müssen. Gleichzeitig werden cyberresiliente Produkte insbesondere jene Unternehmen helfen, die die Cybersicherheitsanforderungen der NIS-2-Richtlinie umsetzen müssen. Wenn auf dem europäischen Markt nur noch cyberresiliente Produkte (Hard- und Software) verfügbar sind, dann erleichtert dies die Implementierung der Risikomanagementmaßnahmen erheblich.