Cyber Resilience Act stärkt Europas Cybersicherheitsniveau

Smart Home, Smart Mobility und Industrie 4.0: Vom Alltag über die Mobilität bis hin zur Produktion in Fabriken werden immer mehr Bereiche unseres täglichen Lebens smarter, d. h. digitaler und damit vernetzter. Nach aktuellen Schätzungen soll die Zahl vernetzter Geräte weltweit bis 2030 auf circa 29 Milliarden steigen. Zum Vergleich: 2019 waren es knapp neun Milliarden vernetzte Gegenstände. Die fortschreitende Verbreitung digitaler Technologien schafft eine Vielzahl neuer Möglichkeiten, sowohl für private als auch für gewerbliche Nutzer. Allerdings bringt die Digitalisierung auch zahlreiche Herausforderungen in Bezug auf Sicherheit und Datenschutz mit sich.

Cybersicherheit für vernetzbare Produkte

Immer mehr Heimgeräte, wie Kühlschränke und Fernseher, sind mit dem Internet verbunden – und werden dadurch „smart“. Allerdings sind sie auch den potenziellen Bedrohungen aus dem Cyberraum ausgesetzt. Diesen Risiken kann durch gezielte technische, regulatorische und verhaltensbezogene Maßnahmen (z. B. Security-by-Design) begegnet werden. Die deutsche Industrie investiert bereits in die Cybersicherheit von Produkten, Prozessen, Menschen und Dienstleistungen. Dennoch ist eine hundertprozentige Cybersicherheit nicht zu erreichen, geschweige denn zu garantieren.

Für Unternehmen sind kohärente gesetzliche Regelungen entscheidend, um die Entwicklung und das Inverkehrbringen von Produkten zu ermöglichen, die den gesetzlichen Anforderungen entsprechen. Der BDI hat sich daher – gemeinsam mit DIN und DKE sowie den Verbänden Bitkom, VDMA und ZVEI – zwischen 2019 und 2022 für die Einführung von horizontalen Cybersicherheitsanforderungen eingesetzt, die sich an den Grundsätzen des New Legislative Framework, dem Ordnungsrahmen für die Europäische Produktregulierung, orientieren. Wir begrüßen daher die Veröffentlichung des Entwurfs für den Cyber Resilience Act durch die Europäische Kommission.

Während die Einhaltung der in den Schemata des EU Cybersecurity Acts festgelegten Anforderungen a priori freiwillig ist, sieht der Cyber Resilience Act für alle Produkte mit digitalen Elementen verpflichtende Cybersicherheitsanforderungen vor. Zudem wird über den CRA ein Schwachstellenmanagement für die Hersteller dieser Produkte eingeführt. Durch die Kombination Cybersicherheitsanforderungen und Schwachstellenmanagement wird die Cyberresilienz von Produkten im gesamten Wertschöpfungsprozess – vom Design über die Produktion und Inverkehrbringung bis zum Betrieb – gestärkt.

Durch den von der EU-Kommission vorgeschlagenen horizontalen Ansatz wird eine Fragmentierung von Cybersicherheitsanforderungen vermieden und gleichzeitig die Kohärenz der Anforderungen gewährleistet.

Cyber Resilience Act praxisnahe Ausgestaltung notwendig

Der Cyber Resilience Act ist ein wichtiger Schritt zur Stärkung des Cybersicherheitsniveaus Europas. Nur wenn alle Produkte mit digitalen Elementen, die auf dem europäischen Binnenmarkt in Verkehr gebracht werden, risikoadäquate Cybersicherheitsanforderungen erfüllen, wird Europas Cyberresilienz langfristig erhöht. Gleichwohl hat der Kommissionsentwurf noch Schwächen, die im bevorstehenden Trilog nachgebessert werden müssen, damit die vorgesehenen Cybersicherheitsanforderungen für Unternehmen realistisch umsetzbar sind. Es braucht eine längere Umsetzungsfrist für die Verordnung, klarere Regeln für den Umgang mit Software-as-a-Service und Open Source-Lösungen sowie eine verpflichtende Beteiligung staatlicher Stellen am Teilen von Schwachstellen. Im weiteren Gesetzgebungsprozess müssen risikoadäquate Cybersicherheitsanforderungen und die bestimmungsgemäße Verwendung von Produkten noch gezielter im Gesetzestext adressiert werden.

Die Umsetzungsfrist des Cyber Resilienz Acts muss mindestens 36 Monate betragen, damit Unternehmen, die staatliche Marktüberwachung und die Standardisierungsorganisationen die notwendigen Maßnahmen zur Implementierung der Anforderungen sicherstellen können. Erst nach Abschluss des Gesetzgebungsverfahren kann die EU-Kommission das Normungsmandat erteilen und die europäischen Standardisierungsorganisationen die konkreten technischen Anforderungen entwickeln. Hersteller von Produkten mit digitalen Elementen benötigen ausreichend Zeit, um die technischen Anforderungen in ihrem Produktentwicklungsprozess berücksichtigen und CRA-konforme Produkte fertigen zu können. Angesichts der Lücke von rund 100.000 IT-Security-Fachkräften allein in Deutschland werden die Marktaufsichtsbehörden und die Unternehmen große Schwierigkeiten haben, ausreichend Mitarbeitende für die Umsetzung der neuen Anforderungen fristgerecht zu rekrutieren.

Vertrauen in digitale Lösungen: CE-Kennzeichen steht zukünftig (auch) für Cybersicherheit

Das New Legislative Framework konzentriert sich auf das Inverkehrbringen eines Produkts auf dem europäischen Binnenmarkt. Ziel ist es, sicherzustellen, dass alle Produkte und Dienstleistungen, die von Herstellern und Importeuren auf dem europäischen Binnenmarkt in Verkehr gebracht werden, den Anforderungen an die Sicherheit entsprechen. Dies trägt zu einer sicheren Inbetriebnahme dieser Produkte bei. 

Produkte, die den Anforderungen der auf dem NLF basierenden europäischen Normen entsprechen, tragen die CE-Kennzeichnung. Der NLF bietet transparente Bedingungen für die Konformitätskennzeichnung und Konformitätserklärung. Die Anwendung der CE-Kennzeichnung ist seit vielen Jahren erprobt und etabliert. Private und gewerbliche Anwender erkennen an der CE-Kennzeichnung die Einhaltung der entsprechenden Anforderungen. Durch die Verbindung von Konformitätsbewertung und Marktüberwachung wirkt die CE-Kennzeichnung als Vertrauensanker für private und gewerbliche Kunden.

Die deutsche Industrie begrüßt, dass zukünftig die CE-Kennzeichnung auch für Cybersicherheit steht und damit den Anforderungen einer zunehmend digitalisierten Gesellschaft Rechnung trägt.