Cyberresiliente IoT: Einführung horizontaler Cybersicherheitsanforderungen

Flaggen der EU und ihrer Mitgliedsländer

© Fotolia/Sven Hoppe

Im Jahr 2022 wird jeder Deutsche fast 10 vernetzte Geräte besitzen. Würden diese von Cyberkriminellen gehackt, könnten die Folgen gravierend sein. Neben umfangreichen Cyberangriffen auf Kritische Infrastrukturen und Unternehmen, werden auch sensible Privat- und Geschäftsdaten zunehmend gestohlen. Daher bedarf es der Einführung horizontaler Cybersicherheitsanforderungen auf Basis des New Legislative Frameworks. Die CE-Kennzeichnung muss für Cybersicherheit stehen.

Smart Home, Smart Mobility und Industrie 4.0: Vom Alltag über die Mobilität bis hin zur Produktion in Fabriken werden immer mehr Bereiche unseres täglichen Lebens smarter, d. h. digitaler und damit vernetzter. Nach aktuellen Schätzungen soll die Zahl vernetzter Geräte weltweit bis 2030 auf 125 Milliarden steigen. Zum Vergleich: 2017 waren es noch 27 Milliarden vernetzte Gegenstände. Die fortschreitende Verbreitung digitaler Technologien schafft eine Vielzahl neuer Möglichkeiten, sowohl für private als auch für gewerbliche Nutzer. Allerdings bringt die Digitalisierung auch zahlreiche Herausforderungen in Bezug auf Sicherheit und Datenschutz mit sich.

Cybersicherheit für vernetzbare Produkte

Immer mehr Heimgeräte, wie Kühlschränke und Fernseher, sind mit dem Internet verbunden – und werden dadurch „smart“. Allerdings sind sie auch den potenziellen Bedrohungen aus dem Cyberraum ausgesetzt. Diesen Risiken kann durch gezielte technische, regulatorische und verhaltensbezogene Maßnahmen (z. B. Security-by-Design) begegnet werden. Die deutsche Industrie investiert bereits in die Cybersicherheit von Produkten, Prozessen, Menschen und Dienstleistungen. Dennoch ist eine hundertprozentige Cybersicherheit nicht zu erreichen, geschweige denn zu garantieren.

Für Unternehmen sind kohärente gesetzliche Regelungen entscheidend, um die Entwicklung und das Inverkehrbringen von Produkten zu ermöglichen, die den gesetzlichen Anforderungen entsprechen. Der BDI setzt sich daher – gemeinsam mit DIN und DKE – für die Einführung von horizontalen Cybersicherheitsanforderungen ein, die sich an den Grundsätzen des New Legislative Framework, dem Ordnungsrahmen für die Europäische Produktregulierung, orientieren. Wir begrüßen daher die Schlussfolgerungen des Europäischen Rates zur Cybersicherheit von vernetzten Geräten. Der Rat unterstreicht darin die Notwendigkeit ganzheitlicher und vergleichbarer Anforderungen an die Cybersicherheit von IT-Systemen und IT-Komponenten.

Während die Einhaltung der in den Schemata des EU Cybersecurity Acts festgelegten Anforderungen a priori freiwillig ist, sind verpflichtende Anforderungen an Produkte nur über einen Rechtsakt auf Basis des New Legislative Framework (NLF) möglich. Horizontale Anforderungen sind der Einführung von Cybersicherheitsanforderungen in vertikale, produktgruppenspezifische Rechtsakte vorzuziehen. Nur ein horizontaler Ansatz vermeidet die Fragmentierung von Cybersicherheitsanforderungen und gewährleistet gleichzeitig die Kohärenz der Anforderungen.

Die Bedrohungslage im Cyberraum verändert sich stetig, umso wichtiger ist, dass der regulatorische Rahmen hiermit Schritt halten kann. Um eine übergreifende Cyberresilienz zu erreichen, sollten daher nur allgemein verbindliche Schutzziele gesetzlich definiert werden. Diese sollten dann durch harmonisierte europäische Normen (hEN) konkretisiert werden, die die dynamische Entwicklung des Stands der Technik widerspiegeln.

Vertrauen in digitale Lösungen: CE-Kennzeichen muss für Cybersicherheit stehen

Das New Legislative Framework konzentriert sich auf das Inverkehrbringen eines Produkts auf dem europäischen Binnenmarkt. Ziel ist es, sicherzustellen, dass alle Produkte und Dienstleistungen, die von Herstellern und Importeuren auf dem europäischen Binnenmarkt in Verkehr gebracht werden, den Anforderungen an die Sicherheit entsprechen. Dies trägt zu einer sicheren Inbetriebnahme dieser Produkte bei. 

Produkte, die den Anforderungen der auf dem NLF basierenden europäischen Normen entsprechen, tragen die CE-Kennzeichnung. Der NLF bietet transparente Bedingungen für die Konformitätskennzeichnung und Konformitätserklärung. Die Anwendung der CE-Kennzeichnung ist seit vielen Jahren erprobt und etabliert. Private und gewerbliche Anwender erkennen an der CE-Kennzeichnung die Einhaltung der entsprechenden Anforderungen. Durch die Verbindung von Konformitätsbewertung und Marktüberwachung wirkt die CE-Kennzeichnung als Vertrauensanker für private und gewerbliche Kunden.

BDI, DIN und DKE fordern die Politik auf, horizontale NLF-basierte Cybersicherheitsanforderungen vorzuschlagen. Damit würden Produkte, die mit der CE-Kennzeichnung auf den europäischen Markt gebracht werden, nicht nur ein hohes Maß an physischer Sicherheit, sondern auch ein risikoadäquates Maß an Cyberresilienz gewährleisten. Zugleich würde die CE-Kennzeichnung in das digitale Zeitalter überführt werden.

Was bedeutet das für den EU Cybersecurity Act?

Derzeit werden die Anforderungen an die Cybersicherheit in produktspezifischen Schemata aus Basis des EU Cybersecurity Act entwickelt. Aus Sicht von BDI, DIN und DKE ist dieser Ansatz wenig zielführend. Vielmehr bedarf es eines ganzheitlichen Ansatzes. Nur ein horizontaler Ansatz auf Basis des NLF kann eine überschneidungsfreie und lückenlose Regulierung von Cybersicherheit über Produktgruppen hinweg gewährleisten. Wir schlagen daher eine Brücke zwischen diesen beiden Rechtsakten vor.

Mit einer Brücke zwischen den Cybersicherheitsanforderungen einer produktbezogenen horizontalen NLF-basierten EU-Rechtsvorschrift und einschlägigen Schemata unter dem EU-Cybersecurity Act können sich beide Konzepte ergänzen. So können auch in der Verbindung der beiden Rechtsakte kohärente Cybersicherheitsanforderungen für die erfassten Produkte realisiert werden. Während der EU Cybersecurity Act also nicht abgeschafft würde, würden harmonisierte europäische Normen, die auf Basis eines künftigen NLF-basierten Rechtsakts zur Cybersicherheit entwickelt werden, einen Vorrang genießen. Dadurch würde unabhängig vom konkreten vernetzbaren Produkt, das Cybersicherheitsniveau ganzheitlich erhöht werden.