Cyber Resilience Act in der Kritik

Der TÜV-Verband und ebenso der ZVEI e. V. (Verband der Elektro- und Digitalindustrie) begrüßen den von der EU-Kommission vorgestellten Entwurf des Cyber Resilience Act (CRA) im Grundsatz, fordern aber Nachschärfungen. „Wir begrüßen das Vorhaben, erstmals grundlegende verpflichtende Cybersicherheitsanforderungen für vernetzte Produkte zu schaffen. Dieser Schritt ist längst überfällig, denn nur so können Unternehmen, Behörden und Bürger besser vor Cyberangriffen geschützt werden“, sagt Marc Fliehe, Bereichsleiter Digitalisierung und Cybersicherheit beim TÜV-Verband. „Der Cyber Resilience Act darf aber nicht nur Anforderungen festlegen, sondern er muss auch wirksame Instrumente schaffen, mit denen die Einhaltung dieser Vorgaben verlässlich überprüft werden kann.“ Ansonsten bleibe der Cyber Resilience Act ein zahnloser Tiger. Fliehe: „Cybersicherheit muss endlich integraler Bestandteil der Produktsicherheit werden, angefangen vom vernetzten Spielzeug über DSL-Router bis hin zu sicherheitsrelevanten digitalen Anwendungen in der kritischen Infrastruktur.“

Ähnlich äußert sich Wolfgang Weber, Vorsitzender der ZVEI-Geschäftsführung: „Diese Regulierung wird alle digitalen Produkte im europäischen Binnenmarkt betreffen. Auch wenn es unsere Unternehmen vor enorme Herausforderungen stellt, braucht der europäische Binnenmarkt ein solches harmonisiertes Level-Playing-Field in der Cybersicherheit“. Der vorgelegte Entwurf sei ein wichtiger Schritt.

Kritisch sieht der ZVEI allerdings die weitgefasste Definition bei sogenannten „critical products“ und „highly critical products“, zu denen beispielsweise auch Mikrocontroller, industrielle Automatisierungs- und Steuerungssysteme oder Teile des Industrial Internet of Things gezählt werden, auch wenn sie in keinem kritischen Kontext verwendet werden. „Wenn Unternehmen solche oder darauf aufbauende Produkte auf Basis dieser Einteilung nur erschwert auf den Markt bringen können, wird es zu großen Verzögerungen in der EU beim Einsatz digitaler Produkte und Komponenten kommen“, so Weber.

Statt reine Hochrisikolisten zu führen, müsse deshalb das Konzept des vorgesehenen Verwendungszwecks im Vordergrund stehen. Zudem müssen Hersteller digitaler Produkte und Komponenten bei der Zuweisung der Kritikalität essenziell eingebunden werden, da sie potenzielle Sicherheitsrisiken am besten beurteilen und entsprechende Maßnahmen einleiten können.

Positiv bewertet der Verband der Elektro- und Digitalindustrie, dass der Regulierungsentwurf den Prinzipien des New Legislative Framework (NLF) folgt. Weber: „Diese Vorgehensweise knüpft unmittelbar an etablierte Prozesse in den Unternehmen, unter anderem zur Konformitätsbewertung, an und stärkt die Rolle der europäischen Normung.“ Allerdings ist die vorgesehene Übergangsfrist von 24 Monaten zur Umsetzung solcher Maßnahmen deutlich zu kurz und muss verlängert werden. Die akuten Schwierigkeiten bei der Anwendung der Medical Device Regulation zeigen, wie viel Zeit nötig ist, um alle Produkte bis zum Stichtag einer umfangreichen Konformitätsbewertung zu unterziehen. Die Europäische Kommission sollte hier deshalb längere Fristen setzen, damit harmonisierte Normen rechtzeitig gelistet und eine ausreichende Zahl an Drittstellen zur Konformitätsbewertung benannt werden kann.

Der ZVEI setzt sich bereits seit Jahren aktiv für eine horizontale Regulierung ein, die die Cybersicherheitsanforderungen für Produkte adressiert. Vom Hersteller bis zum Anwender müssen alle Beteiligten im Wertschöpfungsnetzwerk zusammenarbeiten und ihren Teil erfüllen, um ein hohes Niveau an Cyberresilienz zu erreichen. Dafür müssen die Anforderungen an die einzelnen Beteiligten, insbesondere für Hersteller von Hard- und Software, im Lebenszyklus auch künftig klar abgrenzbar bleiben.

Auch TÜV-Verband äußert Kritik

Laut dem Kommissionsvorschlag sollen Produkte in unterschiedliche Risikoklassen eingeteilt werden. Allerdings sollen auch viele Produkte mit erhöhtem Risiko („kritische Produkte“ nach Anhang III, Klasse 1) im Regelfall auf Basis einer reinen Herstellerselbsterklärung auf den Markt gebracht werden dürfen. Diesen Ansatz hält der TÜV-Verband für verfehlt, weil er nicht geeignet ist, das notwendige Cybersicherheitsniveau von vernetzten Produkten zu gewährleisten. Eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten ist zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit von digitalen Technologien zu schaffen.

Positiv sieht der TÜV-Verband, dass die EU-Kommission mit dem vorgelegten Regulierungsentwurf den gesamten Produktlebenszyklus eines digitalen Produktes in den Blick nimmt und entsprechende Sicherheitsanforderungen für die Nutzungsdauer vorsieht. So sollen notwendige Sicherheitsupdates zukünftig über einen Zeitraum von bis zu fünf Jahren bereitgestellt werden. Dies ermöglicht eine längere Nutzung der Produkte und schont Ressourcen.

Mit dem Entwurf des Cyber Resilience Act formuliert die EU-Kommission erstmals europaweit verbindliche Cybersicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“. Der Verordnungsvorschlag erfasst Hard- und Software, die als Endprodukte oder als Komponenten auf den Markt kommen. Hersteller müssen digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen („Security by Design“), während der Lebensdauer des Produkts auftretende Schwachstellen beheben und dafür entsprechende Sicherheitsupdates bereitstellen.

Mit dem Gesetzesentwurf werden sich nun die EU-Mitgliedsstaaten und das Europaparlament befassen. Der TÜV-Verband wird die weitere Ausgestaltung und die anschließende Umsetzung konstruktiv begleiten. Dabei gilt es auch, die Kohärenz mit bestehenden Rechtsvorschriften zu gewährleisten.