Termine
16.11.2022
Am 15.09.2022 wurde von der EU-Kommission der Entwurf des Cyber Resilience Acts veröffentlicht. Ziel dieses lang erwarteten Regulierungsvorhabens ist es allgemein die Cybersicherheit von Produkten im Europäischen Binnenmarkt zu erhöhen. Diese Absicht zeigt sich bereits im breit angelegten Anwendungsbereichs der Verordnung und im Hinblick auf die adressierten Produkte: Betroffen sind „Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.“ Unter diese Bestimmung fallen sowohl Hardware- als auch Softwareprodukte.
In ihrer Ausgestaltung zeigt sich der CRA dabei als Inverkehrbringungsrichtlinie im Sinne des New Legislative Frameworks (NLF); welche allerdings um Anforderungen ergänzt wurde, die über den Zeitpunkt des Inverkehrbringens hinausgehen. Diese Anforderungen betreffen vor allem die Etablierung eines Schwachstellenmanagements und die Beobachtung der Produkte hinsichtlich der grundlegenden Cybersicherheitsanforderungen sowie Berichtspflichten, vor allem hinsichtlich ausgenutzter Schwachstellen und Cybersicherheitsvorfällen.
Die grundlegenden Cybersicherheitsanforderungen teilen sich in Anforderungen hinsichtlich der Produkteigenschaften, die ein angemessenes Cybersicherheitsniveau gewährleisten sollen und in Anforderungen an die Behandlung von Schwachstellen auf. Die Produktanforderungen haben auf Grundlage einer Risikobewertung zu erfolgen und sind, so weit anwendbar und zutreffend, zu erfüllen. Die Anforderungen haben dabei Auswirkungen auf die Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des jeweiligen Produkts mit digitalen Elementen.
Aus Sicht des ZVEI wurde mit dem Cyber Resilience Act (CRA) nun der lange geforderte Bezugspunkt für die Cybersicherheit von Produkten geschaffen, mit dem die zunehmende Adressierung in sektoralen Richtlinien strukturiert und bereinigt werden könnte. Leider erscheint die Etablierung des CRA als zentrale Referenz derzeit noch als etwas halbherzig umgesetzt, sodass es noch Optimierungsbedarf für das Zusammenspiel mit anderen Richtlinien gibt.
Für die ZVEI-Mitgliedschaft, gerade auch in der Automation, stellt außerdem die Aufteilung von Produkten in drei Klassen, für welche eine unterschiedliche Auswahl der Konformitätsbewertungsverfahren zu erfolgen hat, in ihrer derzeitigen allgemeinen Zuordnung ein Problem dar. Die aktuelle Aufteilung definiert innerhalb der insgesamt adressierten Produkten mit digitalen Elementen zwei Klassen von kritischen Produkten ( Klasse I & II), die entsprechend aufgelistet werden. Bei dieser Auflistung werden derzeit die Kritikalität und die kritische Anwendung nicht ausreichend berücksichtigt, sodass viele Produkte aus dem Industrie- und Automatisierungsumfeld allgemein aufgeführt werden.
Auch hinsichtlich der aktuell angedachten Übergangszeit von 24 Monaten (12 Monate für Meldepflichten) gibt es noch deutlichen Handlungsbedarf. Aktuell werden die umfangreichen Folgen der Regulierung auf die jeweiligen Lieferketten nicht ausreichend mitbedacht, sodass wir den dringenden Bedarf sehen, dass die Zeiten für das Gelingen einer realistischen Umsetzung entsprechend angepasst werden müssen.
Insgesamt ist der CRA ein an vielen Stellen gelungener Entwurf, der mit einigen noch erforderlichen Anpassungen und Klarstellungen einen entscheidenden Beitrag für ein höheres allgemeines Resilienzniveau leisten könnte. Nichtsdestotrotz stellt das Vorhaben eine enorme Herausforderung dar, die nur mit großen Mühen und einer realistischen Einschätzung des auch zeitlich Machbaren gelingen kann.