
Zu weit gefasste Definition von „critical products“ erschwert Marktzugang und muss angepasst werden + Horizontale Regulierung schafft endlich einheitliche Regeln
Mit dem Cyber Resilience Act geht die EU-Kommission die notwendige Aufgabe an, Produktanforderungen an Cybersicherheit zu vereinheitlichen und das Resilienzniveau in der EU anzuheben. „Diese Regulierung wird alle digitalen Produkte im europäischen Binnenmarkt betreffen. Auch wenn es unsere Unternehmen vor enorme Herausforderungen stellt, braucht der europäische Binnenmarkt ein solches harmonisiertes Level-Playing-Field in der Cybersicherheit“, so Wolfgang Weber, Vorsitzender der ZVEI-Geschäftsführung. Der vorgelegte Entwurf sei ein wichtiger Schritt.
Kritisch sieht der ZVEI allerdings die weitgefasste Definition bei sogenannten „critical products“ und „highly critical products“, zu denen beispielsweise auch Mikrocontroller, industrielle Automatisierungs- und Steuerungssysteme oder Teile des Industrial Internet of Things gezählt werden, auch wenn sie in keinem kritischen Kontext verwendet werden. „Wenn Unternehmen solche oder darauf aufbauende Produkte auf Basis dieser Einteilung nur erschwert auf den Markt bringen können, wird es zu großen Verzögerungen in der EU beim Einsatz digitaler Produkte und Komponenten kommen“, so Weber. Statt reine Hochrisikolisten zu führen, müsse deshalb das Konzept des vorgesehenen Verwendungszwecks im Vordergrund stehen. Zudem müssen Hersteller digitaler Produkte und Komponenten bei der Zuweisung der Kritikalität essenziell eingebunden werden, da sie potenzielle Sicherheitsrisiken am besten beurteilen und entsprechende Maßnahmen einleiten können.
Positiv bewertet der Verband der Elektro- und Digitalindustrie, dass der Regulierungsentwurf den Prinzipien des New Legislative Framework (NLF) folgt. Weber: „Diese Vorgehensweise knüpft unmittelbar an etablierte Prozesse in den Unternehmen, unter anderem zur Konformitätsbewertung, an und stärkt die Rolle der europäischen Normung.“ Allerdings ist die vorgesehene Übergangsfrist von 24 Monaten zur Umsetzung solcher Maßnahmen deutlich zu kurz und muss verlängert werden. Die akuten Schwierigkeiten bei der Anwendung der Medical Device Regulation zeigen, wie viel Zeit nötig ist, um alle Produkte bis zum Stichtag einer umfangreichen Konformitätsbewertung zu unterziehen. Die Europäische Kommission sollte hier deshalb längere Fristen setzen, damit harmonisierte Normen rechtzeitig gelistet und eine ausreichende Zahl an Drittstellen zur Konformitätsbewertung benannt werden kann.
Der ZVEI setzt sich bereits seit Jahren aktiv für eine horizontale Regulierung ein, die die Cybersicherheitsanforderungen für Produkte adressiert. Vom Hersteller bis zum Anwender müssen alle Beteiligten im Wertschöpfungsnetzwerk zusammenarbeiten und ihren Teil erfüllen, um ein hohes Niveau an Cyberresilienz zu erreichen. Dafür müssen die Anforderungen an die einzelnen Beteiligten, insbesondere für Hersteller von Hard- und Software, im Lebenszyklus auch künftig klar abgrenzbar bleiben.
ZVEI | Elektro- und Digitalindustrie – zvei.org
Fachartikel

Cloud, SaaS und kritische Software-Lieferketten: Die wesentlichen Herausforderungen für Sicherheitsteams und Tipps, wie sie zu meistern sind

Wer ist für die Datensicherheit in der Cloud verantwortlich?

Warum Cybersecurity Ethical Hacking braucht

Digital Trust & die Rolle von Cybersicherheit

Managed Service Provider mit Superhelden-Status
Studien

Accenture-Studie: Europäische Führungskräfte trotz aktuellem Gegenwind zuversichtlich

Zielgenaue und diversifizierte Cyberangriffe: Vier IT-Sicherheitstrends 2023

Studie: Managed Services weiter auf dem Vormarsch

Rund jedes dritte Unternehmen in den USA und Kanada Opfer von Ransomware-Attacken

Forsa-Studie: Öffentliche Verwaltung hinkt bei IT-Sicherheit eigenem Anspruch hinterher
Whitepaper

Kompletter Leitfaden zur Auslagerung der Cybersicherheit für bessere Bedrohungsüberwachung und niedrigere Gesamtbetriebskosten

„State of DevOps Report 2023“: Plattform-Engineering als Schlüssel zum Erfolg von DevOps im Unternehmen

Bedrohungsanalyse Cybersecurity 2022: Der Ruin wird wichtiger als Lösegeld

Ransomware Report: KMU messen Cybersicherheit mehr Bedeutung zu
