News

16.11.2022

Cyber Resilience Act

Am 15.09.2022 wurde von der EU-Kommission der Entwurf des Cyber Resilience Acts veröffentlicht. Ziel dieses lang erwarteten Regulierungsvorhabens ist es allgemein die Cybersicherheit von Produkten im Europäischen Binnenmarkt zu erhöhen. Diese Absicht zeigt sich bereits im breit angelegten Anwendungsbereichs der Verordnung und im Hinblick auf die adressierten Produkte: Betroffen sind „Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.“ Unter diese Bestimmung fallen sowohl Hardware- als auch Softwareprodukte.

In ihrer Ausgestaltung zeigt sich der CRA dabei als Inverkehrbringungsrichtlinie im Sinne des New Legislative Frameworks (NLF); welche allerdings um Anforderungen ergänzt wurde, die über den Zeitpunkt des Inverkehrbringens hinausgehen. Diese Anforderungen betreffen vor allem die Etablierung eines Schwachstellenmanagements und die Beobachtung der Produkte hinsichtlich der grundlegenden Cybersicherheitsanforderungen sowie Berichtspflichten, vor allem hinsichtlich ausgenutzter Schwachstellen und Cybersicherheitsvorfällen.

Die grundlegenden Cybersicherheitsanforderungen teilen sich in Anforderungen hinsichtlich der Produkteigenschaften, die ein angemessenes Cybersicherheitsniveau gewährleisten sollen und in Anforderungen an die Behandlung von Schwachstellen auf. Die Produktanforderungen haben auf Grundlage einer Risikobewertung zu erfolgen und sind, so weit anwendbar und zutreffend, zu erfüllen. Die Anforderungen haben dabei Auswirkungen auf die Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des jeweiligen Produkts mit digitalen Elementen. 

Aus Sicht des ZVEI wurde mit dem Cyber Resilience Act (CRA) nun der lange geforderte Bezugspunkt für die Cybersicherheit von Produkten geschaffen, mit dem die zunehmende Adressierung in sektoralen Richtlinien strukturiert und bereinigt werden könnte. Leider erscheint die Etablierung des CRA als zentrale Referenz derzeit noch als etwas halbherzig umgesetzt, sodass es noch Optimierungsbedarf für das Zusammenspiel mit anderen Richtlinien gibt.

Für die ZVEI-Mitgliedschaft, gerade auch in der Automation, stellt außerdem die Aufteilung von Produkten in drei Klassen, für welche eine unterschiedliche Auswahl der Konformitätsbewertungsverfahren zu erfolgen hat, in ihrer derzeitigen allgemeinen Zuordnung ein Problem dar. Die aktuelle Aufteilung definiert innerhalb der insgesamt adressierten Produkten mit digitalen Elementen zwei Klassen von kritischen Produkten ( Klasse I & II), die entsprechend aufgelistet werden. Bei dieser Auflistung werden derzeit die Kritikalität und die kritische Anwendung nicht ausreichend berücksichtigt, sodass viele Produkte aus dem Industrie- und Automatisierungsumfeld allgemein aufgeführt werden.

Auch hinsichtlich der aktuell angedachten Übergangszeit von 24 Monaten (12 Monate für Meldepflichten) gibt es noch deutlichen Handlungsbedarf. Aktuell werden die umfangreichen Folgen der Regulierung auf die jeweiligen Lieferketten nicht ausreichend mitbedacht, sodass wir den dringenden Bedarf sehen, dass die Zeiten für das Gelingen einer realistischen Umsetzung entsprechend angepasst werden müssen.

Insgesamt ist der CRA ein an vielen Stellen gelungener Entwurf, der mit einigen noch erforderlichen Anpassungen und Klarstellungen einen entscheidenden Beitrag für ein höheres allgemeines Resilienzniveau leisten könnte. Nichtsdestotrotz stellt das Vorhaben eine enorme Herausforderung dar, die nur mit großen Mühen und einer realistischen Einschätzung des auch zeitlich Machbaren gelingen kann. 
 

Cybersicherheit Digitalisierung Elektrifizierung

Das könnte Sie ebenfalls interessieren:

Weiterführend
Meistbesuchte Seiten

Publikationen

Mehr

Industrie

Mehr

Mobilität

Mehr

Energie

Mehr

Gesundheit

Mehr
 

Preis der Elektro- und Digitalindustrie

ZVEI: Electrifying Ideas Award 2024

Unsere Branche treibt den Wandel zu einer elektrifizierten und digitalisierten Gesellschaft jeden Tag ein Stück weiter voran.…

Zum Video

 

Preis der Elektro- und Digitalindustrie

Verleihung des Electrifying Ideas Award 2023

#electrifyourfuture: Am 23. Mai 2023 wurden im Rahmen des ZVEI-Jahreskongresses die Gewinner des ersten electrifying ideas Awards…

Zum Video

 
Was bedeutet die All Electric Society für Sie?

Ist die Zukunft elektrisch? Wir haben ZVEI-Kolleginnen und Kollegen gefragt, was die All Electric Society für sie bedeutet, wo es…

Zum Video

 
Ist die Zukunft elektrisch?

Die Zukunft ist elektrisch, weil...? Weil es ohne nicht geht! Wir haben uns unter den Teilnehmenden des ZVEI-Jahreskongress 2023…

Zum Video