Der Cyber Resilience Act führt bei deutschen Verbänden zu einem gemischten Echo. Hier die Reaktionen (Bild: Alex Mit – Adobe Stock)
Mit dem Cyber Resilience Act vereinheitlicht die EU-Kommission die Produktanforderungen an Cybersicherheit und will das Resilienzniveau in der EU anheben. Die Regulierung wird alle digitalen Produkte im europäischen Binnenmarkt betreffen. Ein wichtiger Schritt, meint Wolfgang Weber, Vorsitzender der ZVEI-Geschäftsführung, denn der europäische Binnenmarkt brauche ein Level Playing Field in der Cybersicherheit.
Warum der ZVEI den Cyber Resilience Act nicht nur positiv sieht
Kritisch sei allerdings die weitgefasste Definition bei sogenannten Critical Products und Highly Critical Products. Dazu zählen auch Mikrocontroller, industrielle Automatisierungs- und Steuerungssysteme oder Teile des Industrial Internet of Things, die in keinem kritischen Kontext zum Einsatz kommen. Denn wenn Unternehmen solche oder darauf aufbauende Produkte auf Basis dieser Einteilung nur erschwert auf den Markt bringen können, werde es zu großen Verzögerungen in der EU beim Einsatz digitaler Produkte und Komponenten kommen.
Statt reine Hochrisikolisten zu führen, müsse deshalb der Verwendungszweck im Vordergrund stehen. Zudem müssten Hersteller digitaler Produkte und Komponenten bei der Zuweisung der Kritikalität eingebunden werden, da sie potenzielle Sicherheitsrisiken am besten beurteilen und entsprechende Maßnahmen einleiten können.
Zu kurze Übergangsfristen
Positiv bewertet der Verband, dass der Regulierungsentwurf den Prinzipien des New Legislative Framework (NLF) folgt. Diese Vorgehensweise knüpft unmittelbar an etablierte Prozesse in den Unternehmen an und stärke die Rolle der europäischen Normung. Allerdings sei die vorgesehene Übergangsfrist von 24 Monaten zur Umsetzung solcher Maßnahmen deutlich zu kurz, wie die Schwierigkeiten bei der Anwendung der Medical Device Regulation zeigen. Die Europäische Kommission solle deshalb längere Fristen setzen, damit sich harmonisierte Normen rechtzeitig listen und eine ausreichende Zahl an Drittstellen zur Konformitätsbewertung benennen lassen.
Bitkom lobt und kritisiert den Cyber Resilience Act
Ähnlich ambivalent äußert sich auch der deutsche digital Verband Bitkom: „Europa muss die Abwehr von Cyberangriffen stärker in den Fokus rücken. Der Cyber Resilience Act kann einen wichtigen Beitrag zur Stärkung der Sicherheit vernetzter Geräte leisten“, so Bitkom-Präsident Achim Berg und fährt fort: „Ein wirksamer Schutz vor Cyberkriminellen ist Voraussetzung dafür, dass die Geräte und Technologien im vernetzten Zuhause auf ein neues Sicherheitsniveau gebracht werden. Krisenfestigkeit war wohl selten so wichtig wie heute, der Cyber Resilience Act kommt genau zur richtigen Zeit.“
Gleichzeitig kritisiert der Verband den hohen bürokratischen Aufwand für die Unternehmen, etwa die Umsetzungsfrist von 24 Monaten nach Inkrafttreten, die angesichts der deutlich längeren Entwicklungszyklen viele Unternehmen vor große Herausforderungen stelle. Umso wichtiger sei es, die zusätzlichen Compliance-Kosten, die durch den Cyber Resilience Act auf die Unternehmen zukommen, möglichst gering zu halten. Dazu gehört laut Bitkom auch eine klare und eindeutige Gesetzgebung. Der Cyber Resilience Act dürfe nicht zu neuer Rechtsunsicherheit in den Unternehmen führen. Als mahnendes Beispiel für der Verband die Datenschutz-Grundverordnung (DSGVO) an.
Ein wirksamer Schutz vor Cyberkriminellen ist Voraussetzung dafür, dass die Geräte und Technologien im vernetzten Zuhause auf ein neues Sicherheitsniveau gebracht werden. Krisenfestigkeit war wohl selten so wichtig wie heute, der Cyber Resilience Act kommt genau zur richtigen Zeit.
VDMA: „Cyber Resilience Act enthält viele positive Punkte“
Die europäische Industrie ist immer häufiger von Cyberangriffen betroffen, die fast ausnahmslos auf Schwachstellen in der Informationstechnik zurückgehen. Laut VDMA ist es daher richtig, dass die Europäische Kommission jetzt mit dem so genannten Cyber Resilience Act europaweit verpflichtende und einheitliche Vorgaben auf den Weg bringt. Vernetzte Produkte, dazu zählen auch Maschinen und Anlagen, werden in Zukunft nur dann auf dem europäischen Markt zugelassen, wenn diese grundlegende Anforderungen an die Cybersicherheit erfüllen.
Der Vorschlag enthält aus Sicht des Maschinen- und Anlagenbaus viele positive Punkte. Insbesondere das Konzept der eigenverantwortlichen, risikobasierten Umsetzung auf Basis des vielfach erfolgreichen New Legislative Frameworks begrüßt der VDMA ausdrücklich. Auch die klare Abgrenzung zu anderen technischen Regularien, wie der Maschinenverordnung ist geeignet, Doppelanforderungen zu vermeiden.
Problematisch ist allerdings die pauschale Einordnung von Kernkomponenten für vernetzte Maschinen und Anlagen als „kritische Produkte“. Diese Generalisierung wird zu unnötigen Mehrbelastungen für die Hersteller führen, da viele Industriekomponenten nur in nicht-kritischen Bereichen eingesetzt werden. Hier würde der Bezug auf die bestimmungsgemäße Verwendung der Produkte helfen.
Entscheidend für den Erfolg des Cyber Resilience Act wird aber die rechtzeitige Verfügbarkeit von harmonisierten Normen sein. Fehlen entsprechende Standards, sind Engpässe bei der Verfügbarkeit zugelassener Produkte unumgänglich. Daher fordern wir die Europäische Kommission auf, frühzeitig entsprechende Normungsmandate zu erteilen, die die Normungsorganisationen im Schulterschluss mit der Wirtschaft zügig annehmen und umsetzen müssen. Die Erarbeitung harmonisierter Normen darf auf keinen Fall verzögert werden.“
