ZVEI: Cyber Resilience Act ist wichtiger Schritt für mehr Cybersicherheit


Bild: Clipdealer

Bild: Clipdealer
Mit dem Cyber Resilience Act geht die EU-Kommission die notwendige Aufgabe an, Produktanforderungen an Cybersicherheit zu vereinheitlichen und das Resilienzniveau in der EU anzuheben. „Diese Regulierung wird alle digitalen Produkte im europäischen Binnenmarkt betreffen. Auch wenn es unsere Unternehmen vor enorme Herausforderungen stellt, braucht der europäische Binnenmarkt ein solches harmonisiertes Level-Playing-Field in der Cybersicherheit“, erklärt Wolfgang Weber, Vorsitzender der ZVEI-Geschäftsführung. Der vorgelegte Entwurf sei ein wichtiger Schritt.

Kritisch sieht der Verband der Elektro- und Digitalindustrie allerdings die weitgefasste Definition bei sogenannten „critical products“ und „highly critical products“, zu denen bspw. auch Mikrocontroller, industrielle Automatisierungs- und Steuerungssysteme oder Teile des Industrial Internet of Things gezählt werden, auch wenn sie in keinem kritischen Kontext verwendet werden. „Wenn Unternehmen solche oder darauf aufbauende Produkte auf Basis dieser Einteilung nur erschwert auf den Markt bringen können, wird es zu großen Verzögerungen in der EU beim Einsatz digitaler Produkte und Komponenten kommen“, so Weber. Statt reine Hochrisikolisten zu führen, müsse deshalb das Konzept des vorgesehenen Verwendungszwecks im Vordergrund stehen. Zudem müssen Hersteller digitaler Produkte und Komponenten bei der Zuweisung der Kritikalität essenziell eingebunden werden, da sie potenzielle Sicherheitsrisiken am besten beurteilen und entsprechende Maßnahmen einleiten können. 

Verband fordert längere Fristen

Positiv bewertet der Verband, dass der Regulierungsentwurf den Prinzipien des New Legislative Framework (NLF) folgt. Weber: „Diese Vorgehensweise knüpft unmittelbar an etablierte Prozesse in den Unternehmen, unter anderem zur Konformitätsbewertung, an und stärkt die Rolle der europäischen Normung.“ Allerdings sei die vorgesehene Übergangsfrist von 24 Monaten zur Umsetzung solcher Maßnahmen deutlich zu kurz und müsse verlängert werden. Die akuten Schwierigkeiten bei der Anwendung der Medical Device Regulation zeigen, wie viel Zeit nötig sei, um alle Produkte bis zum Stichtag einer umfangreichen Konformitätsbewertung zu unterziehen. Die Europäische Kommission solle deshalb längere Fristen setzen, damit harmonisierte Normen rechtzeitig gelistet und eine ausreichende Zahl an Drittstellen zur Konformitätsbewertung benannt werden könne. 

Der ZVEI setzt sich bereits seit Jahren aktiv für eine horizontale Regulierung ein, die die Cybersicherheitsanforderungen für Produkte adressiert. Vom Hersteller bis zum Anwender müssen alle Beteiligten im Wertschöpfungsnetzwerk zusammenarbeiten und ihren Teil erfüllen, um ein hohes Niveau an Cyberresilienz zu erreichen, so der Verband. Dafür müssen die Anforderungen an die einzelnen Beteiligten, insbesondere für Hersteller von Hard- und Software, im Lebenszyklus auch künftig klar abgrenzbar bleiben.

Thematisch passende Artikel:

02/2022

Cybersicherheit von Hard- und Software bald Standard?

Ob Kommunen, Konzerne oder kleine Unternehmen: Cyberattacken nehmen seit Jahren massiv zu. Erschreckend wird es, wenn sogar Energieversorgungs-einrichtungen wie Windkraftanlagen und Atomkraftwerke...

mehr

Fünf Trends im Bereich Informationssicherheit 2024

Auf welche Trends und Praktiken Unternehmen in diesem Jahr besonders achten sollten

1. Zero-Trust-Sicherheit Wenn eine Website aufgrund eines Angriffs offline gehen muss, ist das für das betroffene Unternehmen ärgerlich. Wenn aber das gesamte System durch eine Cyberbedrohung...

mehr

„AI Act“ – Sicherheit bei Künstlicher Intelligenz

Die EU-Mitgliedsstaaten haben sich auf eine europäische Verordnung von Künstlicher Intelligenz (KI) geeinigt. Künftig müssen KI-Anwendungen je nach Risiko, das von ihnen ausgeht, unterschiedlich...

mehr

Cyber-Security: VdS-Zertifikat für Brandschutz- und Sicherheitstechnikkomponenten

IoT-Geräte oftmals nur mangelhaft geschützt

Cyber-Angriffe auf IT-Systeme sind alltägliche Praxis. Wenn auch längst nicht alle, so sind doch viele Unternehmen mittlerweile so gut geschützt, dass sie direkte Cyber-Angriffe abwehren können....

mehr