Anzeige
Anzeige
Anzeige
Beitrag drucken

Cyber Resilience Act

EU will Hard- und Software sicherer machen

Die EU-Kommission hat einen Vorschlag für ein neues Cyberresilienzgesetz (Cyber Resilience Act) vorgelegt. Dieses soll Verbraucher und Unternehmen vor Produkten mit unzureichenden Sicherheitsmerkmalen schützen. Die Rechtsvorschrift enthält verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, denen die Produkte während ihres gesamten Lebenszyklus genügen müssen.

 (Bild: ©Shuo/stock.adobe.com)

(Bild: ©Shuo/stock.adobe.com)

Laut Vorschlag der EU-Kommission müssen Hersteller zum einen mehr Verantwortung übernehmen, da sie verpflichtet werden, Unterstützung und Softwareaktualisierungen bereitzustellen, um Schwachstellen zu beheben. Zum anderen sollen Verbraucher über die Cybersicherheit der Produkte, die sie kaufen und verwenden, ausreichend informiert werden.

Die heute vorgeschlagenen Maßnahmen stützen sich auf den neuen Rechtsrahmen für EU-Produktvorschriften (New legislative framework) und werden Folgendes enthalten:

  1. Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um ihre Cybersicherheit zu gewährleisten;
  2. grundlegende Anforderungen an die Gestaltung, Entwicklung und Herstellung von Produkten mit digitalen Elementen und Verpflichtungen der Wirtschaftsteilnehmer in Bezug auf diese Produkte;
  3. grundlegende Anforderungen an die von den Herstellern anzuwendenden Verfahren zur Behebung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus zu gewährleisten, sowie Verpflichtungen der Wirtschaftsteilnehmer hinsichtlich dieser Verfahren. Zudem müssen die Hersteller aktiv ausgenutzte Schwachstellen und Vorfälle melden;
  4. Vorschriften für die Marktüberwachung und Durchsetzung.

Durch die neuen Vorschriften müssen Hersteller dafür sorgen, dass Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, mit den Sicherheitsanforderungen übereinstimmen. Die Verordnung soll für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Es gibt einige Ausnahmen für Produkte, die bereits unter die bestehenden EU-Vorschriften für die Cybersicherheit fallen, etwa Medizinprodukte, Luftfahrtprodukte oder Pkw.

Zwei Klassen für Hochrisikoprodukte

Für 90 Prozent der Produkte (Standardkategorie) soll eine Konformitätsprüfung per Selbstbewertung möglich sein. Zehn Prozent der betroffenen Produkte werden als kritisch eingestuft – unterteilt in zwei Gruppen. Je nach Kritikalität soll die Konformitätsbewertung hier durch Dritte erfolgen. In die kritische Klasse 1 demnach etwa Netzschnittstellen, Firewalls oder Microcontroller. Betriebssysteme, Industrielle Firewalls oder CPUs werden u.a. der kritischen Klasse 2 zugeordnet.

Übergangsfrist von 24 Monaten

Der Entwurf des Gesetzes über Cyberresilienz wird nun vom Europäischen Parlament und dem Rat geprüft. Nach der Verabschiedung haben Wirtschaftsteilnehmer und Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Abweichend davon soll die Meldepflicht der Hersteller in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle bereits ein Jahr ab dem Inkrafttreten gelten, teilt die Kommission mit. Dafür seien weniger organisatorische Anpassungen erforderlich als für die anderen neuen Verpflichtungen. Die Kommission kündigt an, das Cyberresilienzgesetz regelmäßig zu überprüfen und über seine Funktionsweise Bericht zu erstatten.

Der ZVEI sieht im Cyber Reslience Act einen wichtigen Schritt für mehr Cybersicherheit. Jedoch sieht der Verband die weitgefasste Definition bei sogenannten ’critical products’ und ’highly critical products’ kritisch. Dazu zählen etwa industrielle Automatisierungs- und Steuerungssysteme oder Teile des Industrial Internet of Things, auch wenn sie in keinem kritischen Kontext verwendet werden. Zudem hält der Verband die Übergangsfrist von 24 Monaten für zu kurz.

Aus Sicht des Maschinen- und Anlagenbaus enthält der Vorschlag viele positive Punkte. „Problematisch ist allerdings die pauschale Einordnung von Kernkomponenten für vernetzte Maschinen und Anlagen als ’kritische Produkte’. Diese Generalisierung wird zu unnötigen Mehrbelastungen für die Hersteller führen, da viele Industriekomponenten nur in nicht-kritischen Bereichen eingesetzt werden. Hier würde der Bezug auf die bestimmungsgemäße Verwendung der Produkte helfen“, so Hartmut Rauen, stellv. VDMA-Hauptgeschäftsführer.


Das könnte Sie auch interessieren:

Mit Dimitrios Koutrouvis hat Lütze Transportation ab Oktober einen neuen Geschäftsführer. Er tritt die Nachfolge von André Kengerter an.‣ weiterlesen

Der Bitkom schätzt die Schäden durch Cyberangriffe auf jährlich 220Mrd.€. Unternehmen sind also gefragt, sich bestmöglich gegen solche Vorfälle zu schützen. Wie? Darüber können sich Interessierte vom 25. bis zum 27. Oktober auf der Security-Messe It-sa informieren.‣ weiterlesen

Low Code-Entwicklungsplattformen helfen Unternehmen, ihre IT an stetig wechselnde Strukturen und Prozesse anzupassen. Es gilt: Wo programmiert wird, kann meist Low Code-Technologie eingesetzt werden – erst recht im IIoT-Projekt.‣ weiterlesen

Planung und Überwachung sind entscheidende Faktoren für die Effzienz einer Produktion. Die Basis dafür bilden Daten. Daher setzt die Firma GGK in ihrer Fertigung auf die IIoT-Plattform Toii. Mit ihr erfasst der Hersteller von Kabelmanagement-Systemen alle relevanten Daten, um die Transparenz zu verbessern und etwa Störungen schneller zu beseitigen.‣ weiterlesen

Korrekte Stammdaten sind beim Wechsel auf SAP S/4Hana enorm wichtig. Drei Tools für das Product Structure Management helfen, die Engineering-Stückliste mit der Manufacturing-Stückliste automatisiert abzugleichen.‣ weiterlesen

Eine industrielle IoT-Plattform unterstützt dabei, auf digitaler Basis Transparenz zu erzielen, Prozesse zu optimieren und Fehler zu vermeiden. Dafür werden Menschen, Produktions-IT-Systeme und Maschinen miteinander verknüpft. Doch wie funktioniert das?‣ weiterlesen

Mit einem Plus von 0,7 Prozent im Vergleich zum Juni liegt der Auftragsbestand im verarbeitenden Gewerbe im Juli auf einem neuen Höchstwert. Die Reichweite der Aufträge bleibt unverändert bei 8 Monaten.‣ weiterlesen

Digitalisierung und Klimaschutz lassen den Bedarf an Beschäftigten in Ingenieur- und Informatikerberufen steigen. Der neue VDI-/IW-Ingenieurmonitor zeigt weiter eine angespannte Lage – doch es gibt auch positive Trends.‣ weiterlesen

Die Pandemie hat dazu geführt, dass mehr Menschen von zu Hause aus gearbeitet haben. Und viele der Beschäftigten wollen diese Möglichkeit auch weiterhin nutzen, wie eine Ifo-Studie zeigt.‣ weiterlesen

Unternehmen wollen und müssen etwas zum Klimaschutz beitragen, im eigenen Unternehmen oder mit innovativen Produkten oder Dienstleistungen. Beides kann erhebliche Investitionen erfordern - die sich durch zahlreiche Förderprogramme abfedern lassen. Energieberater Jörg Lieske vom BFE Institut für Energie und Umwelt hat sich auf diese Fördermittel spezialisiert und nennt die wichtigsten.‣ weiterlesen