Cyber Resilience Act

EU will Hard- und Software sicherer machen

Die EU-Kommission hat einen Vorschlag für ein neues Cyberresilienzgesetz (Cyber Resilience Act) vorgelegt. Dieses soll Verbraucher und Unternehmen vor Produkten mit unzureichenden Sicherheitsmerkmalen schützen. Die Rechtsvorschrift enthält verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, denen die Produkte während ihres gesamten Lebenszyklus genügen müssen.

(Bild: ©Shuo/stock.adobe.com)

Laut Vorschlag der EU-Kommission müssen Hersteller zum einen mehr Verantwortung übernehmen, da sie verpflichtet werden, Unterstützung und Softwareaktualisierungen bereitzustellen, um Schwachstellen zu beheben. Zum anderen sollen Verbraucher über die Cybersicherheit der Produkte, die sie kaufen und verwenden, ausreichend informiert werden.

Die heute vorgeschlagenen Maßnahmen stützen sich auf den neuen Rechtsrahmen für EU-Produktvorschriften (New legislative framework) und werden Folgendes enthalten:

1. Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um ihre Cybersicherheit zu gewährleisten;
2. grundlegende Anforderungen an die Gestaltung, Entwicklung und Herstellung von Produkten mit digitalen Elementen und Verpflichtungen der Wirtschaftsteilnehmer in Bezug auf diese Produkte;
3. grundlegende Anforderungen an die von den Herstellern anzuwendenden Verfahren zur Behebung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus zu gewährleisten, sowie Verpflichtungen der Wirtschaftsteilnehmer hinsichtlich dieser Verfahren. Zudem müssen die Hersteller aktiv ausgenutzte Schwachstellen und Vorfälle melden;
4. Vorschriften für die Marktüberwachung und Durchsetzung.

Durch die neuen Vorschriften müssen Hersteller dafür sorgen, dass Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, mit den Sicherheitsanforderungen übereinstimmen. Die Verordnung soll für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Es gibt einige Ausnahmen für Produkte, die bereits unter die bestehenden EU-Vorschriften für die Cybersicherheit fallen, etwa Medizinprodukte, Luftfahrtprodukte oder Pkw.

Zwei Klassen für Hochrisikoprodukte

Für 90 Prozent der Produkte (Standardkategorie) soll eine Konformitätsprüfung per Selbstbewertung möglich sein. Zehn Prozent der betroffenen Produkte werden als kritisch eingestuft – unterteilt in zwei Gruppen. Je nach Kritikalität soll die Konformitätsbewertung hier durch Dritte erfolgen. In die kritische Klasse 1 demnach etwa Netzschnittstellen, Firewalls oder Microcontroller. Betriebssysteme, Industrielle Firewalls oder CPUs werden u.a. der kritischen Klasse 2 zugeordnet.

Übergangsfrist von 24 Monaten

Der Entwurf des Gesetzes über Cyberresilienz wird nun vom Europäischen Parlament und dem Rat geprüft. Nach der Verabschiedung haben Wirtschaftsteilnehmer und Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Abweichend davon soll die Meldepflicht der Hersteller in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle bereits ein Jahr ab dem Inkrafttreten gelten, teilt die Kommission mit. Dafür seien weniger organisatorische Anpassungen erforderlich als für die anderen neuen Verpflichtungen. Die Kommission kündigt an, das Cyberresilienzgesetz regelmäßig zu überprüfen und über seine Funktionsweise Bericht zu erstatten.

Der ZVEI sieht im Cyber Reslience Act einen wichtigen Schritt für mehr Cybersicherheit. Jedoch sieht der Verband die weitgefasste Definition bei sogenannten ’critical products’ und ’highly critical products’ kritisch. Dazu zählen etwa industrielle Automatisierungs- und Steuerungssysteme oder Teile des Industrial Internet of Things, auch wenn sie in keinem kritischen Kontext verwendet werden. Zudem hält der Verband die Übergangsfrist von 24 Monaten für zu kurz.

Aus Sicht des Maschinen- und Anlagenbaus enthält der Vorschlag viele positive Punkte. „Problematisch ist allerdings die pauschale Einordnung von Kernkomponenten für vernetzte Maschinen und Anlagen als ’kritische Produkte’. Diese Generalisierung wird zu unnötigen Mehrbelastungen für die Hersteller führen, da viele Industriekomponenten nur in nicht-kritischen Bereichen eingesetzt werden. Hier würde der Bezug auf die bestimmungsgemäße Verwendung der Produkte helfen“, so Hartmut Rauen, stellv. VDMA-Hauptgeschäftsführer.

Das könnte Sie auch interessieren:

Wechsel an der Fraunhofer-Spitze
Holger Hanselka wird Präsident der Fraunhofer-Gesellschaft

Prof. Dr.-Ing. Holger Hanselka, Präsident des Karlsruher Instituts für Technologie (KIT) wird der 11. Präsident der Fraunhofer-Gesellschaft und löst Prof. Dr.-Ing. Reimund Neugebauer nach fast elf Jahren ab.‣ weiterlesen

Neuer Vorstand
Wechsel an der Spitze bei DMG Mori

Christian Thönes, Vorstandsvorsitzender bei DMG Mori, hat am Donnerstag sein Amt niedergelegt. Sein Vertrag wurde im Rahmen einer Aufsichtsratssitzung einvernehmlich beendet. Alfred Geißler wurde vom Aufsichtsrat zum Nachfolger bestellt.‣ weiterlesen

40 Jahre Microsoft in Deutschland
Microsoft feiert Geburtstag und eröffnet Experience Center

Microsoft feiert 40. Geburtstag in Deutschland und eröffnet ein europäisches Experience Center in München. Es ist eines von vier Experience Centern weltweit.‣ weiterlesen

Neues Whitepaper der Plattform Lernende Systeme
Wo bleiben die europäischen KI-Sprachmodelle?

Expertinnen und Experten der Plattform Lernende Systeme beleuchten in einem neuen Whitepaper, wie es um die Entwicklung europäischer bzw. deutscher KI-Sprachmodelle bestellt ist.‣ weiterlesen

Ifo Geschäftsklimaindex im Mai
Skeptischer Blick auf den Sommer

Nach 93,4 Punkten im Vormonat, fällt der Ifo Geschäftsklimaindex im Mai auf 91,7 Punkte – der erste Rückgang in sechs Montanen. ‣ weiterlesen

Neuer Sonderforschungsbereich am KIT
Schnellere Updates für Cyber-physikalische Systeme

Cyber-physikalische Systeme (CPS), wie etwa Autos oder Produktionsanlagen, stecken voller elektronischer und mechanischer Komponenten, die von Software gesteuert werden. Jedoch ist es eine Herausforderung, die Systemarchitekturen solcher Systeme fortwährend konsistent zu halten. Neue Methoden dafür soll ein Sonderforschungsbereich (SFB) am Karlsruher Institut für Technologie (KIT) entwickeln.‣ weiterlesen

Transport und Logistik
G+D erweitert IoT-Portfolio mit Erwerb von Mecomo

Mit der Akquisition der Pod Group hat G+D bereits 2021 sein Portfolio im IoT-Bereich erweitert. Durch den Erwerb von Mecomo geht das Unternehmen nun einen weiteren Schritt in Richtung IoT-Komplettanbieter im Transport- und Logistikbereich.‣ weiterlesen

17. Produktionstechnisches Kolloquium
PTK diskutiert Herausforderungen für die Industrie

Im September laden Fraunhofer IPK und IWF der TU Berlin zum Produktionstechnischen Kolloquium. Im Fokus der Veranstaltung stehen Digitalisierung und Dekarbonisierung der Industrie. ‣ weiterlesen

Datenanalyse
Qlik übernimmt Talend

Mit der Übernahme von Talend will das Softwareunternehmen Qlik das eigene Portfolio erweitern. Die Leitung des neuen Unternehmens übernimmt Qlik-CEO Mike Capone.

‣ weiterlesen

Webbasiertes Anfragemanagement
Kundenanfragen schneller bearbeiten

Die Grimme-Gruppe produziert individuell konfigurierte Landmaschinen. Was für den Wettbewerb Vorteile bringt, ist allerdings mit großem Aufwand verbunden - so verwaltete Grimme Kundenanfragen lange über ein Excel-Tool. Mit dem Softwareanbieter Slashwhy zusammen wurde dies durch ein webbasiertes Anfragemanagement-Programm abgelöst.‣ weiterlesen

Mit Moryx modulare Fertigungsanlagen steuern
Linie ohne Stau

Die Software Moryx hilft der Fertigungssteuerung, Maschinen schnell auf einen neuen Kurs zu bringen oder sie für den nächsten Auftrag anzupassen. Mit seinen einheitlichen Bedienoberflächen und seiner niedrigen Einstiegshürde ist das Tool von Phoenix Contact insbesondere auf den Einsatz in Fertigungen mit der Losgröße 1 ausgerichtet.‣ weiterlesen