Der TÜV-Verband begrüßt den von der EU-Kommission vorgestellten Entwurf des Cyber Resilience Act (CRA) im Grundsatz, fordert aber Nachschärfungen. „Wir begrüßen das Vorhaben, erstmals grundlegende verpflichtende Cybersicherheitsanforderungen für vernetzte Produkte zu schaffen. Dieser Schritt ist längst überfällig, denn nur so können Unternehmen, Behörden und Bürger:innen besser vor Cyberangriffen geschützt werden“, sagt Marc Fliehe, Bereichsleiter Digitalisierung und Cybersicherheit beim TÜV-Verband.
„Der Cyber Resilience Act darf aber nicht nur Anforderungen festlegen, sondern er muss auch wirksame Instrumente schaffen, mit denen die Einhaltung dieser Vorgaben verlässlich überprüft werden kann.“ Ansonsten bleibe der Cyber Resilience Act ein zahnloser Tiger. Fliehe sagt weiter: „Cybersicherheit muss endlich integraler Bestandteil der Produktsicherheit werden, angefangen vom vernetzten Spielzeug über DSL-Router bis hin zu sicherheitsrelevanten digitalen Anwendungen in der kritischen Infrastruktur.“
Positives und Negatives
Laut dem Kommissionsvorschlag sollen Produkte in unterschiedliche Risikoklassen eingeteilt werden. Allerdings sollen auch viele Produkte mit erhöhtem Risiko („kritische Produkte“ nach Anhang III, Klasse 1) im Regelfall auf Basis einer reinen Herstellerselbsterklärung auf den Markt gebracht werden dürfen.
Diesen Ansatz hält der TÜV-Verband für verfehlt, weil er nicht geeignet ist, das notwendige Cybersicherheitsniveau von vernetzten Produkten zu gewährleisten. Eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten ist zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit von digitalen Technologien zu schaffen.
Positiv sieht der TÜV-Verband, dass die EU-Kommission mit dem vorgelegten Regulierungsentwurf den gesamten Produktlebenszyklus eines digitalen Produktes in den Blick nimmt und entsprechende Sicherheitsanforderungen für die Nutzungsdauer vorsieht. So sollen notwendige Sicherheitsupdates zukünftig über einen Zeitraum von bis zu fünf Jahren bereitgestellt werden. Dies ermöglicht eine längere Nutzung der Produkte und schont Ressourcen.
Erstmals europaweit verbindliche Anforderungen
Mit dem Entwurf des Cyber Resilience Act formuliert die EU-Kommission erstmals europaweit verbindliche Cybersicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“. Der Verordnungsvorschlag erfasst Hard- und Software, die als Endprodukte oder als Komponenten auf den Markt kommen. Hersteller müssen digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen („Security by Design“), während der Lebensdauer des Produkts auftretende Schwachstellen beheben und dafür entsprechende Sicherheitsupdates bereitstellen.
Mit dem Gesetzesentwurf werden sich nun die EU-Mitgliedsstaaten und das Europaparlament befassen. Der TÜV-Verband wird die weitere Ausgestaltung und die anschließende Umsetzung konstruktiv begleiten. Dabei gilt es auch, die Kohärenz mit bestehenden Rechtsvorschriften zu gewährleisten.