Der Cyber Resilience Act kommt
»Eine detaillierte Cyber-Risikoanalyse wird nötig«
Schon bald werden die Cybersecurity-Anforderungen für alle Produkte mit digitalen Elementen dem geplanten Cyber Resilience Act (CRA) der Europäischen Kommission unterliegen. Die Umsetzungsfrist ist knapp bemessen, und auf die Industrie kommt Einiges zu.
Beim CRA, der in wesentlichen Teilen auf die EU-Richtlinie NIS-2 referenziert und vor gut einem Jahr von der EU-Kommission vorgeschlagen wurde und derzeit zwischen dem Rat der EU und dem Europäischen Parlament verhandelt wird, handelt es sich um die weltweit erste Gesetzgebung, die branchenunabhängige Cybersecurity-Anforderungen für alle digitalen Produkte – also Hard- und Software – einführt. Die Gründe dafür liegen auf der Hand, denn die fortschreitende Digitalisierung und zunehmende Vernetzung hat das Risikopotenzial weiter erhöht. Zudem enthalten Maschinen immer mehr digitale Komponenten, die neue Anforderungen an die Sicherheit stellen. Was passieren würde, wenn Dritte Zugriff auf industrielle Maschinen erlangen könnten und außerdem in der Lage wären, Änderungen an der Programmierung vorzunehmen, ist nicht auszudenken.
Im Zuge dessen verschiebt sich die Verantwortung für die Cybersecurity von Produkten vom Nutzer hin zum Hersteller oder zu denjenigen, die solche Produkte in Umlauf bringen. Das bedeutet: Der CRA, der voraussichtlich Anfang 2024 in Kraft tritt, wird Auswirkungen auf die Produktentwicklung, die Herstellung und den gesamten Nutzungszeitraum haben. Nicht zuletzt stellt der Gesetzesentwurf auch Anforderungen in puncto Cybersecurity an alle Anlagen- und Maschinenhersteller: Sie sind dazu verpflichtet, sicherzustellen, dass die Produkte ohne bekannte Schwachstellen in Verkehr kommen. Dies umfasst sowohl die technische Dokumentation als auch die Bewertung von Cyberrisiken. Doch das ist noch nicht alles: Auch Melde- und Korrekturmaßnahmenpflichten gehören zu den Anforderungen des CRA. So gilt es, die Agentur der Europäischen Union für Cybersicherheit (ENISA) und die Nutzer umgehend über aktuelle Schwachstellen in Kenntnis zu setzen, damit das Risikopotenzial etwa mittels Software-Updates so schnell wie möglich gesenkt werden kann. Indem sie Dienstleistungen für Installation, Verwaltung, Betrieb oder Wartung digitaler Produkte im Zusammenhang mit Anlagen und Maschinen erbringen, werden deren Hersteller automatisch von wichtigen zu wesentlichen Unternehmen betreffend NIS-2 mit verschärften Vorgaben und Strafen kategorisiert.
Um ein angemessenes Sicherheitsniveau nachzuweisen, empfehlen wir Herstellern von Produkten mit digitalen Elementen, nach NIS-2 betroffenen wesentlichen und wichtigen Unternehmen sowie Anlagen- und Maschinenherstellern, sich schon heute mit dem Thema zu beschäftigen, um nicht nur eine legale Vermarktung sicherzustellen, sondern auch Wettbewerbsvorteile gegenüber der Konkurrenz zu erarbeiten. Denn künftig muss das Thema Cybersecurity bereits in der Planungsphase von Maschinen und Anlagen mit digitalen Elementen sowie bei der Erbringung von Dienstleistungen berücksichtigt werden.
Der Autor:
Patrick Scholl ist Head of OT bei Infinigate.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
