Der Cyber Resilience Act kommt
»Es sind sehr viele Produkte betroffen«
Die EU bereitet derzeit den Cyber Resilience Act vor, der an Komponenten- und Maschinenhersteller sowie Betreiber von Maschinen und Anlagen besondere Cybersecurity-Anforderungen stellt. Matthias Kuczera, Fachexperte Funktionale Sicherheit bei Pilz, erklärt Details und mögliche Auswirkungen des Act.
Markt&Technik: Auf welche Produkte und Maßnahmen bezieht sich der Cyber Resilience Act?
Matthias Kuczera: Der erste, aktuell vorliegende Entwurf umfasst Produkte und Maschinen mit digitalen Elementen, sei es Soft- oder Hardware. Neben umfassenden Vorgaben zum Thema Industrial Security fordert die Rechtsvorschrift, dass Produkteigenschaften wie auch die Maschine oder Anlage ein angemessenes Cybersecurity-Niveau haben, was auf Grundlage einer Risikobewertung zu verifizieren ist. Mit einer Veröffentlichung des Cyber Resilience Act ist in ein bis zwei Jahren zu rechnen.
Inwieweit hängt der Cyber Resilience Act mit der neuen EU-Maschinenverordnung zusammen?
Die Maschinenverordnung geht auf den Schutz gegen Korrumpierung im Kapitel 1.1.9 ein, und auch böswillige Versuche Dritter werden im Kapitel 1.2.1 im Anhang III betrachtet. Im Fokus steht dabei die Vermeidung von Gefährdungssituationen, die unmittelbar von der Maschine ausgehen und auf Personen in der Nähe wirken. Der Cyber Resilience Act hingegen wurde hauptsächlich aufgrund der wirtschaftlichen Auswirkungen der Cyberangriffe auf bestimmte Institutionen oder Unternehmen entworfen.
Eine weitere EU-Richtlinie, die hier erwähnt werden sollte, ist die NIS2. Sie beschreibt Maßnahmen für ein hohes gemeinsames Cybersecurity-Niveau in der EU und stellt besondere Anforderungen an den Schutz kritischer Einrichtungen, etwa der Energie- und Wasserversorgung oder auch des Maschinenbaus. Der Cyber Resilience Act stellt konkrete Anforderungen an einzelne Produkte, damit kritische Sektoren die Anforderungen der NIS2 erfüllen können.
Handelt es sich beim Cyber Resilience Act um eine Verordnung oder um eine Richtlinie?
Der Cyber Resilience Act ist eine EU-Verordnung und wird somit in den EU-Mitgliedsstaaten unmittelbar gültig sein. Er muss im Gegensatz zu EU-Richtlinien nicht noch über ein Gesetz in nationales Recht überführt werden.
Für welche Produktarten soll der Cyber Resilience Act gelten?
Er bezieht sich auf Produkte mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Das heißt, es sind sehr viele Produkte sowohl aus dem B2C-Bereich, wie Smartphones oder Staubsaugerroboter, als auch aus dem B2B-Bereich, wie Steuerungen und Sensoren, aber auch reine Softwareprodukte wie Betriebssysteme betroffen.
Mittels welcher Vorschriften und Pflichten will der Cyber Resilience Act die Cybersecurity der ihm unterliegenden Produkte sicherstellen?
Abhängig von den möglichen Auswirkungen muss jeder Hersteller, bevor er Produkte mit digitalen Elementen in Verkehr bringt, sicherstellen, dass die Produkte ohne bekannte Schwachstellen ausgeliefert werden. Hierzu gehört, dass die technische Dokumentation und die Bewertung von Cybersecurity-Risiken vorhanden sind. Aber auch nach der Inverkehrbringung hat der Hersteller Melde- und gegebenenfalls Korrekturmaßnahmen-Pflichten zu erfüllen. So muss der Hersteller beispielsweise die Agentur der European Union Agency for Cybersecurity (ENISA) und die Nutzer informieren, wenn eine aktiv ausnutzbare Schwachstelle bekannt wird, damit die Nutzer so schnell wie möglich beispielsweise mit einem Software-Update die Sicherheitslücke schließen können.
Wird der Cyber Resilience Act eine Sicherheitsabstufung vorsehen, also Produkte verschiedenen Sicherheitskategorien zuordnen? Wenn ja, welche Kriterien liegen dem zugrunde? Und schreibt der Cyber Resilience Act unterschiedliche Cybersecurity-Maßnahmen je nach Sicherheitskategorie vor?
Der Cyber Resilience Act unterscheidet zwischen Produkten mit digitalen Elementen und kritischen Produkten mit digitalen Elementen der Klasse I und Klasse II.
Hierbei hat ein potenzieller Cybervorfall bei einem Produkt der Klasse II, z. B. einem Passwort-Manager, tendenziell größere negative Auswirkungen als ein Cybervorfall bei einem Produkt der Klasse I wie einem Computer am Ende der IT-Kommunikations-Kette. Abhängig von dem Einsatz und der bestimmungsgemäßen Verwendung des Produkts fällt es unter Umständen in den Bereich »kritisches Produkt mit digitalen Elementen«. Typische kritische Produkte sind Passwort-Manager, Firewalls, Router und industrielle Automatisierungs- und Steuerungssysteme.
Konkrete technische Cybersecurity-Anforderungen, die das Produkt erfüllen muss, stellt der Act nicht. Diese werden für die jeweiligen Produkte in den zukünftigen harmonisierten Normen definiert werden. Für Aufzüge beispielsweise gibt es bereits die ISO 8102-20, die abhängig von den zu erwartenden Auswirkungen eines erfolgreichen Angriffs konkrete Anforderungen an die zu erfüllenden Security-Level nach der Norm IEC 62443 stellt. Es ist davon auszugehen, dass für andere Produktgruppen in ähnlicher Weise Normen entwickelt werden, die dann zum Cyber Resilience Act harmonisiert werden.
Wird es im Rahmen des Cyber Resilience Act Konformitätsbewertungsverfahren und Zertifizierungen geben? Wenn ja, wie sollen sie ablaufen?
Der Cyber Resilience Act schreibt für die kritischen Produkte der Klasse II eine Konformitätsprüfung durch eine benannte Stelle vor. Klasse I und unkritische Produkte mit digitalen Elementen hingegen lassen sich gegebenenfalls auch ohne die Einbindung einer benannten Stelle durch Herstellererklärungen in Verkehr bringen. Hier sind allerdings viele Fragen offen, und es ist noch unklar, ob die Hersteller kritischer Produkte und die benannten Stellen innerhalb der Übergangsfrist eine nennenswerte Anzahl erfolgreicher Konformitätsprüfungen durchführen können, ohne dass die Produktvielfalt, die wir heute kennen, erheblich eingeschränkt wird.
Wird es für die Umsetzung des Cyber Resilience Act durch die Unternehmen irgendwelche Fristen geben?
Im Moment ist eine Übergangsfrist von zwei Jahren geplant, wobei die Meldepflichten der Hersteller schon ein Jahr nach der Veröffentlichung des Cyber Resilience Act im Amtsblatt der Europäischen Union gelten sollen.
Die Fragen stellte Andreas Knoll.
Zum Zeitpunkt des Interviews lag der Cyber Resilience Act lediglich als Vorschlag für eine EU-Verordnung vor. Alle Informationen in dem Interview beziehen sich auf die Vorschläge und können sich bei einer neuen Version der EU-Verordnung ändern.
Lesen Sie mehr zum Thema
