Cyber Resilience Act: TÜV-Verband fordert Nachschärfungen

EU-Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt

[datensicherheit.de, 16.09.2022] Die EU-Kommission hat am 15. September 2022 einen Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich der Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt. Der TÜV-Verband hat den von der EU-Kommission vorgestellten Entwurf des „Cyber Resilience Act“ (CRA) im Grundsatz begrüßt, fordert aber Nachschärfungen. Die Einhaltung der Vorgaben für alle risikobehafteten Produkte sollte demnach verpflichtend von unabhängigen Stellen überprüft werden.

Cyber Resilience Act im Grundsatz begrüßt…

„Wir begrüßen das Vorhaben, erstmals grundlegende verpflichtende Cyber-Sicherheitsanforderungen für vernetzte Produkte zu schaffen“, so Marc Fliehe, Bereichsleiter „Digitalisierung und Cybersicherheit“ beim TÜV-Verband. Dieser Schritt sei längst überfällig, denn nur so könnten Unternehmen, Behörden und Bürger besser vor Cyber-Angriffen geschützt werden.
Fliehe betont: „Der ,Cyber Resilience Act’ darf aber nicht nur Anforderungen festlegen, sondern er muss auch wirksame Instrumente schaffen, mit denen die Einhaltung dieser Vorgaben verlässlich überprüft werden kann.“ Ansonsten bleibe dieser ein „zahnloser Tiger“. Cyber-Sicherheit müsse endlich integraler Bestandteil der Produktsicherheit werden, angefangen vom vernetzten Spielzeug über DSL-Router bis hin zu sicherheitsrelevanten digitalen Anwendungen in der Kritischen Infrastruktur.

Konsequente Einbindung unabhängiger Prüfstellen auch bei kritischen Cyber-Produkten

Laut dem Kommissionsvorschlag sollten Produkte in unterschiedliche Risikoklassen eingeteilt werden, allerdings auch viele Produkte mit erhöhtem Risiko („kritische Produkte“ nach Anhang III, Klasse 1) im Regelfall auf Basis einer reinen Hersteller-Selbsterklärung auf den Markt gebracht werden dürfen. Diesen Ansatz hält der TÜV-Verband nach eigenen Angaben „für verfehlt“, weil er nicht geeignet sei, das notwendige Cyber-Sicherheitsniveau von vernetzten Produkten zu gewährleisten. Eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten sei zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit von digitalen Technologien zu schaffen.
Positiv sieht der TÜV-Verband, „dass die EU-Kommission mit dem vorgelegten Regulierungsentwurf den gesamten Produktlebenszyklus eines digitalen Produktes in den Blick nimmt und entsprechende Sicherheitsanforderungen für die Nutzungsdauer vorsieht“. So sollten notwendige Sicherheitsupdates zukünftig über einen Zeitraum von bis zu fünf Jahren bereitgestellt werden. Dies ermögliche eine längere Nutzung der Produkte und schone Ressourcen.

Erstmals europaweit verbindliche Cyber-Sicherheitsanforderungen für Hersteller und Anbieter

Mit dem Entwurf des „Cyber Resilience Act“ formuliere die EU-Kommission erstmals europaweit verbindliche Cyber-Sicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“. Der Verordnungsvorschlag erfasse Hard- und Software, welche als Endprodukte oder als Komponenten auf den Markt kommen. Hersteller müssten digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen („Security by Design“), während der Lebensdauer des Produkts auftretende Schwachstellen beheben und dafür entsprechende Sicherheitsupdates bereitstellen.
Mit diesem Gesetzesentwurf würden sich nun die EU-Mitgliedsstaaten und das Europaparlament befassen. Der TÜV-Verband werde die weitere Ausgestaltung und die anschließende Umsetzung konstruktiv begleiten. Dabei gelte es auch, die Kohärenz mit bestehenden Rechtsvorschriften zu gewährleisten.

Weitere Informationen zum Thema:

datensicherheit.de, 15.09.2022
Bitkom zum Cyber Resilience Act: Wichtiger Beitrag zur Stärkung der Cyber-Sicherheit / Indes Bitkom-Kritik an hohen bürokratischen Aufwand für Unternehmen