[datensicherheit.de, 31.07.2024] Der TÜV-Verband e.V. geht in seiner aktuellen Stellungnahme auf den mit gestaffelten Übergangsfristen in Kraft tretenden Europäischen „AI Act“ ein – der TÜV-Verband begrüßt demnach diese Regelung und fordert eine rasche Klärung offener Umsetzungsfragen. Das „TÜV AI.Lab“ entwickele zudem ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen und -Modellen – den „AI Act Risk Navigator“.

Abbildung: TÜV AI.Lab

AI Act Risk Navigator: „Classify your Risk according to the EU AI Act“

AI Act kodifiziert erstmals Regeln für KI

Der TÜV-Verband unterstützt nach eigenen Angaben das Inkrafttreten des europäischen „AI Act“, womit erstmals Regeln für Künstliche Intelligenz (KI) festlegt würden. Damit werde nun ein global führender Rechtsrahmen für sichere und vertrauenswürdige KI geschaffen.

„Der ,AI Act’ bietet die Chance, vor negativen Auswirkungen von Künstlicher Intelligenz zu schützen und gleichzeitig Innovationen zu fördern. Er kann dazu beitragen, einen globalen Leitmarkt für sichere ‚KI Made in Europe‘ zu etablieren“, kommentiert Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands.

Dr. Bühler betont: „Es ist jetzt wichtig, die Umsetzung effizient und unbürokratisch zu gestalten. Unabhängige Stellen spielen dabei eine wesentliche Rolle, nicht nur im Hinblick auf die verbindlichen Anforderungen, sondern auch im freiwilligen KI-Prüfmarkt.“

Gestaffelte Übergangsfristen für KI-Systeme bis 2027

Der „EU AI Act“ soll am 1. August 2024 mit gestaffelten Übergangsfristen in Kraft treten. Sechs Monate nach Inkrafttreten, das heißt ab Anfang 2025, sollten zunächst KI-Systeme verboten werden, die unter anderem manipulative oder täuschende Techniken einsetzen.

Ab dem 1. August 2025 werden dann Verhaltenskodizes für bestimmte Allzweck-KI-Modelle in Kraft treten. Zudem müssten die EU-Mitgliedstaaten nationale Behörden für die Marktüberwachung benennen. Verpflichtende Prüfungen für sogenannte Hochrisiko-KI in Bereichen wie Kreditvergabe, Personalwesen oder Strafverfolgung werden ab August 2026 erforderlich sein – und nicht nur KI-Entwickler betreffen, sondern auch KI-Anbieter, und Betreiber risikoreicher KI.

Ab 2027 sollen dann die Anforderungen an KI in „drittprüfpflichtigen Produkten“ in Kraft treten. Dr. Bühler führt hierzu aus: „Prüfungen von KI-Systemen schaffen Vertrauen und sind schon heute ein Wettbewerbsvorteil. Unternehmen sind gut beraten, sich jetzt mit den Anforderungen vertraut zu machen, insbesondere im Hinblick auf die Übergangsfristen. Es ist wichtig, abzuschätzen, wie und wo der ,AI Act’ ihre Aktivitäten betrifft.“

Herausforderungen der Umsetzung: KI-Risiken sowie Entwicklung systemischer Risiken besonders leistungsfähiger Allzweck-KI-Modellen im Blick behalten

„Eine einheitliche Interpretation und konsequente Anwendung des risikobasierten Ansatzes sind entscheidend, damit der ,AI Act’ in der Praxis wirksam wird – hier sind die Mitgliedsstaaten gefordert“, betont Dr. Bühler. Aus Sicht des TÜV-Verbands sollte besonderes Augenmerk auf eine effiziente und unbürokratische Umsetzung gelegt werden.

Klare Zuständigkeiten und „verantwortliche Stellen“ seien notwendig, um die Regelungen praktisch umzusetzen. So sollten Umsetzungsleitfäden für die Einstufung von Hochrisiko-KI-Systemen vom AI Office (Europäisches KI-Büro) schnellstmöglich veröffentlicht werden, um insbesondere kleinen und mittleren Unternehmen (KMU) Rechtssicherheit zu geben.

Darüber hinaus seien neue KI-Risiken sowie die Entwicklung systemischer Risiken von besonders leistungsfähigen Allzweck-KI-Modellen im Blick zu behalten und der Aufbau einer systematischen KI-Schadensberichterstattung voranzutreiben.

TÜV AI.Lab Risk Navigator zeigt soll helfen, Klarheit über Auswirkungen der KI-Verordnung zu schaffen

Das 2023 als Joint Venture der TÜV-Unternehmen gegründete „TÜV AI.Lab“ soll regulatorische Anforderungen an KI in die Prüfpraxis übersetzen und quantifizierbare Konformitätskriterien sowie geeignete Prüfmethoden für KI entwickeln.

Zum Inkrafttreten des „AI Act“ veröffentlicht das „TÜV AI.Lab“ den „AI Act Risk Navigator“ – ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen. „Mit dem ,AI Act Risk Navigator’ des ,TÜV AI.Lab’ bieten wir eine nutzerfreundliche Anwendung, mit der Unternehmen verstehen können, ob und wie sie vom AI Act betroffen sind“, erläutert Franziska Weindauer, Geschäftsführerin des „TÜV AI.Lab“.

„Unser Ziel ist es, Klarheit über die Auswirkungen der KI-Verordnung zu schaffen, so dass Unternehmen sich rechtzeitig vorbereiten können. Wenn wir Qualitätsanforderungen an Künstliche Intelligenz von Beginn an mitdenken, kann vertrauenswürdige Künstliche Intelligenz zum europäischen Alleinstellungsmerkmal werden.“ Der „AI Act Risk Navigator“ soll dabei Unterstützung bieten, KI-Systeme gemäß den Risikoklassen des „AI Act“ einzuordnen und Transparenz über die geltenden Anforderungen zu schaffen.

Anforderungen je nach KI-Risikoklassifizierung

Die EU-Regulierung teile KI-Anwendungen in vier Risikoklassen mit jeweils unterschiedlichen Anforderungen ein, welche in den kommenden Monaten schrittweise einzuhalten seien. Systeme mit hohem Risiko, die in Bereichen wie Medizin, Kritische Infrastrukturen oder Personalmanagement eingesetzt werden, unterlägen beispielsweise künftig strengen Auflagen und müssten umfassende Anforderungen an Transparenz, Sicherheit und Aufsicht erfüllen.

Bei Verstößen drohten Bußgelder von bis zu 15 Millionen Euro oder bis zu drei Prozent des weltweiten Jahresumsatzes. „Wir wissen, dass das für Unternehmen Fragen aufwirft. Deshalb wollen wir zu größerer Klarheit über das eigene Risikoprofil und die zu erfüllenden Anforderungen beitragen“, unterstreicht Weindauer.

Systeme mit begrenztem Risiko, wie etwa sogenannte Chatbots, müssten nur Transparenzanforderungen erfüllen, während Systeme mit minimalem Risiko, wie z.B. einfache Videospiele, gar nicht reguliert würden. Die risikobasierte Klassifizierung solle sicherstellen, „dass der Einsatz von KI sicher und vertrauenswürdig ist, damit so die Innovationskraft der Technologie und deren Marktdurchdringung weiter gesteigert werden kann“.

Weitere Informationen zum Thema:

TÜV AI.LAB
AI Act Risk Navigator / Classify your Risk according to the EU AI Act

[datensicherheit.de, 21.06.2022] Der TÜV-Verband e.V. geht in seiner aktuellen Stellungnahme auf den „Anlagensicherheitsreport 2022“ ein und warnt: Weniger als die Hälfte der geprüften Aufzugsanlagen sie mängelfrei – so habe es mindestens 645 Unfälle mit Personenschaden innerhalb eines Jahres gegeben. Die vollständige Erfassung und Auswertung des Unfallgeschehens könnte die Sicherheit von Aufzügen verbessern helfen. Indes erhöhe die digitale Vernetzung im Internet der Dinge und Dienste die Gefahr durch Cyber-Angriffe.

Abbildung: TÜV-Verband e.V.

„Anlagensicherheitsreport 2022“: 2.600 Aufzüge 2021 stillgelegt

TÜV‘ bzw. ZÜS mussten 2021 4.550 Aufzugsanlagen mit gefährlichen Mängeln beanstanden

Herabfallende Kabinen, in Aufzugtüren eingeklemmte Finger oder Stürze in den offenen Aufzugsschacht – immer wieder komme es bei Aufzugsanlagen in Gebäuden zu schweren Unfällen mit Verletzten oder sogar Toten als Folge. Eine regelmäßige Wartung und unabhängige Prüfung sei daher unabdingbar, wie der aktuelle „Anlagensicherheitsreport“ zeige.

Im Jahr 2021 seien bei den gesetzlich vorgeschriebenen Prüfungen rund 4.550 Aufzugsanlagen mit „gefährlichen Mängeln“ beanstandet worden (0,7%). „Davon mussten 2.600 Aufzüge sofort stillgelegt werden, weil die Anlagen nicht sofort an Ort und Stelle instandgesetzt werden konnten.“ Bei 14,4 Prozent der insgesamt 650.000 im Jahr 2021 geprüften Aufzugsanlagen hätten die Sachverständigen „erhebliche Mängel“ entdeckt, welche innerhalb einer vorgegebenen Frist vom Betreiber behoben werden müssten. Weitere 39,4 Prozent hätten „geringfügige Mängel“ gehabt. Mit einem Anteil von 45,5 Prozent sei weniger als die Hälfte der geprüften Aufzüge mängelfrei gewesen.

Mängel an Aufzügen wie verschleißende Tragseile, defekte Steuerungen oder ausgefallene Notrufsysteme seien eine Gefahr für die Nutzer und müssten so schnell wie möglich behoben werden, betont Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. In den Report fließen demnach die Ergebnisse der gesetzlich vorgeschriebenen Prüfungen aller in Deutschland Zugelassenen Überwachungsstellen (ZÜS) ein. Aus Sicht des TÜV-Verbands sei es notwendig, „das Unfallgeschehen im Zusammenhang mit Aufzügen zentral zu erfassen und auszuwerten und digitale Sicherheit der Anlagen zu verbessern“.

Geschäftsführer des TÜV-Verbands fordert, mit dem IoT verbundene Steuerungen und Notrufsysteme von Aufzügen vor digitalen Angriffen möglichst gut zu schützen

Seit dem Beginn des Krieges in der Ukraine habe die Zahl der Cyber-Angriffe auch in Deutschland noch einmal erheblich zugenommen. Im Visier krimineller Hacker seien Unternehmen, staatliche Institutionen, Kritische Infrastrukturen, aber auch Politiker und Privatpersonen, erläutert Dr. Bühler. Ein potenzielles Einfallstor für Cyber-Angriffe sei die im „Internet of Things“ (IoT) vernetzte Gebäudetechnik, zu der auch die Aufzugsanlagen gehörten.

„Vor allem mit dem Internet verbundene Steuerungen und Notrufsysteme von Aufzügen müssen vor digitalen Angriffen möglichst gut geschützt werden“, unterstreicht Dr. Bühler und führt aus: „Bisher gibt es keine verbindlichen Vorgaben für die Cyber-Sicherheit von Aufzügen. Eine gesetzliche Regelung ist längst überfällig.“ Aus Sicht des TÜV-Verbands müssten entsprechende Sicherheitsanforderungen in der europäischen Maschinenverordnung und der Aufzugsrichtlinie ausdrücklich verankert werden. Notwendig seien unter anderem Vorgaben für eine verschlüsselte Kommunikation, den Einsatz hochwertiger Authentifizierungssysteme oder die Gewährleistung von Updates über die gesamte Lebensdauer der Anlagen hinweg.

„Für eine effektive Überprüfung der digitalen Sicherheit von Aufzügen benötigen die Überwachungsstellen Zugang zu sicherheitskritischen Daten und der Software der Anlagen“, so Dr. Bühler. Da Aufzugsanlagen grundsätzlich sicher sein müssten, beschäftigten sich inzwischen die Betreiber mit dem Thema. Eine einschlägige Technische Regel werde derzeit der Ausschuss für Betriebssicherheit beim Bundesministerium für Arbeit und Soziales erarbeitet. Auch die ZÜS hätten sich in Form eines Beschlusses auf eine Vorgehensweise bei der Prüfung der Cyber-Sicherheit geeinigt.

TÜV-Verband fordert zentrale Erfassung aller Unfälle im Zusammenhang mit der Nutzung, Reparatur oder Wartung von Aufzugsanlagen

Darüber hinaus fordert der TÜV-Verband nach eigenen Angaben eine zentrale Erfassung aller Unfälle, welche im Zusammenhang mit der Nutzung, Reparatur oder Wartung von Aufzugsanlagen geschehen. Meldepflichten für Unfälle, bei denen Menschen getötet oder schwer verletzt werden, seien in der Betriebssicherheitsverordnung und im Sozialgesetzbuch verankert. Allerdings seien diese Meldungen „lückenhaft“ und erfassten hauptsächlich Arbeitnehmer betreffende Zwischenfälle. Schätzungen gingen von einer „hohen Dunkelziffer“ aus, da viele Aufzugsbetreiber Unfallmeldungen an die Behörden unterließen.

Nach den letzten offiziellen Daten der Deutschen Gesetzlichen Unfallversicherung habe es im Jahr 2020 in Deutschland 645 Vorfälle mit Aufzügen gegeben, bei denen Menschen im gewerblichen Umfeld zu Schaden gekommen seien (2019: 913) – „zwei Unfälle endeten tödlich“. Die Dunkelziffer nicht erfasster Vorfälle dürfte erheblich höher sein. „Eine vollständige Erfassung und Auswertung der Daten zum Unfallgeschehen trägt dazu bei, zusätzliche Erkenntnisse zu gewinnen und auf dieser Basis die Sicherheit von Aufzügen zu verbessern“, kommentiert Dr. Bühler. In einem nächsten Schritt könnten neue Vorgaben in den bestehenden Regelwerken verankert werden.

Tipp des TÜV-Verbands: „Wer einen Aufzug benutzt, kann anhand der Prüfplakette leicht erkennen, ob die Anlage von einer Zugelassenen Überwachungsstelle überprüft wurde.“ Diese Prüfplakette müsse von den Sachverständigen gut sichtbar in der Fahrzeugkabine angebracht werden. Auf der Plakette sei neben der Überwachungsstelle der nächste Prüftermin verzeichnet. Ist dieser Prüftermin verstrichen, sollten sich Nutzer an die Hausverwaltung oder den Betreiber des Aufzugs wenden und ihn auf die fällige Prüfung hinweisen. Dies gelte auch, wenn gar keine Prüfplakette vorhanden ist: „Dann ist die Wahrscheinlichkeit hoch, dass der Aufzug gar nicht von einer Zugelassenen Überwachungsstelle geprüft wird.“

Weitere Informationen zum Thema:

Technische Überwachung
Anlagensicherheits-Report 2022 der Zugelassenen Überwachungsstellen (ZÜS)

[datensicherheit.de, 16.12.2020] Der Verband der TÜV e.V. (VdTÜV) begrüßt in seiner aktuellen Stellungnahme das am 16. Dezember 2020 im Bundeskabinett verabschiedete IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) im Grundsatz, mahnt aber „Nachjustierungen“ an: „Das neue IT-Sicherheitsgesetz wird dazu beitragen, den Schutz vor Cyber-Angriffen zu verbessern“, so Dr. Joachim Bühler, Geschäftsführer des VdTÜV. Dies habe bereits das im Jahr 2015 verabschiedete erste IT-Sicherheitsgesetz gezeigt, welches jetzt novelliert werde.

VdTÜV setzt auf Stärkung der Widerstandsfähigkeit gegen Cyber-Risiken

„Wir begrüßen, dass der enge Geltungsbereich des Gesetzes ausgeweitet wird und in Zukunft weitaus mehr Unternehmen höchste Anforderungen an die IT-Sicherheit erfüllen müssen als bisher“, meint Dr. Bühler. Dies stärke die Widerstandsfähigkeit gegen Cyber-Risiken in der Wirtschaft insgesamt. Bisher hätten nur rund 2.000, zu den Betreibern Kritischer Infrastrukturen (Kritis) zählende Unternehmen, die Vorgaben dieses Gesetzes erfüllen müssen.
Künftig würden auch „Unternehmen im besonderen öffentlichen Interesse“ erhöhte IT-Sicherheitsanforderungen erfüllen müssen. Das betrifft laut Dr. Bühler zum Beispiel große Unternehmen mit besonderer gesamtwirtschaftlicher Bedeutung oder Unternehmen, welche staatliche Sicherheitsinteressen berühren.

Laut VdTÜV deutlicher Nachbesserungsbedarf beim geplanten IT-Sicherheitskennzeichen

Deutlichen Nachbesserungsbedarf sieht der TÜV-Verband nach eigenen Angaben beim geplanten IT-Sicherheitskennzeichen für Produkte: Ziel sei es, Verbrauchern eine bessere Orientierung beim Kauf vernetzter Produkte mit digitalen Funktionen zu ermöglichen. So sollten Produkte eine Kennzeichnung vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten, „wenn sie bestimmte Anforderungen an die IT-Sicherheit erfüllen“. Voraussetzung für die Vergabe des Kennzeichens sei eine Erklärung des Herstellers, „dass sein Produkt den Vorgaben entspricht“.
Das BSI überprüfe anhand von Unterlagen des Herstellers, ob die Angaben plausibel sind. „Eine reine Plausibilitätsprüfung von Dokumenten reicht nicht aus, um die IT-Sicherheit eines Produktes umfassend zu bestätigen“, erläutert Dr. Bühler. Für eine „substantiierte Verbraucherinformation“ sei eine tatsächliche Produktprüfung notwendig, welche von einer herstellerunabhängigen Stelle durchgeführt werde. „Für die Verbraucher muss klar sein, was eine Produktkennzeichnung aussagt“, betont Dr. Bühler. Echte Sicherheit und verlässliche Orientierung biete „nur eine fundierte Produktprüfung durch unabhängige Dritte“.

VdTÜV kritisiert beim Gesetzgebungsverfahren auffallend kurze Frist für Kommentierung

Aus Sicht des TÜV-Verbands sollten sich staatliche Stellen „unter Wahrung des Subsidiaritätsprinzips sowie des Grundsatzes der Staatsentlastung auf hoheitliche Aufgaben konzentrieren“. Dem BSI würden im IT-Sicherheitsgesetz 2.0 Aufgaben wie die Akkreditierung von Prüforganisationen, die Zertifizierung von IT-Produkten oder sicherheitsrelevanten Dienstleistungen sowie die Marktaufsicht zugedacht. So solle das BSI künftig private Prüforganisationen zulassen bzw. akkreditieren und überwachen, mit denen sie gleichzeitig um die Zertifizierung von sicherheitskritischen Systemen in der Wirtschaft konkurriere. Allerdings berge die Konzentration, Durchmischung und Überlagerung von Aufgaben und Kompetenzen das Risiko von Interessenkonflikten innerhalb einer Behörde.
Zum Gesetzgebungsverfahren kritisiert der VdTÜV – wie auch andere Verbände – die „auffallend kurze Frist für die Kommentierung des Gesetzentwurfs“. Dr. Bühler führt aus: „Das IT-Sicherheitsgesetz betrifft Wirtschaft und Verbraucher massiv. Ausreichend Zeit für eine sachgerechte Anhörung der Verbände ist daher zwingend geboten und wichtiger Teil des demokratischen Verfahrens.“

Weitere Informationen zum Thema:

TÜV VERBAND
Stellungnahme des TÜV-Verbands zum IT-Sicherheitsgesetz / Der TÜV-Verband kommentiert den Referentenentwurf für ein zweites IT-Sicherheitsgesetz vom 1. Dezember 2020.

datensicherheit.de, 10.12.2020
IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung / Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer

[datensicherheit.de, 24.10.2019] Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands (VdTÜV), hat zum Abschlussbericht der Datenethikkommission Stellung bezogen. Er sieht in unabhängigen Prüfungen Künstlicher Intelligenz (KI) zur Sicherheit von Verbrauchern, Beschäftigten und Unternehmen seien ein Instrument, um KI-Innovationen auf dem europäischen Markt zum Durchbruch zu verhelfen.

Zuspruch zur Einteilung in unterschiedliche Risikoklassen

Der TÜV-Verband begrüßt demnach den Vorstoß der Datenethikkommission, Künstliche Intelligenz (KI) und selbstlernende Algorithmen in unterschiedliche Risikoklassen einzuteilen: Ein Autonomes Fahrzeug, das mit KI fährt, sei etwas Anderes als ein Webshop oder ein intelligentes E-Mail-Postfach.

Bei Gefährdung der Verbraucher nachweisbare Sicherheit gefordert

„Bei Gefahr für Leib und Leben oder starken Eingriffen in die Privatsphäre der Verbraucher muss die KI nachweisbar sicher sein“, fordert Dr. Bühler. Unabhängige Prüfungen von KI zur Sicherheit von Verbrauchern, Beschäftigten und Unternehmen seien ein „wichtiges und richtiges Instrument, um KI-Innovationen auf dem europäischen Markt zum Durchbruch zu verhelfen“.

Weitere Informationen zum Thema:

Bundesministerium der Justiz und für Verbraucherschutz
Datenethikkommission

Hochschule Bonn-Rhein-Sieg
Anmeldung zur Veranstaltung: „Abschlussbericht der Datenethikkommission“ 4. November 2019, 18-20 Uhr – Campus Sankt Augustin – Grantham-Allee 20 – 53757 Sankt Augustin – Audimax (Hörsaal1)

datensicherheit.de, 23.10.2019
Datenethikkommission: Bitkom kritisiert Abschlussbericht

[datensicherheit.de, 01.04.2019] Der TÜV-Verband hat nach eigenen Angaben eine neue Sicherheitsarchitektur für die digital vernetzte Industrie gefordert: „Angesichts der anhaltenden Bedrohung durch wirtschaftlich oder politisch motivierte Cyber-Angriffe sind weitere Anstrengungen der Politik in Berlin und Brüssel notwendig“, betont Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands (VdTÜV), zum Start der „Hannover Messe 2019“. Betroffen seien insbesondere die industrielle Produktion und die damit verbundenen Wertschöpfungsketten im sogenannten Industrial Internet of Things (IIoT).

Produktsicherheitsbegriff in der EU neu zu definieren!

Dr. Bühler: „Aus funktional sicheren Maschinen, Anlagen oder Geräten können mit der Vernetzung hochgradig unsichere Produkte werden. Darauf hat die Gesetzgebung in der Europäischen Union und auf nationaler Ebene noch keine ausreichenden Antworten gefunden.“
Das betreffe vor allem die Fragen, unter welchen Voraussetzungen vernetzte Produkte in der EU auf den Markt gebracht werden dürfen und wie ein sicherer Betrieb gewährleistet wird.
„Der Produktsicherheitsbegriff muss in der EU neu definiert werden“, fordert Dr. Bühler. „Bisher orientiert sich Produktsicherheit ausschließlich an der materiellen Beschaffenheit eines Produktes. In Zukunft muss auch die digitale Sicherheit fester Bestandteil sein.“

Cyber-Angriffe oder Fehlfunktionen können Leib und Leben der Menschen gefährden

Digitale Sicherheit bzw. Cybersecurity bedeutet demnach, ein Produkt vor Einwirkungen durch Hacker bzw. „unbefugte Dritte“ zu schützen. Das sei in der bisherigen Systematik der Produktsicherheit nicht vorgesehen.
Marktforscher schätzten, dass im Jahr 2021 weltweit 25 Milliarden Dinge mit dem Internet verbunden seien, darunter zunehmend Maschinen, Geräte, Werkzeuge oder Fahrzeuge. „Mit der Vernetzung bekommen Produkte zusätzliche, intelligente Funktionen. Sie werden aber auch angreifbar und es entstehen neue Risiken“, warnt Dr. Bühler. Cyber-Angriffe oder Fehlfunktionen könnten stärker als bisher Leib und Leben der Menschen gefährden.
Dr. Bühler: „In Zukunft müssen IoT-Produkte und -Anlagen spezifische Anforderungen an die digitale Sicherheit gerecht werden, bevor sie auf den europäischen Markt kommen.“ Dafür müssten die spezifischen EU-Rechtsakte für die Markteinführung von Produkten angepasst werden.

Europawahl 2019: VdTÜV stellt Forderungen zur Produktsicherheit und Cybersecurity auf

Dabei sollten für die Produkte unterschiedliche Risikoklassen gelten: „Ein Internetradio muss beispielsweise nicht die gleichen Anforderungen an die IT-Sicherheit erfüllen wie automatisierte Steuerungsfunktionen in Fahrzeugen“, erläutert Dr. Bühler. Hier weise der „Cybersecurity Act“ (CCA) der EU in die richtige Richtung, „weil er drei Risikoklassen definiert“. Jetzt müssten die einzelnen Produktregulierungen wie die Maschinenrichtlinie novelliert werden und konsequent auf den CCA verweisen.
Aus Sicht des TÜV-Verbands muss in diesem Zuge die Rolle herstellerunabhängigen Prüf- und Überwachungsorganisationen im Digitalen Raum gestärkt werden. „Besteht Gefahr für die Gesundheit der Nutzer von Produkten, müssen neutrale Stellen in Prüf- und Überwachungsprozesse eingebunden werden“, fordert Dr. Bühler. Dafür müssten sie auch Zugang zu sicherheitsrelevanter Software bekommen. „Ist die Software eines Produkts durch falsche Programmierung oder einen Angriff fehlerhaft oder nicht aktuell, bestehen Sicherheitsrisiken“, begründet der VdTÜV-Geschäftsführer. Für eine digitale Sicherheitsprüfung sei deshalb ein „uneingeschränkter Zugang zur relevanten Steuerungstechnik und deren Software notwendig“.
Der VdTÜV hat seine Forderungen zum Thema Produktsicherheit und Cybersecurity in einem aktuellen Positionspapier zur Europawahl 2019 zusammengefasst.

Weitere Informationen zum Thema:

VdTÜV
Informationssicherheit / Vertrauen in vernetzte Produkte und Anlagen durch Zertifizierungen unabhängiger Dritter fördern!

VdTÜV
Policy Sheet Europawahl 2019 / INFORMATIONSSICHERHEIT

datensicherheit.de, 27.06.2018
TÜV Rheinland: In fünf Jahren bereits 500 vernetzte Geräte in jedem Privathaushalt

datensicherheit.de, 09.05.2018
Cybersecurity Trends 2018: TÜV Rheinland veröffentlicht neues Whitepaper