In der vergangenen Nacht haben sich die EU-Kommission, das EU-Parlament und der Rat der Europäischen Union vorläufig auf den Cyber Resilience Act (CRA) geeinigt. Der TÜV-Verband begrüßt die Einigung, wünscht sich aber ein ambitionierteres Regelwerk.
Johannes Kröhnert, Leiter des Brüsseler Büros, betont, dass es wichtig ist, verpflichtende Vorgaben für die Cybersicherheit vernetzter Produkte in der EU einzuführen. Er erwähnt, dass der vorrangige Zweck des EU-Gesetzgebers darin bestehen sollte, nur nachweislich cybersichere Produkte auf den Markt zu bringen, um das Vertrauen der Verbraucher in vernetzte Produkte zu stärken. Kröhnert bedauert jedoch, dass der EU-Gesetzgeber in Bezug auf robuste und zuverlässige Überprüfungsmechanismen eine große Chance verpasst hat.
Der TÜV-Verband bewertet kritisch, dass die Liste der kritischen Produkte, die einer unabhängigen Konformitätsbewertung unterliegen, von den EU-Mitgliedsstaaten und dem EU-Parlament massiv auf nur noch vier Produktkategorien reduziert wurde. Kröhnert äußert Unverständnis darüber, dass beispielsweise Betriebssysteme für Server, Desktops und Mobilgeräte, Router oder Chipkartenleser künftig lediglich aufgrund einer Herstellerselbsterklärung auf den Markt gelangen sollen. Angesichts der hohen Gefährdungslage und des Schutzauftrags des Gesetzgebers sei dies nicht nachvollziehbar und unangemessen. Kröhnert betont, dass die Einbindung unabhängiger Prüfstellen gerade bei kritischen Produkten unerlässlich sei, um Vertrauen in die Sicherheit digitaler Technologien zu schaffen.
Hingegen sei es positiv, dass nun auch internetfähige Spielzeuge und persönliche Wearables in die Liste der kritischen Produkte aufgenommen wurden. Kröhnert hebt hervor, dass gerade vernetzte Verbraucherprodukte mit digitalen Funktionen ein hohes Risikopotenzial darstellen und leicht zu Angriffszielen für Cyberangriffe werden können.
Kröhnert unterstreicht die Dringlichkeit der neuen Regelungen angesichts der zahlreichen Cybersicherheitsvorfälle und der damit verbundenen Schäden. Er hält die Verlängerung der Übergangszeit von 24 auf 36 Monate bis voraussichtlich 2027 für nicht nachvollziehbar.
Der Cyber Resilience Act legt erstmals grundlegende Anforderungen an die Cybersicherheit für alle Produkte mit digitalen Elementen fest. Diese Vorgaben umfassen sowohl physische Produkte als auch Software und beinhalten Aspekte wie die Berücksichtigung der Cybersicherheit während des gesamten Produktlebenszyklus, die Dokumentation aller Cybersicherheitsrisiken, die Meldung und Behebung aktiv ausnutzbarer Schwachstellen sowie die Updatepflicht der Hersteller.
Dieser Text basiert auf einer Pressemitteilung von TÜV-Verband e.V./ Veröffentlicht am 01.12.2023