IT-Sicherheit | Produktsicherheit
TÜV fordert wirksame Instrumente beim Cyber Resilience Act
Der
TÜV-Verband begrüßt den heute von der EU-Kommission vorgestellten Entwurf des
Cyber Resilience Act (CRA) im Grundsatz, fordert aber Nachschärfungen. „Wir
begrüßen das Vorhaben, erstmals grundlegende verpflichtende
Cybersicherheitsanforderungen für vernetzte Produkte zu schaffen. Dieser
Schritt ist längst überfällig, denn nur so können Unternehmen, Behörden und
Bürger:innen besser vor Cyberangriffen geschützt werden“, sagt Marc Fliehe,
Bereichsleiter Digitalisierung und Cybersicherheit beim TÜV-Verband. „Der Cyber
Resilience Act darf aber nicht nur Anforderungen festlegen, sondern er muss
auch wirksame Instrumente schaffen, mit denen die Einhaltung dieser Vorgaben
verlässlich überprüft werden kann.“ Ansonsten bleibe der Cyber Resilience
Act ein zahnloser Tiger. Fliehe: „Cybersicherheit muss endlich integraler
Bestandteil der Produktsicherheit werden, angefangen vom vernetzten Spielzeug
über DSL-Router bis hin zu sicherheitsrelevanten digitalen Anwendungen in der kritischen
Infrastruktur.“
Laut dem
Kommissionsvorschlag sollen Produkte in unterschiedliche Risikoklassen
eingeteilt werden. Allerdings sollen auch viele Produkte mit erhöhtem Risiko
(„kritische Produkte“ nach Anhang III, Klasse 1) im Regelfall auf Basis einer
reinen Herstellerselbsterklärung auf den Markt gebracht werden dürfen. Diesen
Ansatz hält der TÜV-Verband für verfehlt, weil er nicht geeignet ist, das
notwendige Cybersicherheitsniveau von vernetzten Produkten zu gewährleisten.
Eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten
ist zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit von
digitalen Technologien zu schaffen. Positiv
sieht der TÜV-Verband, dass die EU-Kommission mit dem vorgelegten Regulierungsentwurf
den gesamten Produktlebenszyklus eines digitalen Produktes in den Blick nimmt
und entsprechende Sicherheitsanforderungen für die Nutzungsdauer vorsieht. So
sollen notwendige Sicherheitsupdates zukünftig über einen Zeitraum von bis zu
fünf Jahren bereitgestellt werden. Dies ermöglicht eine längere Nutzung der
Produkte und schont Ressourcen. Mit dem
Entwurf des Cyber Resilience Act formuliert die EU-Kommission erstmals
europaweit verbindliche Cybersicherheitsanforderungen für Hersteller und
Anbieter von „Produkten mit digitalen Elementen“. Der Verordnungsvorschlag
erfasst Hard- und Software, die als Endprodukte oder als Komponenten auf den
Markt kommen. Hersteller müssen digitale Sicherheit künftig bereits bei der
Produktentwicklung berücksichtigen („Security by Design“), während der
Lebensdauer des Produkts auftretende Schwachstellen beheben und dafür
entsprechende Sicherheitsupdates bereitstellen. Mit dem
Gesetzesentwurf werden sich nun die EU-Mitgliedsstaaten und das Europaparlament
befassen. Der TÜV-Verband wird die weitere Ausgestaltung und die anschließende
Umsetzung konstruktiv begleiten. Dabei gilt es auch, die Kohärenz mit
bestehenden Rechtsvorschriften zu gewährleisten. Pressemitteilung des TÜV-Verband