Der Cyber Resilience Act (CRA) stärkt laut dem ZVEI zwar die europäische Cyber-Resilienz, bei der weiteren Umsetzung müsse aber auch die Expertise der Industrie einbezogen werden. Außerdem gelte es, Doppelregulierungen von CRA und der Funkanlagenrichtlinie zu vermeiden.
CRA stärkt das Vertrauen in vernetzte Geräte
Jochen Reinschmidt, ZVEI-Bereichsleiter Digitalisierung und Recht sagt zum Beschluss des Cyber Resilience Act (CRA) im Rat der EU-Innenministerinnen und -minister: „Es ist gut, dass der CRA nun auch vom Rat der EU-Innenministerinnen und -ministern beschlossen wurde. Denn mit seinen festgelegten verbindlichen Cybersicherheitsanforderungen stärkt er das Vertrauen in vernetzte Geräte und trägt zur Verbesserung der europäischen Cyber-Resilienz bei. Gleichzeitig führt der CRA zu einer Vereinheitlichung und Reduzierung der bislang komplexen Regulierungslandschaft im Bereich Cybersicherheit.“
Auch folge der CRA der bewährten Logik des New Legislative Frameworks (NLF), das auf einem Vertrauen in die Eigenverantwortung der Hersteller beruht. Diese seiennun angehalten, die vorgegebenen Cybersicherheitsanforderungen eigenständig für den Großteil der entsprechenden Produkte umzusetzen.
Es sei daher aus Sicht des ZVEI wichtig, dass die Expertise der Industrie im bevorstehenden Implementierungsprozess weiter einbezogen und genutzt werde. Dies müsse etwa bei der Definition der Produktkategorien genauso der Fall sein wie bei der anstehenden Normung zur technischen Ausgestaltung des CRA. Denn die Normen müssten nicht nur theoretischen Anforderungen gerecht werden, sondern angesichts der dynamischen Bedrohungslage auch praxisnah gestaltet sein.
Vermeidung von Doppelregulierungen
„Für eine erfolgreiche, rechtssichere Umsetzung muss zudem auf die Vermeidung von Doppelregulierung geachtet werden. So regulieren sowohl der CRA als auch die delegierte Verordnung (EU) 2022/30 unter der Funkanlagenrichtlinie die Sicherheit vernetzter Produkte. Letztere muss aus Sicht des ZVEI sinnvollerweise zurückgezogen werden, sobald der CRA 2027 vollständig in Kraft tritt.
Mit dem CRA schafft die EU in einer immer stärker vernetzten Welt eine wichtige Grundlage, um Cybersicherheit im europäischen Binnenmarkt nachhaltig zu stärken und die Sicherheit vernetzter Produkte zu gewährleisten.“
Der ZVEI hatte bereits im September ein Positionspapier veröffentlicht, indem der Verband der Elektro- und Digitalindustrie die zum Teil erheblichen Unklarheiten und Überschneidungen in den EU-Digitalregulierungen kritisierte. Vor allem zwischen DSGVO und Data Act, Cyber Resilience Act (CRA) und Ökodesign-Verordnung (ESPR) oder auch zwischen Funkanlagenrichtlinie (RED) und CRA träten Rechtsunsicherheiten auf. Das Positionspapier steht zum kostenfreien Download bereit.
Weitere Informationen gibt es unter www.zvei.org.
