Am 30.11.2023 wurde sich in der letzten formalen Trilog-Verhandlung zum Cyber Resilience Act (CRA) bei den verbliebenen offenen Punkten auf einen Kompromiss geeinigt. Die Ergebnisse stimmen den ZVEI zu Teilen vorsichtig optimistisch. Die beschlossenen Inhalte seien ambitioniert, berücksichtigten in den meisten Fällen aber auch die realistische Implementierung.

CRA-Klassifizierungslogik für kritische Produkte ist aus Sicht des ZVEI sinnvoll

Es wurde aus Sicht des Elektro- und Digitalverbands eine sinnvolle, auf kritischen Einsatzzwecken basierende, Klassifizierungslogik für kritische Produkte gefunden und die Liste kritischer Produkte entsprechend angepasst. Die Möglichkeit Ersatzteile für einen Austausch identischer Produkte in langlebige Infrastrukturen liefern zu können sei sehr wichtig, nicht zuletzt für die Versorgungssicherheit.

Aber:

• Die beschlossene Umsetzungsfrist von 36 Monaten sieht der ZVEI kritisch. Auch wenn diese das Maximum innerhalb der Verhandlungsmandate darstellte, so sei sie überambitioniert für die Komplexität der umzusetzenden Anforderungen.
• Hinsichtlich der Produktanforderungen seien nicht alle Aspekte in einer Form gelöst worden, die auch in unterschiedlichen Geschäftsbereichen und für unterschiedliche Geschäftsmodelle eine adäquate Umsetzung erlaubten. Die Besonderheiten von Geschäftsmodellen und Kundenbeziehungen im B2B-Bereich hätten hier umfangreicher berücksichtig werden müssen.
• Die gefundenen Kompromisse zu den Berichtspflichten werfen Fragen auf: Doppelte Berichtspflichten bedeuteten unnötige Mehraufwände auf Seiten der Unternehmen, sinnvollerweise sollte der als erforderlich angesehene Informationsaustausch auf Seiten der Behörden organisiert werden, also zwischen ENISA und den jeweiligen nationalen CSIRTs (Computer Security Incident Response Teams).

Bitkom fürchtet höheren Personal- und Kostenaufwand

„Der Cyber Resilience Act ist weltweit einzigartig und ein Meilenstein auf dem Weg zur Stärkung der Cybersicherheit in Europa. Mit einheitlichen Standards für Produkte mit digitalen Elementen, wie zum Beispiel Security by Design, kann er deutlich mehr Sicherheit für Verbraucherinnen und Verbraucher schaffen. Unternehmen profitieren unter anderen durch eine Vereinheitlichung der Meldefristen für Schwachstellen. Allerdings kommt auf sie auch ein hoher zusätzlicher Personal- und Kostenaufwand zu, sowohl bei der Anpassung der Produkte als auch der internen Prozesse an die neuen Vorgabe,“ erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Die vorgesehenen Übergangsfristen seien aus Sicht des Bitkom außerdem zu kurz, da Unternehmen ganze Ökosysteme umstellen müssten und dies Zeit in Anspruch nehme. Die EU-Kommission müsse daher, wie im Trilog festgehalten, die Unternehmen bei der Umsetzung des Cyber Resilience Act unterstützen, etwa durch die Bereitstellung von Implementierungsleitfäden. Es dürfe an dieser Stelle nicht zu Rechtsunsicherheiten kommen, von denen insbesondere Startups und kleine sowie mittelständische Unternehmen betroffen wären. Bedauerlich sei auch, dass auch nach Ende der Trilog-Verhandlungen weiter Unklarheit darüber besteht, inwiefern Open Source Software die Anforderungen des Cyber Resilience Acts erfüllen muss und kann.

Jeder Aspekt des CRA wiegt Milliarden schwer

Wie sich diese Aspekte in der Umsetzung auswirken, bleibt abzuwarten. Angesichts der Breite der betroffenen Produkte und Komponenten hat schließlich nahezu jeder Aspekt des CRA Milliarden schwere Auswirkungen. Gleichzeitig ist die mit dem CRA vorangetriebene Erhöhung der Resilienz von Produkten und Komponenten mit digitalen Elementen insgesamt im Sinne der Wirtschaft und Gesellschaft, sofern die Umsetzung effizient und effektiv erfolgen kann.

Weitere Informationen unter www.zvei.org.