Generic filters
Exact matches only
Search in title
Search in excerpt
Search in content
FS Logoi

Cyber Resilience Act: Kompromiss bei letzten Trilog-Verhandlungen

Am 30.11.2023 wurde sich in der letzten formalen Trilog-Verhandlung zum Cyber Resilience Act (CRA) bei den verbliebenen offenen Punkten auf einen Kompromiss geeinigt. Die Ergebnisse stimmen den ZVEI zu Teilen vorsichtig optimistisch. Die beschlossenen Inhalte seien ambitioniert, berücksichtigten in den meisten Fällen aber auch die realistische Implementierung. CRA-Klassifizierungslogik für kritische Produkte ist aus Sicht des […]

von | 04.12.23

Foto: Sashkin - stock-adobe.com

Am 30.11.2023 wurde sich in der letzten formalen Trilog-Verhandlung zum Cyber Resilience Act (CRA) bei den verbliebenen offenen Punkten auf einen Kompromiss geeinigt. Die Ergebnisse stimmen den ZVEI zu Teilen vorsichtig optimistisch. Die beschlossenen Inhalte seien ambitioniert, berücksichtigten in den meisten Fällen aber auch die realistische Implementierung.

CRA-Klassifizierungslogik für kritische Produkte ist aus Sicht des ZVEI sinnvoll

Es wurde aus Sicht des Elektro- und Digitalverbands eine sinnvolle, auf kritischen Einsatzzwecken basierende, Klassifizierungslogik für kritische Produkte gefunden und die Liste kritischer Produkte entsprechend angepasst. Die Möglichkeit Ersatzteile für einen Austausch identischer Produkte in langlebige Infrastrukturen liefern zu können sei sehr wichtig, nicht zuletzt für die Versorgungssicherheit.

Aber:

  • Die beschlossene Umsetzungsfrist von 36 Monaten sieht der ZVEI kritisch. Auch wenn diese das Maximum innerhalb der Verhandlungsmandate darstellte, so sei sie überambitioniert für die Komplexität der umzusetzenden Anforderungen.
  • Hinsichtlich der Produktanforderungen seien nicht alle Aspekte in einer Form gelöst worden, die auch in unterschiedlichen Geschäftsbereichen und für unterschiedliche Geschäftsmodelle eine adäquate Umsetzung erlaubten. Die Besonderheiten von Geschäftsmodellen und Kundenbeziehungen im B2B-Bereich hätten hier umfangreicher berücksichtig werden müssen.
  • Die gefundenen Kompromisse zu den Berichtspflichten werfen Fragen auf: Doppelte Berichtspflichten bedeuteten unnötige Mehraufwände auf Seiten der Unternehmen, sinnvollerweise sollte der als erforderlich angesehene Informationsaustausch auf Seiten der Behörden organisiert werden, also zwischen ENISA und den jeweiligen nationalen CSIRTs (Computer Security Incident Response Teams).

Bitkom fürchtet höheren Personal- und Kostenaufwand

„Der Cyber Resilience Act ist weltweit einzigartig und ein Meilenstein auf dem Weg zur Stärkung der Cybersicherheit in Europa. Mit einheitlichen Standards für Produkte mit digitalen Elementen, wie zum Beispiel Security by Design, kann er deutlich mehr Sicherheit für Verbraucherinnen und Verbraucher schaffen. Unternehmen profitieren unter anderen durch eine Vereinheitlichung der Meldefristen für Schwachstellen. Allerdings kommt auf sie auch ein hoher zusätzlicher Personal- und Kostenaufwand zu, sowohl bei der Anpassung der Produkte als auch der internen Prozesse an die neuen Vorgabe,“ erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Die vorgesehenen Übergangsfristen seien aus Sicht des Bitkom außerdem zu kurz, da Unternehmen ganze Ökosysteme umstellen müssten und dies Zeit in Anspruch nehme. Die EU-Kommission müsse daher, wie im Trilog festgehalten, die Unternehmen bei der Umsetzung des Cyber Resilience Act unterstützen, etwa durch die Bereitstellung von Implementierungsleitfäden. Es dürfe an dieser Stelle nicht zu Rechtsunsicherheiten kommen, von denen insbesondere Startups und kleine sowie mittelständische Unternehmen betroffen wären. Bedauerlich sei auch, dass auch nach Ende der Trilog-Verhandlungen weiter Unklarheit darüber besteht, inwiefern Open Source Software die Anforderungen des Cyber Resilience Acts erfüllen muss und kann.

Jeder Aspekt des CRA wiegt Milliarden schwer

Wie sich diese Aspekte in der Umsetzung auswirken, bleibt abzuwarten. Angesichts der Breite der betroffenen Produkte und Komponenten hat schließlich nahezu jeder Aspekt des CRA Milliarden schwere Auswirkungen. Gleichzeitig ist die mit dem CRA vorangetriebene Erhöhung der Resilienz von Produkten und Komponenten mit digitalen Elementen insgesamt im Sinne der Wirtschaft und Gesellschaft, sofern die Umsetzung effizient und effektiv erfolgen kann.

Weitere Informationen unter www.zvei.org.

Jetzt Newsletter abonnieren

Brennstoff für Ihr Wissen, jede Woche in Ihrem Postfach.

Hier anmelden

Datenschutzkonforme KI-Nutzung könnte schwieriger werden
Datenschutzkonforme KI-Nutzung könnte schwieriger werden

Der Einsatz von Künstlicher Intelligenz und insbesondere die Entwicklung von KI-Systemen könnten in Europa schon bald noch deutlich schwieriger werden. Darauf macht der Digitalverband Bitkom im Vorfeld einer für die kommenden Tage erwarteten Stellungnahme des Europäischen Datenschutzausschusses (EDSA) aufmerksam.

mehr lesen
Smarte Weihnachtsgeschenke: BSI empfiehlt Cyberrisikoprüfung
Smarte Weihnachtsgeschenke: BSI empfiehlt Cyberrisikoprüfung

Von Smart Watches über Smart Speaker bis zu smarten Glühlampen: Gerade in der Vorweihnachtszeit landen viele internetfähige Geräte in den Warenkörben. Mitunter bergen sie jedoch Risiken, die auf wohl keinem Wunschzettel stehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Verbraucherinnen und Verbrauchern dazu, IT-Sicherheit schon bei der Kaufentscheidung mitzudenken.

mehr lesen
Data Space Industry Challenge vermittelt Grundlagen zum AAS Dataspace
Data Space Industry Challenge vermittelt Grundlagen zum AAS Dataspace

Gemeinsam mit der IDTA und NetApp Deutschland, veranstaltet das Fraunhofer-Institut für Experimentelles Software Engineering (IESE) am 29. Januar 2025 von 9:00 bis 16:00 Uhr in Kaiserslautern die Data Space Industry Challenge. Einen ganzen Tag lang dreht sich alles um den AAS Dataspace, mit dem die Teilnehmenden selbst experimentieren können.

mehr lesen

atp weekly

Der Newsletter der Branche

Ihr kostenfreier E-Mail-Newsletter für alle Belange der Automatiserung.

Sie möchten das atp magazin testen

Bestellen Sie Ihr kostenloses Probeheft

Überzeugen Sie sich selbst: Gerne senden wir Ihnen das atp magazin kostenlos und unverbindlich zur Probe!

Finance Illustration 03