Generic filters
Exact matches only
Search in title
Search in excerpt
Search in content
FS Logoi

Cyber Resilience Act: ZVEI sieht noch Optimierungsbedarf

Am 15. September 2022 wurde von der EU-Kommission der Entwurf des Cyber Resilience Acts veröffentlicht. Ziel dieses lang erwarteten Regulierungsvorhabens ist es allgemein die Cybersicherheit von Produkten im Europäischen Binnenmarkt zu erhöhen. Diese Absicht zeigt sich bereits im breit angelegten Anwendungsbereichs der Verordnung und im Hinblick auf die adressierten Produkte: Betroffen sind „Produkte mit digitalen […]

von | 21.11.22

Am 15. September 2022 wurde von der EU-Kommission der Entwurf des Cyber Resilience Acts veröffentlicht. Ziel dieses lang erwarteten Regulierungsvorhabens ist es allgemein die Cybersicherheit von Produkten im Europäischen Binnenmarkt zu erhöhen. Diese Absicht zeigt sich bereits im breit angelegten Anwendungsbereichs der Verordnung und im Hinblick auf die adressierten Produkte: Betroffen sind „Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.“ Unter diese Bestimmung fallen sowohl Hardware- als auch Softwareprodukte.

In ihrer Ausgestaltung zeigt sich der CRA dabei als Inverkehrbringungsrichtlinie im Sinne des New Legislative Frameworks (NLF); welche allerdings um Anforderungen ergänzt wurde, die über den Zeitpunkt des Inverkehrbringens hinausgehen. Diese Anforderungen betreffen vor allem die Etablierung eines Schwachstellenmanagements und die Beobachtung der Produkte hinsichtlich der grundlegenden Cybersicherheitsanforderungen sowie Berichtspflichten, vor allem hinsichtlich ausgenutzter Schwachstellen und Cybersicherheitsvorfällen.

Die grundlegenden Cybersicherheitsanforderungen teilen sich in Anforderungen hinsichtlich der Produkteigenschaften, die ein angemessenes Cybersicherheitsniveau gewährleisten sollen und in Anforderungen an die Behandlung von Schwachstellen auf. Die Produktanforderungen haben auf Grundlage einer Risikobewertung zu erfolgen und sind, so weit anwendbar und zutreffend, zu erfüllen. Die Anforderungen haben dabei Auswirkungen auf die Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des jeweiligen Produkts mit digitalen Elementen.

Aus Sicht des ZVEI wurde mit dem Cyber Resilience Act (CRA) nun der lange geforderte Bezugspunkt für die Cybersicherheit von Produkten geschaffen, mit dem die zunehmende Adressierung in sektoralen Richtlinien strukturiert und bereinigt werden könnte. Leider erscheint die Etablierung des CRA als zentrale Referenz derzeit noch als etwas halbherzig umgesetzt, sodass es noch Optimierungsbedarf für das Zusammenspiel mit anderen Richtlinien gibt.

Für die ZVEI-Mitgliedschaft, gerade auch in der Automation, stellt außerdem die Aufteilung von Produkten in drei Klassen, für welche eine unterschiedliche Auswahl der Konformitätsbewertungsverfahren zu erfolgen hat, in ihrer derzeitigen allgemeinen Zuordnung ein Problem dar. Die aktuelle Aufteilung definiert innerhalb der insgesamt adressierten Produkten mit digitalen Elementen zwei Klassen von kritischen Produkten ( Klasse I & II), die entsprechend aufgelistet werden. Bei dieser Auflistung werden derzeit die Kritikalität und die kritische Anwendung nicht ausreichend berücksichtigt, sodass viele Produkte aus dem Industrie- und Automatisierungsumfeld allgemein aufgeführt werden.

Auch hinsichtlich der aktuell angedachten Übergangszeit von 24 Monaten (12 Monate für Meldepflichten) gibt es noch deutlichen Handlungsbedarf. Aktuell werden die umfangreichen Folgen der Regulierung auf die jeweiligen Lieferketten nicht ausreichend mitbedacht, sodass wir den dringenden Bedarf sehen, dass die Zeiten für das Gelingen einer realistischen Umsetzung entsprechend angepasst werden müssen.

Insgesamt ist der CRA ein an vielen Stellen gelungener Entwurf, der mit einigen noch erforderlichen Anpassungen und Klarstellungen einen entscheidenden Beitrag für ein höheres allgemeines Resilienzniveau leisten könnte. Nichtsdestotrotz stellt das Vorhaben eine enorme Herausforderung dar, die nur mit großen Mühen und einer realistischen Einschätzung des auch zeitlich Machbaren gelingen kann, so der ZVEI weiter.

Jetzt Newsletter abonnieren

Brennstoff für Ihr Wissen, jede Woche in Ihrem Postfach.

Hier anmelden

Auftragslage der Elektro- und Digitalindustrie schwächelt weiter
Auftragslage der Elektro- und Digitalindustrie schwächelt weiter

Im November 2024 haben die Auftragseingänge der deutschen Elektro- und Digitalindustrie ihren Vorjahreswert noch knapp um 0,7 % verfehlt, wie der ZVEI mitteilt. „Die Auftragseingänge haben auch im November noch nicht merklich an Schwung gewonnen. Außerdem wurde der Oktoberwert nach unten revidiert, sodass sich das zunächst vermeldete Plus im Nachhinein als Stagnation herausgestellt hat“, sagte ZVEI-Konjunkturexperte Marcus Röckl.

mehr lesen
Klimawandel: Technische Regelsetzung laut VDI so wichtig wie nie
Klimawandel: Technische Regelsetzung laut VDI so wichtig wie nie

Vor wenigen Tagen hat der Klimawandeldienst Copernicus veröffentlicht, dass 2024 die globale Durchschnittstemperatur erstmals 1,6 Grad über dem vorindustriellen Niveau lag. 2024 war somit global das wärmste Jahr seit Beginn der Wetteraufzeichnungen, sprich seit 1850. Was heißt das nun für das 1,5-Grad-Ziel des Pariser Übereinkommens? VDI-Expertin Dipl.-Geogr. Catharina Fröhling gibt eine Einschätzung und erklärt, warum die technische Regelsetzung vor diesem Hintergrund so wichtig ist.

mehr lesen
Maschinen- und Anlagenbau befürchtet Restrukturierungs-Welle
Maschinen- und Anlagenbau befürchtet Restrukturierungs-Welle

Fast jedes zweite Unternehmen im Maschinen- und Anlagenbau bereitet sich aktuell auf Restrukturierungen vor oder plant dies bereits. Damit einher gehen Standortverlagerungen und Personalabbau, aber auch eine strategische Neuausrichtung. Das ist das Ergebnis einer Befragung des Marktforschungsinstituts Verian (zuvor: Kantar Public) im Auftrag der Unternehmensberatung FTI-Andersch.

mehr lesen
Sack zu!
Sack zu!

Dr.-Ing. Thomas Tauchnitz, Chefredakteur Industry des atp magazins, empfiehlt, Innovationen schrittweise auf den Markt zu bringen.

mehr lesen
DECHEMA: Neuer Vorsitzender und fünf neue Vorstandsmitglieder
DECHEMA: Neuer Vorsitzender und fünf neue Vorstandsmitglieder

Die DECHEMA hat seit dem 1. Januar 2025 einen neuen Vorsitzenden. Dr. Wolfram Stichert, Geschäftsführer der hte GmbH in Heidelberg, wurde von den Mitgliedern an die Spitze des Vereins gewählt. Ebenfalls neu im Amt ist Prof. Thomas Hirth vom Karlsruher Institut für Technologie – KIT. Er übernimmt die Position des Schatzmeisters.

mehr lesen

atp weekly

Der Newsletter der Branche

Ihr kostenfreier E-Mail-Newsletter für alle Belange der Automatiserung.

Sie möchten das atp magazin testen

Bestellen Sie Ihr kostenloses Probeheft

Überzeugen Sie sich selbst: Gerne senden wir Ihnen das atp magazin kostenlos und unverbindlich zur Probe!

Finance Illustration 03