Cyber Resilience Act (CRA): Einig zu kurz gegriffen
Der TÜV-Verband begrüßt die Einigung über den Cyber Resilience Act. Es ist positiv, dass auch vernetztes Spielzeug und persönliche Wearables jetzt als kritische Produkte anerkannt werden. Allerdings wünscht sich der Verband strengere Regeln, um digitale Produkte sicherer zu machen.
Die EU-Kommission, das EU-Parlament und der Rat der Europäischen Union haben vorläufig eine Vereinbarung zum Cyber Resilience Act (CRA) getroffen. Der TÜV-Verband begrüßt diese Einigung, sieht aber Raum für ein ambitionierteres Regelwerk. Johannes Kröhnert, Leiter des Brüsseler Büros, betont die Notwendigkeit verpflichtender Vorgaben für die Cybersicherheit vernetzter Produkte in der EU, um das Vertrauen der Menschen in solche Produkte zu stärken.
Allerdings zeigt sich der TÜV-Verband kritisch gegenüber der massiven Kürzung der Liste der kritischen Produkte, für die eine unabhängige Konformitätsbewertung erforderlich ist. Derzeit sollen nur noch vier Produktkategorien einer unabhängigen Prüfung unterliegen, während beispielsweise Betriebssysteme oder Router lediglich aufgrund einer Herstellerselbsterklärung auf den Markt kommen sollen. Diese Entscheidung wird angesichts der hohen Risiken und des Schutzauftrags des Gesetzgebers als unangemessen betrachtet.
Kröhnert unterstreicht die Bedeutung einer Einbindung unabhängiger Prüfstellen, insbesondere bei kritischen Produkten, um das Vertrauen in die Sicherheit digitaler Technologien zu gewährleisten. Positiv bewertet der Verband die Aufnahme internetfähiger Spielzeuge und persönlicher Wearables in die Liste der kritischen Produkte, da diese ein erhebliches Risiko für Cyberangriffe bergen.
Die Verzögerung der neuen Regelungen durch die Verlängerung der Übergangszeit von 24 auf 36 Monate bis voraussichtlich 2027 wird vom TÜV-Verband als nicht nachvollziehbar angesehen. Angesichts der zunehmenden Zahl von Cybersicherheitsvorfällen und den entstandenen Schäden sei eine rasche Umsetzung der neuen Regelungen von entscheidender Bedeutung.
Der Cyber Resilience Act legt grundlegende Anforderungen an die Cybersicherheit für Produkte mit digitalen Elementen fest. Sowohl physische Produkte als auch Software müssen diesen Anforderungen entsprechen. Dazu gehören die Berücksichtigung der Cybersicherheit während des gesamten Produktlebenszyklus, die Dokumentation aller Risiken, die Meldung und Behebung von Schwachstellen sowie eine Updatepflicht der Hersteller.
