Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V
Die Bitkom-Studie zum Cyber Resilience Act (CRA) 2022 beleuchtet die Auswirkungen und Herausforderungen der neuen EU-Verordnung, die darauf abzielt, Cybersicherheitsanforderungen für digitale Produkte zu harmonisieren. Der CRA ergänzt den bestehenden Cybersecurity Act und soll digitale Produkte sicherer machen, indem horizontale Cybersicherheitsregeln eingeführt werden. Die Bitkom begrüßt diesen Vorstoß und sieht darin eine Chance, die regulatorischen Lücken im digitalen Binnenmarkt zu schließen und widersprüchliche Vorschriften zu vereinheitlichen.
Ausgangslage und Ziele des CRA
Der CRA zielt darauf ab, die Sicherheit digitaler Produkte über deren gesamten Lebenszyklus zu gewährleisten. Die zunehmende Komplexität digitaler Systeme, insbesondere durch die Integration von Hardware, Software und vernetzten Diensten, erfordert klare Regeln und Anforderungen. Der CRA soll sicherstellen, dass Produkte sicher entwickelt, regelmäßig aktualisiert und gegen neue Bedrohungen geschützt werden.
Die Bitkom unterstützt diese Initiative und hebt hervor, dass der CRA ein kohärenter Ansatz auf europäischer Ebene ist, der Cybersicherheitslücken schließen soll. Aus Sicht der Bitkom sollten Hersteller von digitalen Produkten, darunter auch IoT-Geräte, in die Pflicht genommen werden, regelmäßige Sicherheitsupdates bereitzustellen und sicherzustellen, dass ihre Produkte während des gesamten Lebenszyklus sicher bleiben.
Verbesserung des rechtlichen Rahmens
Die Fragmentierung der bestehenden Cybersicherheitsvorschriften wird als zentrales Problem identifiziert. Der CRA bietet die Möglichkeit, verschiedene sektorspezifische Regelungen zusammenzuführen und einen einheitlichen Rechtsrahmen zu schaffen. Dies soll nicht nur die Sicherheit erhöhen, sondern auch die Rechtsunsicherheit für Unternehmen verringern, die bisher mit unterschiedlichen Regulierungsanforderungen konfrontiert sind.
Bitkom betont, dass der CRA auf den Grundsätzen des New Legislative Framework (NLF) basieren sollte, das in der EU-Produktregulierung bereits erfolgreich angewendet wird. Die Verwendung harmonisierter Normen hat sich in der Vergangenheit als effizienter Ansatz erwiesen, um die Sicherheit von Produkten sicherzustellen. Der CRA sollte ebenfalls auf diesem Ansatz aufbauen, um ein hohes Maß an Sicherheit und Konsistenz auf dem gesamten digitalen Markt zu gewährleisten.
Sicherheitsanforderungen für Produkte
Ein zentrales Ziel des CRA ist es, die Cybersicherheitsanforderungen für digitale Produkte zu standardisieren. Dies soll durch die Einführung grundlegender Sicherheitsziele erreicht werden, die über den gesamten Lebenszyklus eines Produkts gelten. Hersteller müssen sicherstellen, dass Sicherheitsupdates bereitgestellt und Schwachstellen regelmäßig behoben werden.
Ein wichtiger Aspekt des CRA ist die Verpflichtung zur Transparenz. Hersteller müssen klar kommunizieren, wie lange ein Produkt unterstützt wird und welche Sicherheitsmaßnahmen ergriffen werden. Dies schafft nicht nur Vertrauen bei den Verbrauchern, sondern gibt auch den Marktakteuren und Aufsichtsbehörden die notwendige Sicherheit.
Bitkom fordert, dass der CRA flexibel genug sein muss, um auch zukünftige Technologien und Entwicklungen abzudecken. Dies bedeutet, dass die Sicherheitsanforderungen regelmäßig überprüft und angepasst werden müssen, um den sich ständig verändernden Bedrohungen gerecht zu werden.
Konformitätsbewertung und Marktüberwachung
Die Konformitätsbewertung spielt eine zentrale Rolle im CRA. Bitkom unterstützt den Ansatz, dass Hersteller die Möglichkeit haben sollten, ihre Produkte selbst zu bewerten, solange keine hohen Risiken bestehen. Für Produkte mit höherem Risikopotenzial sollte jedoch eine Bewertung durch Dritte vorgeschrieben sein.
Bitkom hebt hervor, dass die Marktüberwachung entscheidend für den Erfolg des CRA ist. Nur durch eine wirksame Überwachung kann sichergestellt werden, dass die Cybersicherheitsanforderungen eingehalten werden. Unternehmen, die die Anforderungen nicht erfüllen, sollten mit Sanktionen belegt werden, um sicherzustellen, dass Wettbewerbsverzerrungen vermieden werden.
Internationale Angleichung und Harmonisierung
Ein weiterer Aspekt, den Bitkom betont, ist die Angleichung an internationale Standards. Da viele digitale Produkte global vermarktet werden, ist es wichtig, dass europäische Vorschriften mit internationalen Normen harmonisiert werden. Dies erleichtert nicht nur den Handel, sondern stellt auch sicher, dass europäische Unternehmen global wettbewerbsfähig bleiben.
Bitkom unterstützt die Selbstbewertung als Standard-Konformitätsbewertungsverfahren und fordert gleichzeitig die Möglichkeit, Dritte für Hochrisikoprodukte einzubeziehen. Dies sollte jedoch flexibel und modular gestaltet werden, um Doppelarbeit zu vermeiden.
Fazit
Der Cyber Resilience Act bietet eine wichtige Gelegenheit, die Cybersicherheit in Europa zu stärken. Bitkom begrüßt die Initiative, fordert jedoch eine kohärente und risikobasierte Regulierung, die auf bewährten Ansätzen wie dem NLF aufbaut. Durch die Harmonisierung der Vorschriften und die Einführung klarer Anforderungen kann der CRA dazu beitragen, die Sicherheitslücken im digitalen Binnenmarkt zu schließen und gleichzeitig die Wettbewerbsfähigkeit der europäischen Unternehmen zu sichern.
