Der Vorschlag für eine CE-Verordnung der EU-Kommission hat das Ziel, Unternehmen und Konsumenten beim Kauf digitaler Produkte abzusichern. Hersteller müssen zukünftig auch explizit genannte Cyber-Security-Anforderungen erfüllen und eine Cyber-Risikobeurteilung durchführen.
Diese Kurzübersicht erklärt die Beweggründe der Kommission sowie einige inhaltliche Aspekte zu diesem vorgesehenen Rechtsakt.
Alle 11 Sekunden findet ein Hacker-Angriff statt. Daraus resultieren Kosten von über 5 Billionen Euro. So schreibt es die EU-Kommission in Ihrer Cybersicherheitsstrategie und untermauert damit, dass in Zukunft ein höheres Maß an Cybersecurity sichergestellt werden muss. Ziel ist, dass die festgelegten Anforderungen als ständiger Bestandteil in die gesamte Lieferkette mit aufgenommen werden sollen.
Der veröffentlichte Vorschlag zu einem „Cyber Resilience Act“ soll gewährleisten, dass digitale Produkte für Einzelpersonen und Unternehmen sicherer werden. Hersteller solcher Produkte, sowohl von Hardware als auch Software, werden dahingehend verpflichtet, mithilfe von Softwareaktualisierungen Schwachstellen zu beheben und den Endanwender ihrer Produkte über mögliche Cybersicherheitsrisiken zu informieren. Zusätzlich definiert der Verordnungsentwurf Anforderungen an die Software-Entwicklung und unterstreicht somit auch die im bereits in Anwendung befindlichen „Cyber Security Act“ geforderte „Security by Design“.
Die von der EU-Kommission vorgelegten Cybersicherheitsvorschriften haben das übergeordnete Ziel, sicherere Hardware- und Softwareprodukte auf den Binnenmarkt zur bringen. In Form von 4 Maßnahmen konkretisiert die Kommission die Ziele des Rechtsaktes:
Aus dem Gesetzesvorschlag lässt sich erkennen, dass dieser Bereich sehr weit gefasst ist:
„This Regulation applies to products with digital elements whose intended or reasonably foreseeable use includes a direct or indirect logical or physical data connection to a device or network.“
Durch die lose Definition „digitale Elemente“ umfasst die Verordnung somit sowohl Hardware wie Maschinen und IoT-Geräte als auch reine Software-Produkte.
Im Anwendungsbereich werden auch Ausnahmen genannt, so fallen beispielsweise Medizinprodukte nach Verordnung (EU) 2017/745 nicht unter den Geltungsbereich des geplanten Rechtsakts.
Im Rechtsakt wird auch das künftige Zusammenspiel mit der delegierten Verordnung 2022/30 geregelt, welche bereits jetzt Security-Anforderungen an internetfähige Anlagen im Sinne der Funkgeräterichtlinie 2014/53/EU fordert (wir berichteten). So kündigte Brüssel an, dass zur Vermeidung von Überschneidungen die Verordnung 2022/30 entweder aufgehoben oder lediglich ergänzt werden soll.
Analog zu bisherigen EU-Rechtsakten (z.B. Maschinen- oder Niederspannungsrichtlinie) sieht auch der Cyber Resiliance Act ein Konformitätsbewertungsverfahren vor.
Kern des Verfahrens stellt die Cyber-Risikobeurteilung dar. So sieht der Entwurf in Artikel 10, Absatz 2 vor:
„manufacturers shall undertake an assessment of the cybersecurity risks associated with a product with digital elements and take the outcome of that assessment into account during the planning, design, development, production, delivery and maintenance phases of the product with digital elements with a view to minimising cybersecurity risks, preventing security incidents and minimising the impacts of such incidents, including in relation to the health and safety of users.“
Je nach Kritikalität der Produkte unterscheidet das Konformitätsbewertungsverfahren zwischen einer Selbstzertifizierung und zwei Verfahren, bei denen benannte Stellen beigezogen werden müssen. Details dazu finden sich im Factsheet zum Cyber Resiliance Act.
Insbesondere bemerkenswert für Hersteller sind aus unserer Sicht die Ausführung in Anhang V, Absatz 2, des Verordnungsentwurfs. Der Entwurf nennt hier unterschiedliche Aspekte (Design, Entwicklung, Produktion, Schwachstellenanalyse) als Inhalte der technischen Unterlagen. D.h. im Software-Entwicklungsprozess müssen – wenn es nach der EU-Kommission geht – künftig software-architektonische Entscheidungen, sowohl als auch Entscheidungen bzgl. des Entwicklungs- und Build-Prozesses entsprechend dokumentiert werden. Dies bedeutet selbstredend einen erhöhten Dokumentationsaufwand für Unternehmen. Insbesondere die schnelle technologische Weiterentwicklung von Tools rund um die Softwareentwicklung (z.B. für Build-Prozesse) wird Unternehmen hier sicherlich in Zukunft vor bewältigbare, aber dennoch nicht zu unterschätzende organisatorische Herausforderungen stellen.
Der Vorschlag im Wortlaut:
„CONTENTS OF THE TECHNICAL DOCUMENTATION
(…)
a description of the design, development and production of the product and vulnerability handling processes, including:
(a) complete information on the design and development of the product with digital elements, including, where applicable, drawings and schemes and/or a description of the system architecture explaining how software components build on or feed into each other and integrate into the overall processing;
(b) complete information and specifications of the vulnerability handling processes put in place by the manufacturer, including the software bill of materials, the coordinated vulnerability disclosure policy, evidence of the provision of a contact address for the reporting of the vulnerabilities and a description of the technical solutions chosen for the secure distribution of updates;
(c) complete information and specifications of the production and monitoring processes of the product with digital elements and the validation of these processes.“
Aufgrund der aktuellen Security-Lage und insbesondere des Ukraine-Krieges war davon auszugehen, dass eine Erhöhung der Resilienz von Cyber-Attacken in Europa politisch hohe Priorität genießt und entsprechend mit Nachdruck verfolgt wird.
Am 1.12.2023 konnten das Europäische Parlament und der Rat eine Einigung über den von der Kommission im September 2022 vorgeschlagenen Cyber Resilience Act erzielen. Darin werden die Grundzüge des bisherigen Kommissionsvorschlags beibehalten, in einigen Bereichen schlagen die Mitgesetzgeber jedoch Anpassungen vor. Diese umfassen beispielsweise den Wunsch nach einer einfacheren Methodik für die Klassifizierung der unter die Verordnung fallenden digitalen Produkte, eine Festlegung der Produktlebensdauer durch die Hersteller oder eine Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle.
Am 12.3. 2024 hat das Europäische Parlament den Kompromisstext angenommen. Nach einer Billigung durch den Rat kann die Veröffentlichung im EU-Amtsblatt erfolgen, anschließend wird der Cyber Resilience Act am 20. Tag nach seiner Veröffentlichung im Amtsblatt in Kraft treten.
Nach dem Inkrafttreten der KI-Verordnung haben Hersteller, Importeure und Vertreiber von Hardware- und Softwareprodukten 36 Monate Zeit, um sich auf die neuen Anforderungen einzustellen, mit Ausnahme (21 Monate) in Bezug auf die Meldepflicht der Hersteller für Zwischenfälle und Schwachstellen.
Interessierte Leser können den aktuellen Kompromisstext für eine Verordnung auf den Seiten der EU-Kommission nachlesen.
Verfasst am: 13.03.2024 (Letzte Aktualisierung)
Johannes Windeler-Frick, MSc ETH Mitglied der Geschäftsleitung von IBF. Fachreferent CE-Kennzeichnung und Safexpert. Vorträge, Podcasts und Publikationen zu unterschiedlichen CE-Themen, insbesondere CE-Organisation und effizientes CE-Management. Leitung der Weiterentwicklung des Softwaresystems Safexpert. Studium der Elektrotechnik an der ETH Zürich (MSc) im Schwerpunkt Energietechnik sowie Vertiefung im Bereich von Werkzeugmaschinen.
E-Mail: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
Daniel Zacek-Gebele, MSc Produktmanager bei IBF für Zusatzprodukte sowie Datenmanager für die Aktualisierung der Normendaten am Safexpert Live Server. Studium der Wirtschaftswissenschaften in Passau (BSc) und Stuttgart (MSc) im Schwerpunkt International Business and Economics.
E-Mail: daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com
Sie sind noch nicht zum kostenlosen CE-InfoService registriert? Melden Sie sich jetzt an und erhalten Sie die Info per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.
Registrieren
CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering
Praxisgerechte Seminare rund um das Thema Produktsicherheit
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit