Fachbeitrag

Cybersicherheit digitaler Produkte – Neue CE-Kennzeichnungs-Verordnung in Arbeit

Entwurf einer EU-Cybersicherheitsverordnung

Der Vorschlag für eine CE-Verordnung der EU-Kommission hat das Ziel, Unternehmen und Konsumenten beim Kauf digitaler Produkte abzusichern. Hersteller müssen zukünftig auch explizit genannte Cyber-Security-Anforderungen erfüllen und eine Cyber-Risikobeurteilung durchführen.

Diese Kurzübersicht erklärt die Beweggründe der Kommission sowie einige inhaltliche Aspekte zu diesem vorgesehenen Rechtsakt.
 

Erwägungsgründe der Kommission

Alle 11 Sekunden findet ein Hacker-Angriff statt. Daraus resultierende Kosten von über 5 Billionen Euro. So schreibt es die EU-Kommission in Ihrer Cybersicherheitsstrategie und untermauert damit, dass in Zukunft ein höheres Maß an Cybersecurity sichergestellt werden muss. Ziel ist, dass die festgelegten Anforderungen als ständiger Bestandteil in die gesamte Lieferkette mit aufgenommen werden sollen.

Der veröffentlichte Vorschlag zu einem „Cyber Resilience Act“ soll gewährleisten, dass digitale Produkte für Einzelpersonen und Unternehmen sicherer werden. Hersteller solcher Produkte, sowohl von Hardware als auch Software, werden dahingehend verpflichtet, mithilfe von Softwareaktualisierungen Schwachstellen zu beheben und den Endanwender ihrer Produkte über mögliche Cybersicherheitsrisiken zu informieren. Zusätzlich definiert der Verordnungsentwurf Anforderungen die die Software-Entwicklung, unterstreicht somit als auch die im bereits in Anwendung befindlichen „Cyber Security Act“ geforderte „Security by Design“.
 

Ziele des Rechtsakt

Die von der EU-Kommission vorgelegten Cybersicherheitsvorschriften haben das übergeordnete Ziel, sicherere Hardware- und Softwareprodukte auf den Binnenmarkt zur bringenIn Form von 4 Maßnahmen konkretisiert die Kommission die Zeile des Rechtsaktes:  

  1. Es wird sichergestellt, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen bereits in der Entwurfs- und Entwicklungsphase und während des gesamten Lebenszyklus verbessern.
  2. Ein kohärenter Rahmen für die Cybersicherheit wird gewährleistet, der die Einhaltung der Vorschriften für Hardware- und Softwarehersteller erleichtert
  3. Die Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen wird verbessert
  4. Unternehmen und Konsumenten wird ermöglicht, Produkte mit digitalen Elementen sicher zu nutzen
     

Anwendungsbereich

Aus dem Gesetzesvorschlag lässt sich erkennen, dass dieser Bereich sehr weit gefasst ist:

„This Regulation applies to products with digital elements whose intended or reasonably foreseeable use includes a direct or indirect logical or physical data connection to a device or network.“

Durch die lose Definition „digitale Elemente“ umfasst die Verordnung somit sowohl Hardware wie Maschinen und IoT-Geräte als auch reine Software-Produkte.

Im Anwendungsbereich werden auch Ausnahmen genannt, so fallen beispielsweise Medizinprodukte nach Verordnung (EU) 2017/745 nicht unter den Geltungsbereich des geplanten Rechtsakts.

Im Rechtsakt wird auch das künftige Zusammenspiel mit der delegierten Verordnung 2022/30 geregelt, welche bereits jetzt Security-Anforderungen an internetfähige Anlagen im Sinne der Funkgeräterichtlinie 2014/53/EU fordert (wir berichteten). So kündigte Brüssel an, dass zur Vermeidung von Überschneidungen die Verordnung 2022/30 entweder aufgehoben oder lediglich ergänzt werden soll.
 

Konformitätsbewertungsverfahren und Cyber-Risikobeurteilung

Analog zu bisherigen EU-Rechtsakten (z.B. Maschinen- oder Niederspannungsrichtlinie) sieht auch der Cyber Resiliance Act, ein Konformitätsbewertungsverfahren vor.

Kern des Verfahrens stellt die Cyber-Risikobeurteilung dar. So sieht der Entwurf in Artikel 10, Absatz 2 vor:

„manufacturers shall undertake an assessment of the cybersecurity risks associated with a product with digital elements and take the outcome of that assessment into account during the planning, design, development, production, delivery and maintenance phases of the product with digital elements with a view to minimising cybersecurity risks, preventing security incidents and minimising the impacts of such incidents, including in relation to the health and safety of users.“

Je nach Kritikalität der Produkte unterscheidet das Konformitätsbewertungsverfahren zwischen einer Selbstzertifizierung und zwei Verfahren, bei denen benannte Stellen beigezogen werden müssen. Details dazu finden sich im Factsheet zum Cyber Resiliance Act.

Insbesondere bemerkenswert für Hersteller sind aus unserer Sicht die Ausführung in Anhang V, Absatz 2, des Verordnungsentwurfs. Der Entwurf nennt hier unterschiedliche Aspekte (Design, Entwicklung, Produktion, Schwachstellenanalyse) als Inhalte der technischen Unterlagen. D.h. im Software-Entwicklungsprozess müssen – wenn es nach der EU-Kommission geht – künftig software-architektonische Entscheidungen, sowohl als auch Entscheidungen bzgl. Des Entwicklungs- und Build-Prozesses entsprechend dokumentiert werden. Dies bedeutet selbstredend einen erhöhten Dokumentationsaufwand für Unternehmen. Insbesondere die schnelle technologische Weiterentwicklung von Tools rund um die Softwareentwicklung (z.B. für Build-Prozesse) wird Unternehmen hier sicherlich in Zukunft vor bewältigbare, aber dennoch nicht zu unterschätzende organisatorische Herausforderungen stellen.

Der Vorschlag im Wortlaut:

„CONTENTS OF THE TECHNICAL DOCUMENTATION

(…)

a description of the design, development and production of the product and vulnerability handling processes, including:

(a) complete information on the design and development of the product with digital elements, including, where applicable, drawings and schemes and/or a description of the system architecture explaining how software components build on or feed into each other and integrate into the overall processing;

(b) complete information and specifications of the vulnerability handling processes put in place by the manufacturer, including the software bill of materials, the coordinated vulnerability disclosure policy, evidence of the provision of a contact address for the reporting of the vulnerabilities and a description of the technical solutions chosen for the secure distribution of updates;

(c) complete information and specifications of the production and monitoring processes of the product with digital elements and the validation of these processes.“

 

Zeitpunkt des Inkrafttretens und weiterführende Informationen

Der Vorschlag der Kommission wird in weiterer Folge im Europäischen Parlament geprüft. Wird der Vorschlag angenommen, so besteht für Hersteller eine Übergangsfrist von 2 Jahren, um die neuen Anforderungen umzusetzen. Da der politische Prozess mit dem Vorschlag der Kommission erst startet, ist davon auszugehen, dass noch etwas Zeit bis zum Inkrafttreten vergehen wird. Dennoch ist aufgrund der aktuellen Security-Lage und insbesondere des Ukraine-Krieges davon auszugehen, dass eine Erhöhung der Resilienz von Cyber-Attacken in Europa politisch hohe Priorität genießt und entsprechend mit Nachdruck verfolgt wird. „Cyber Resiliance act“ – nomen est omen, der Name ist Programm.
 

Weiterführende Informationen

Interessierte Leser können den Vorschlag für eine Verordnung auf den Seiten der EU-Kommission nachlesen. 
 

Tipps


Verfasst am: 20.09.2022

Autoren

Johannes Windeler-Frick, MSc ETH

Mitglied der Geschäftsleitung von IBF. Fachreferent CE-Kennzeichnung und Safexpert. Vorträge, Podcasts und Publikationen zu unterschiedlichen CE-Themen, insbesondere CE-Organisation und effizientes CE-Management. Leitung der Weiterentwicklung des Softwaresystems Safexpert. Studium der Elektrotechnik an der ETH Zürich (MSc) im Schwerpunkt Energietechnik sowie Vertiefung im Bereich von Werkzeugmaschinen.

E-Mail: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
 

Daniel Zacek-Gebele, MSc
Seit 2020 Community Manager bei IBF für die Standards Experts Community (SECOM) und Mitarbeiter im Projekt "Digitale Normung"; Produktmanager für Datenprodukte am Safexpert Live Server; Mitgestaltung des Content-Marketing auf der IBF Homepage und im CE-InfoService.
Studium der Wirtschaftswissenschaften in Passau und Stuttgart (Hohenheim) mit Schwerpunkt Internationales Management. 

E-Mail: daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com

 

Registrierung


Sie sind noch nicht zum kostenlosen CE-InfoService registriert? Melden Sie sich jetzt an und erhalten Sie die Info per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.

Hinweisbild Anzeige Security by Design Cyber Security Anforderungen an Maschinen und Anlagen

Unterstützung durch IBF

CE-Software Safexpert

CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering

Praxis-Seminare

Praxisgerechte Seminare rund um das Thema Produktsicherheit

Bleiben Sie Up-to-Date!

Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit