Vorbereitung auf das bevorstehende EU-Gesetz über Cyberresilienz: Ratschläge für Hersteller von Industriegeräten

Interview mit dem EU-Cyberresilienz-Experten Thorwald-Eirik Kaljo.

Das Video zum Interview finden Sie hier.

Was ist in einfachen Worten das Gesetz über Cyberresilienz?

Das Gesetz über Cyberresilienz ist eine geplante Verordnung über die Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen oder, einfacher ausgedrückt, von vernetzten Geräten. Das Ziel dieses Gesetzes über Cyberresilienz besteht darin, die Regelungen für Cybersicherheit zu verstärken, um sicherere Hardware- und Softwareprodukte zu gewährleisten.

Was sind die Hauptziele, die die EU mit diesem Gesetz über Cyberresilienz erreichen möchte?

Der allgemeinen Wahrnehmung nach gibt es auf dem Gebrauchtmarkt eine große Anzahl vernetzter Produkte. Diese Anzahl wächst weiterhin, was sich auch an den Prognosen für 2030 erkennen lässt.

Viele dieser Produkte weisen jedoch nur ein geringes Maß an Cybersicherheit auf. Zudem waren Sicherheitslücken in solchen Produkten in den letzten Jahren eine der Hauptursachen für Vorfälle. Beispielsweise haben wir einige sehr bedeutende Hackerangriffe auf Lieferketten festgestellt. Darüber hinaus sehen wir eine immer stärker werdende Vernetzung von Geräten untereinander.

Daher zielt das Gesetz über Cyberresilienz darauf ab, Bedingungen für die Entwicklung sicherer Produkte zu schaffen. Dies soll dadurch gewährleistet werden, dass Hardware- und Softwareprodukte mit weniger Sicherheitslücken auf den Markt kommen und Hersteller die Sicherheit von Geräten während ihrer gesamten Lebensdauer ernsthaft beachten. Meiner Meinung nach hat die Kommission bei ihrem Gesetzentwurf klare Ziele festgelegt, die sowohl vom Rat der Europäischen Union als auch vom Europäischen Parlament unterstützt werden.

Eines dieser Ziele hängt mit dem Lebenszyklus der Geräte zusammen. Darüber hinaus soll das Thema Produktsicherheit in einen breiteren staatlichen Rahmen für Cybersicherheit eingefügt werden. Und schließlich soll mehr Transparenz für Verbraucher und die Hersteller selbst bei der Verwendung der Produkte geschaffen werden.

Einer der Gründe für die Einführung dieses Gesetzes ist die Vermeidung von Fragmentierung und eines legislativen Flickenteppichs in der EU, da Mitgliedstaaten begonnen haben, individuelle Schritte zur Schaffung separater Gesetzgebungen auf nationaler Ebene zu unternehmen. Eine solche Fragmentierung müssen wir verhindern und stattdessen diesen Bereich in der EU harmonisieren.

Welche Auswirkungen wird das Gesetz über Cyberresilienz auf Hersteller industrieller Geräte haben?

Diese Akteure werden selbstverständlich starke Auswirkungen zu spüren bekommen.

Von Anfang an haben wir einen risikobasierten Ansatz gewählt, um die Kritikalität verschiedener Produkte zu verstehen. Deshalb wurden auch die Hersteller industrieller Geräte und nicht die Verbraucher als Hauptziel dieser Verordnung ausgewählt. Denn oft sind Mikroprozessoren, Controller und allgemeine Betriebssysteme Komponenten anderer Verbraucherprodukte oder industrieller Geräte. Daher müssten sie vor der Markteinführung genauer geprüft werden.

Derzeit gibt es bereits eine Liste kritischer und hoch kritischer Produkte. Einige industrielle Geräte lassen sich jedoch keiner dieser Kategorien zuordnen und müssen daher geringere Anforderungen erfüllen als eigentlich erforderlich wäre.

Auf welche Arten von Geräten konzentriert sich das Gesetz über Cyberresilienz?

Wie bereits erwähnt, gibt es mehrere Ebenen. Außerdem wurden verschiedene Methoden erarbeitet. Hinzu kommen unterschiedliche Ansätze, da wir uns derzeit in der Endphase der Verhandlungen über diese Verordnung befinden. Dies bedeutet, dass die EU-Kommission, der Rat und das Parlament alle unterschiedliche Methoden anwenden.

Da ich Estland im Rat der EU vertrete, kann ich ein wenig mehr über unsere Herangehensweise berichten.

Wir haben einen mehrschichtigen Ansatz auf Grundlage der Kritikalität gewählt. Die meisten Produkte fallen in die einfachere Kategorie, indem sie als normale vernetzte Geräte betrachtet werden können. Dazu gehören vernetzte Kinderspielzeuge, verschiedene Wearables oder einige einfachere Smart-Home-Geräte.

Daneben gibt es zwei Kategorien kritischer Produkte. Kritische Produkte umfassen Antivirensoftware, Betriebssysteme, Mikrocontroller und Prozessoren, während zu den hochkritischen Produkten eher Smart-Meter-Gateways, Smartcards oder Hardware mit Sicherheitsboxen gehören. Dies sind ziemlich spezielle Bereiche, würde ich sagen.

Dann gibt es noch Produkte und Bereiche, die nicht betroffen sind. Software-as-a-Service fällt beispielsweise nicht unter diese Verordnung. Auch Fahrzeuge, mit Ausnahme von Traktoren und Motorrädern, die nicht von der entsprechenden europäischen Richtlinie erfasst werden, und auch Medizinprodukte gehören nicht dazu. Diese wenigen Ausnahmen spiegeln also die sehr spezifischen Bereiche wider, für deren Produkte bekanntermaßen bereits höhere Sicherheitsstandards gelten.

Was können Hersteller von industriellen Geräten tun, um sich auf das Gesetz über Cyberresilienz vorzubereiten?

Wenn ich ein Hersteller industrieller Geräte wäre, würde ich über die erwartete Lebensdauer und den beabsichtigten Zweck meiner Geräte nachdenken, da diese von den wesentlichen Anforderungen der Verordnung betroffen sind.

Außerdem würde ich mir die Informationen ansehen, die ich den Endverbrauchern bereitstelle. Ich würde überprüfen, ob mein Produkt automatisch installierte Updates zulässt. Und wenn ja, wie und wann sie deaktiviert werden sollten.

Ich würde die Bestandsliste meiner Software durchgehen oder eine solche Liste erstellen und versuchen zu verstehen, wo die Verantwortung für jeden Teil meines Produkts liegt und wer zu welchem Zeitpunkt dafür verantwortlich sein sollte.

Zudem würde ich nach verschiedenen Möglichkeiten suchen, meine Produkte in Bezug auf diese Verordnung zu testen. Die EU beabsichtigt, einige finanzielle Mittel, Testumgebungen und Sandboxes für diese Verordnung zur Verfügung zu stellen. Dies gilt insbesondere für kleine und mittlere Unternehmen (KMU). Wenn ich also ein KMU hätte, würde ich mir diese Möglichkeiten zunutze machen, um den größeren Akteuren Schritt zu halten.

Gibt es bereits Richtlinien, wie diese Produkte entsprechend dem Gesetz über Cyberresilienz zertifiziert werden können?

Dies ist eines der komplexesten Themen und aus Sicht der Hersteller industrieller Geräte auch sehr schwer zu erklären und zu verstehen. Man muss sich nämlich die Verordnung durchlesen, um zu verstehen, in welche Kategorie ein Produkt fällt und welche spezifischen Verfahren zur Konformitätsbewertung zu befolgen sind bzw. wie diese Konformitätsbewertung aussieht.

Dabei gibt es, wie bereits erwähnt, mehrere Stufen je nach Kritikalität eines Produkts.

Ein Hauptelement für alle Produkte ist die Anwendung harmonisierter Normen. Während harmonisierte Normen ein zentraler Bestandteil dieser Verordnung sind, wird deren Erstellung noch einige Zeit dauern. Wahrscheinlich zwei Jahre werden dafür erforderlich sein.

Aber es gibt auch einfachere Möglichkeiten für die Selbstbewertung, beispielsweise mittels Anhang 1 für wesentliche Cybersicherheitsanforderungen und die Behandlung von Sicherheitslücken. Dann sollten Sie Artikel 24 sowie die Anhänge 4 und 6 der Verordnung lesen, die weitere Informationen zur spezifischen Kategorie und zum Typ der Konformitätsbewertung bereitstellen, die ein Einrichtung durchlaufen sollte.

Eine umfassende Bewertung der Qualitätskonformität wäre beispielsweise eher für Softwarehersteller geeignet.

Zudem wären Zertifizierungsschemata zu beachten. Derzeit haben wir in der EU noch kein Zertifizierungsschema. Wahrscheinlich wird zunächst das Schema für allgemeine EU-Kriterien veröffentlicht, das sicherlich für diese Verordnung verwendet werden kann.

Für Produkte mit der höchsten Kritikalität muss eine Konformitätsbewertung durch Dritte vorgenommen werden, was natürlich ein sehr aufwendiges Verfahren ist. In den meisten EU-Mitgliedstaaten haben wir derzeit noch keine Behörden, die eine Konformitätsbewertung für Cybersicherheit durchführen könnten. In einigen Mitgliedstaaten gibt es sie jedoch bereits, beispielsweise in Finnland.

Beeinflusst das Gesetz über Cyberresilienz auch bereits vorhandene Geräte, die in Anlagen, Fabriken usw. im Einsatz sind?

Nein, im Allgemeinen sind nur neu auf den Markt gebrachte Produkte betroffen. Das ist die Terminologie, die wir verwenden.

Wann wird das Gesetz über Cyberresilienz in Kraft treten? Welche Übergangsfristen gelten dabei für Gerätehersteller? Und wird jeder EU-Mitgliedsstaat das Gesetz separat durchsetzen?

Derzeit verhandeln wir über diese Verordnung und befinden uns in einer recht fortgeschrittenen Phase. Ich erwarte, dass die Verordnung irgendwann im Frühjahr 2024 in Kraft tritt. Wenn die Verhandlungen jetzt reibungslos verlaufen, wird ab diesem Zeitpunkt eine Übergangsfrist von 36 Monaten beginnen und die Uhr somit ab nächstem Frühjahr ticken. Sowohl die Mitgesetzgeber, der Rat als auch das Europäische Parlament haben festgestellt, dass 24 Monate sowohl aus Sicht der Hersteller als auch seitens der Behörden der Mitgliedstaaten nicht ausreichend sein werden. Nur die Frist zur Meldung von Sicherheitslücken wird früher enden, nämlich 24 Monate nach Einführung der Verordnung. Demzufolge müssen Einrichtungen dann Informationen über die aktive Ausnutzung von Sicherheitslücken an die zuständigen Behörden in ihren Mitgliedstaaten übermitteln.

Was die Durchsetzung des Gesetzes betrifft, sollten Produkte nach einem erfolgreichen Konformitätsverfahren in einem Mitgliedstaat automatisch auf dem gesamten EU-Markt zugelassen werden. Gleiches gilt für Geräte, die von außerhalb der EU importiert werden. Diese müssen in einem der Mitgliedstaaten das gleichen Verfahren durchlaufen. Innerhalb des Binnenmarktes sollten die Produkte also frei zirkulieren können.

Allerdings gibt es einige Ausnahmen für Einrichtungen, die in den verschiedenen Kategorien der NIS-Richtlinie als wesentlich angesehen werden. Für diese können die Mitgliedstaaten strengere Anforderungen in Bezug auf ihre Lieferketten auferlegen. Zudem gibt es eine allgemeine Ausnahme im Zusammenhang mit nationaler Sicherheit, wobei Mitgliedstaaten strengere Anforderungen festlegen können.

Proekspert arbeitet täglich an seinen Lösungen für sichere Vernetzungen und Fernsteuerung von Geräten. Dank unserer langjährigen Erfahrung mit sicheren Industrielösungen können wir auch Sie und Ihr Unternehmen unterstützen, und zwar unabhängig davon, wie einfach oder komplex Ihre Anforderungen an PKI und Geräteidentitätsverwaltung sind.

Es kann eine ziemliche Herausforderung darstellen, die Sicherheit von Geräten und Infrastruktur zur Verwaltung von Geräteidentitäten, Berechtigungen und Lizenzen zu verbessern.

Proekspert unterstützt Gerätehersteller bei der Vorbereitung auf das bevorstehende EU-Gesetz über Cyberresilienz. Vereinbaren Sie jetzt einen kostenlosen Termin für einen Video-Call mit uns, damit wir Ihnen zeigen können, wie Sie die Sicherheit Ihrer Geräte verbessern können.

Das Video zum Interview finden Sie hier:


Tech Tomorrow

Receive our weeky newsletter! Inspiring ideas that are worth your time

Subscribe

Go smarter with Proekspert.

Please fill in the contact form below and we'll get back to you as soon as possible.

Thank You!

Your message has been sent. Our team will get back to you as soon as possible.

Close this window
Close icon