Hackerangriffe auf Lieferketten festgestellt.<\/a> Dar\u00fcber hinaus sehen wir eine immer st\u00e4rker werdende Vernetzung von Ger\u00e4ten untereinander.<\/p>\n\n\n\nDaher zielt das Gesetz \u00fcber Cyberresilienz darauf ab, Bedingungen f\u00fcr die Entwicklung sicherer Produkte zu schaffen. Dies soll dadurch gew\u00e4hrleistet werden, dass Hardware- und Softwareprodukte mit weniger Sicherheitsl\u00fccken auf den Markt kommen und Hersteller die Sicherheit von Ger\u00e4ten w\u00e4hrend ihrer gesamten Lebensdauer ernsthaft beachten. Meiner Meinung nach hat die Kommission bei ihrem Gesetzentwurf klare Ziele festgelegt, die sowohl vom Rat der Europ\u00e4ischen Union als auch vom Europ\u00e4ischen Parlament unterst\u00fctzt werden.<\/p>\n\n\n\n
Eines dieser Ziele h\u00e4ngt mit dem Lebenszyklus der Ger\u00e4te zusammen. Dar\u00fcber hinaus soll das Thema Produktsicherheit in einen breiteren staatlichen Rahmen f\u00fcr Cybersicherheit eingef\u00fcgt werden. Und schlie\u00dflich soll mehr Transparenz f\u00fcr Verbraucher und die Hersteller selbst bei der Verwendung der Produkte geschaffen werden.<\/strong><\/p>\n\n\n\nEiner der Gr\u00fcnde f\u00fcr die Einf\u00fchrung dieses Gesetzes ist die Vermeidung von Fragmentierung und eines legislativen Flickenteppichs in der EU, da Mitgliedstaaten begonnen haben, individuelle Schritte zur Schaffung separater Gesetzgebungen auf nationaler Ebene zu unternehmen. Eine solche Fragmentierung m\u00fcssen wir verhindern und stattdessen diesen Bereich in der EU harmonisieren.<\/strong><\/p>\n\n\n\nWelche Auswirkungen wird das Gesetz \u00fcber Cyberresilienz auf Hersteller industrieller Ger\u00e4te haben?<\/strong><\/h3>\n\n\n\nDiese Akteure werden selbstverst\u00e4ndlich starke Auswirkungen zu sp\u00fcren bekommen.<\/p>\n\n\n\n
Von Anfang an haben wir einen risikobasierten Ansatz gew\u00e4hlt, um die Kritikalit\u00e4t verschiedener Produkte zu verstehen<\/strong>. Deshalb wurden auch die Hersteller industrieller Ger\u00e4te<\/strong> und nicht die Verbraucher als Hauptziel dieser Verordnung<\/strong> ausgew\u00e4hlt. Denn oft sind Mikroprozessoren, Controller und allgemeine Betriebssysteme Komponenten anderer Verbraucherprodukte oder industrieller Ger\u00e4te. Daher m\u00fcssten sie vor der Markteinf\u00fchrung genauer gepr\u00fcft werden.<\/p>\n\n\n\nDerzeit gibt es bereits eine Liste kritischer und hoch kritischer Produkte. Einige industrielle Ger\u00e4te lassen sich jedoch keiner dieser Kategorien zuordnen und m\u00fcssen daher geringere Anforderungen erf\u00fcllen als eigentlich erforderlich w\u00e4re.<\/p>\n\n\n\n
Auf welche Arten von Ger\u00e4ten konzentriert sich das Gesetz \u00fcber Cyberresilienz?<\/strong><\/h3>\n\n\n\nWie bereits erw\u00e4hnt, gibt es mehrere Ebenen. Au\u00dferdem wurden verschiedene Methoden erarbeitet. Hinzu kommen unterschiedliche Ans\u00e4tze, da wir uns derzeit in der Endphase der Verhandlungen \u00fcber diese Verordnung befinden. Dies bedeutet, dass die EU-Kommission, der Rat und das Parlament alle unterschiedliche Methoden anwenden.<\/p>\n\n\n\n
Da ich Estland im Rat der EU vertrete, kann ich ein wenig mehr \u00fcber unsere Herangehensweise berichten.<\/p>\n\n\n\n
Wir haben einen mehrschichtigen Ansatz auf Grundlage der Kritikalit\u00e4t <\/strong>gew\u00e4hlt. Die meisten Produkte fallen in die einfachere Kategorie, indem sie als normale vernetzte Ger\u00e4te betrachtet werden k\u00f6nnen. Dazu geh\u00f6ren vernetzte Kinderspielzeuge, verschiedene Wearables oder einige einfachere Smart-Home-Ger\u00e4te.<\/p>\n\n\n\nDaneben gibt es zwei Kategorien kritischer Produkte. Kritische Produkte<\/strong> umfassen Antivirensoftware, Betriebssysteme, Mikrocontroller und Prozessoren, w\u00e4hrend zu den hochkritischen Produkten eher Smart-Meter-Gateways, Smartcards oder Hardware mit Sicherheitsboxen geh\u00f6ren. Dies sind ziemlich spezielle Bereiche, w\u00fcrde ich sagen.<\/p>\n\n\n\nDann gibt es noch Produkte und Bereiche, die nicht betroffen sind. Software-as-a-Service f\u00e4llt beispielsweise nicht unter diese Verordnung. Auch Fahrzeuge, mit Ausnahme von Traktoren und Motorr\u00e4dern, die nicht von der entsprechenden europ\u00e4ischen Richtlinie erfasst werden, und auch Medizinprodukte geh\u00f6ren nicht dazu. Diese wenigen Ausnahmen spiegeln also die sehr spezifischen Bereiche wider, f\u00fcr deren Produkte bekannterma\u00dfen bereits h\u00f6here Sicherheitsstandards gelten.<\/p>\n\n\n\n
Was k\u00f6nnen Hersteller von industriellen Ger\u00e4ten tun, um sich auf das Gesetz \u00fcber Cyberresilienz vorzubereiten?<\/strong><\/h3>\n\n\n\nWenn ich ein Hersteller industrieller Ger\u00e4te w\u00e4re, w\u00fcrde ich \u00fcber die erwartete Lebensdauer <\/strong>und den beabsichtigten Zweck meiner Ger\u00e4te<\/strong> nachdenken, da diese von den wesentlichen Anforderungen der Verordnung betroffen sind.<\/p>\n\n\n\nAu\u00dferdem w\u00fcrde ich mir die Informationen ansehen, die ich den Endverbrauchern bereitstelle. Ich w\u00fcrde \u00fcberpr\u00fcfen, ob mein Produkt automatisch installierte Updates zul\u00e4sst. Und wenn ja, wie und wann sie deaktiviert werden sollten<\/strong>.<\/strong><\/p>\n\n\n\nIch w\u00fcrde die Bestandsliste meiner Software durchgehen oder eine solche Liste erstellen und versuchen zu verstehen, wo die Verantwortung f\u00fcr jeden Teil meines Produkts liegt und wer zu welchem Zeitpunkt daf\u00fcr verantwortlich sein sollte.<\/p>\n\n\n\n
Zudem w\u00fcrde ich nach verschiedenen M\u00f6glichkeiten suchen, meine Produkte in Bezug auf diese Verordnung zu testen. Die EU beabsichtigt, einige finanzielle Mittel, Testumgebungen<\/strong> und Sandboxes f\u00fcr diese Verordnung zur Verf\u00fcgung zu stellen. Dies gilt insbesondere f\u00fcr kleine und mittlere Unternehmen (KMU). Wenn ich also ein KMU h\u00e4tte, w\u00fcrde ich mir diese M\u00f6glichkeiten zunutze machen, um den gr\u00f6\u00dferen Akteuren Schritt zu halten.<\/p>\n\n\n\nGibt es bereits Richtlinien, wie diese Produkte entsprechend dem Gesetz \u00fcber Cyberresilienz zertifiziert werden k\u00f6nnen?<\/strong><\/h3>\n\n\n\nDies ist eines der komplexesten Themen und aus Sicht der Hersteller industrieller Ger\u00e4te auch sehr schwer zu erkl\u00e4ren und zu verstehen. Man muss sich n\u00e4mlich die Verordnung durchlesen, um zu verstehen, in welche Kategorie ein Produkt f\u00e4llt und welche spezifischen Verfahren zur Konformit\u00e4tsbewertung zu befolgen sind bzw. wie diese Konformit\u00e4tsbewertung aussieht.<\/p>\n\n\n\n
Dabei gibt es, wie bereits erw\u00e4hnt, mehrere Stufen je nach Kritikalit\u00e4t eines Produkts.<\/p>\n\n\n\n
Ein Hauptelement f\u00fcr alle Produkte ist die Anwendung harmonisierter Normen. W\u00e4hrend harmonisierte Normen ein zentraler Bestandteil dieser Verordnung sind, wird deren Erstellung noch einige Zeit dauern. Wahrscheinlich zwei Jahre<\/strong> werden daf\u00fcr erforderlich sein.<\/p>\n\n\n\nAber es gibt auch einfachere M\u00f6glichkeiten f\u00fcr die Selbstbewertung, beispielsweise mittels Anhang 1 f\u00fcr wesentliche Cybersicherheitsanforderungen und die Behandlung von Sicherheitsl\u00fccken<\/strong>. Dann sollten Sie Artikel 24 sowie die Anh\u00e4nge 4 und 6 der Verordnung lesen, die weitere Informationen zur spezifischen Kategorie und zum Typ der Konformit\u00e4tsbewertung bereitstellen<\/strong>, die ein Einrichtung durchlaufen sollte.<\/p>\n\n\n\nEine umfassende Bewertung der Qualit\u00e4tskonformit\u00e4t w\u00e4re beispielsweise eher f\u00fcr Softwarehersteller geeignet.<\/p>\n\n\n\n
Zudem w\u00e4ren Zertifizierungsschemata zu beachten. Derzeit haben wir in der EU noch kein Zertifizierungsschema. Wahrscheinlich wird zun\u00e4chst das Schema f\u00fcr allgemeine EU-Kriterien ver\u00f6ffentlicht, das sicherlich f\u00fcr diese Verordnung verwendet werden kann.<\/p>\n\n\n\n
F\u00fcr Produkte mit der h\u00f6chsten Kritikalit\u00e4t<\/strong> muss eine Konformit\u00e4tsbewertung durch Dritte<\/strong> vorgenommen werden, was nat\u00fcrlich ein sehr aufwendiges Verfahren ist. In den meisten EU-Mitgliedstaaten haben wir derzeit noch keine Beh\u00f6rden, die eine Konformit\u00e4tsbewertung f\u00fcr Cybersicherheit durchf\u00fchren k\u00f6nnten. In einigen Mitgliedstaaten gibt es sie jedoch bereits, beispielsweise in Finnland.<\/p>\n\n\n\nBeeinflusst das Gesetz \u00fcber Cyberresilienz auch bereits vorhandene Ger\u00e4te, die in Anlagen, Fabriken usw. im Einsatz sind?<\/strong><\/h3>\n\n\n\nNein, im Allgemeinen sind nur neu auf den Markt gebrachte Produkte betroffen. Das ist die Terminologie, die wir verwenden.<\/p>\n\n\n\n
Wann wird das Gesetz \u00fcber Cyberresilienz in Kraft treten? Welche \u00dcbergangsfristen gelten dabei f\u00fcr Ger\u00e4tehersteller? Und wird jeder EU-Mitgliedsstaat das Gesetz separat durchsetzen?<\/strong><\/h3>\n\n\n\nDerzeit verhandeln wir \u00fcber diese Verordnung und befinden uns in einer recht fortgeschrittenen Phase. Ich erwarte, dass die Verordnung irgendwann im Fr\u00fchjahr 2024<\/strong> in Kraft tritt. Wenn die Verhandlungen jetzt reibungslos verlaufen, wird ab diesem Zeitpunkt eine \u00dcbergangsfrist von 36 Monaten<\/strong> beginnen und die Uhr somit ab n\u00e4chstem Fr\u00fchjahr ticken. Sowohl die Mitgesetzgeber, der Rat als auch das Europ\u00e4ische Parlament haben festgestellt, dass 24 Monate sowohl aus Sicht der Hersteller als auch seitens der Beh\u00f6rden der Mitgliedstaaten nicht ausreichend sein werden. Nur die Frist zur Meldung von Sicherheitsl\u00fccken wird fr\u00fcher enden, n\u00e4mlich 24 Monate nach Einf\u00fchrung der Verordnung.<\/strong> Demzufolge m\u00fcssen Einrichtungen dann Informationen \u00fcber die aktive Ausnutzung von Sicherheitsl\u00fccken an die zust\u00e4ndigen Beh\u00f6rden in ihren Mitgliedstaaten \u00fcbermitteln.<\/p>\n\n\n\nWas die Durchsetzung des Gesetzes betrifft, sollten Produkte nach einem erfolgreichen Konformit\u00e4tsverfahren in einem Mitgliedstaat automatisch auf dem gesamten EU-Markt zugelassen werden. Gleiches gilt f\u00fcr Ger\u00e4te, die von au\u00dferhalb der EU importiert werden. Diese m\u00fcssen in einem der Mitgliedstaaten das gleichen Verfahren durchlaufen. Innerhalb des Binnenmarktes sollten die Produkte also frei zirkulieren k\u00f6nnen.<\/p>\n\n\n\n
Allerdings gibt es einige Ausnahmen f\u00fcr Einrichtungen, die in den verschiedenen Kategorien der NIS-Richtlinie als wesentlich angesehen werden. F\u00fcr diese k\u00f6nnen die Mitgliedstaaten strengere Anforderungen in Bezug auf ihre Lieferketten auferlegen. Zudem gibt es eine allgemeine Ausnahme im Zusammenhang mit nationaler Sicherheit, wobei Mitgliedstaaten strengere Anforderungen festlegen k\u00f6nnen.<\/p>\n\n\n\n
Proekspert arbeitet t\u00e4glich an seinen L\u00f6sungen f\u00fcr sichere Vernetzungen und Fernsteuerung von Ger\u00e4ten. Dank unserer langj\u00e4hrigen Erfahrung mit sicheren Industriel\u00f6sungen k\u00f6nnen wir auch Sie und Ihr Unternehmen unterst\u00fctzen, und zwar unabh\u00e4ngig davon, wie einfach oder komplex Ihre Anforderungen an PKI und Ger\u00e4teidentit\u00e4tsverwaltung sind.<\/p>\n\n\n\n
Es kann eine ziemliche Herausforderung darstellen, die Sicherheit von Ger\u00e4ten und Infrastruktur zur Verwaltung von Ger\u00e4teidentit\u00e4ten, Berechtigungen und Lizenzen zu verbessern.<\/p>\n\n\n\n
Proekspert unterst\u00fctzt Ger\u00e4tehersteller bei der Vorbereitung auf das bevorstehende EU-Gesetz \u00fcber Cyberresilienz. Vereinbaren Sie jetzt einen kostenlosen Termin f\u00fcr einen Video-Call mit uns, damit wir Ihnen zeigen k\u00f6nnen, wie Sie die Sicherheit Ihrer Ger\u00e4te verbessern k\u00f6nnen.<\/p>\n\n\n\n
Das Video zum Interview finden Sie hier:<\/p>\n\n\n\n
![\"\"](\"https:\/\/proekspert.com\/wp-content\/uploads\/2023\/10\/BlogPicture_Kaljo.jpg\")
<\/figure>\n\n\n\n