Nach Ansicht des Industrieverbandes ZVEI geht die EU-Kommission mit dem Cyber Resilience Act die notwendige Aufgabe an, Produktanforderungen an Cybersicherheit zu vereinheitlichen und das Resilienzniveau in der EU anzuheben.
„Diese Regulierung wird alle digitalen Produkte im europäischen Binnenmarkt betreffen“, sagt Wolfgang Weber, Vorsitzender der Geschäftsführung des Industrieverbandes ZVEI, und betont: „Auch wenn es unsere Unternehmen vor enorme Herausforderungen stellt, braucht der europäische Binnenmarkt ein solches harmonisiertes Level-Playing-Field in der Cybersicherheit.“ Der vorgelegte Entwurf sei ein wichtiger Schritt.
Konzept des Verwendungszwecks muss im Vordergrund stehen
Kritisch sieht der ZVEI allerdings die weitgefasste Definition bei sogenannten Critical Products und Highly Critical Products. Zu diesen zählen beispielsweise Mikrocontroller, industrielle Automatisierungs- und Steuerungssysteme oder Teile des Industrial Internet of Things, auch wenn sie in keinem kritischen Kontext verwendet werden.
„Wenn Unternehmen solche oder darauf aufbauende Produkte auf Basis dieser Einteilung nur erschwert auf den Markt bringen können, wird es zu großen Verzögerungen in der EU beim Einsatz digitaler Produkte und Komponenten kommen“, warnt Weber.
Statt reine Hochrisikolisten zu führen, müsse das Konzept des vorgesehenen Verwendungszwecks im Vordergrund stehen. Zudem sollten Hersteller digitaler Produkte und Komponenten bei der Zuweisung der Kritikalität essenziell eingebunden werden, da sie potenzielle Sicherheitsrisiken am besten beurteilen und entsprechende Maßnahmen einleiten könnten.
Übergangsfrist deutlich zu kurz
Positiv bewertet der Verband der Elektro- und Digitalindustrie, dass der Regulierungsentwurf den Prinzipien des New Legislative Framework (NLF) folgt.
„Diese Vorgehensweise knüpft unmittelbar an etablierte Prozesse in den Unternehmen, unter anderem zur Konformitätsbewertung, an und stärkt die Rolle der europäischen Normung“, erklärt Weber. Allerdings sei die vorgesehene Übergangsfrist von 24 Monaten zur Umsetzung solcher Maßnahmen deutlich zu kurz und müsse verlängert werden.
Die akuten Schwierigkeiten bei der Anwendung der Medical Device Regulation zeigten, wie viel Zeit nötig sei, um alle Produkte bis zum Stichtag einer umfangreichen Konformitätsbewertung zu unterziehen. Die Europäische Kommission sollte deshalb längere Fristen setzen, damit harmonisierte Normen rechtzeitig gelistet und eine ausreichende Zahl an Drittstellen zur Konformitätsbewertung benannt werden könnten. (jk)