Verpflichtende unabhängige Überprüfung bei sicherheitskritischen Produkten
Nachbesserungsbedarf besteht aus Sicht des TÜV-Verbands auch bei den verpflichtenden Überprüfungsmechanismen. „Viele sicherheitskritische Produkte sollen auf Grundlage einer reinen Herstellerselbsterklärung auf den Markt gebracht werden dürfen“, sagt Kröhnert. Der TÜV-Verband hält diesen Ansatz für falsch, da er nicht das notwendige Cybersicherheitsniveau vernetzter Produkte gewährleisten kann. Kröhnert: „Vorrangiges Ziel des EU-Gesetzgebers muss es sein, dass nur nachweislich cybersichere Produkte auf den Markt kommen und somit das Vertrauen der Menschen in vernetzte Produkte gestärkt wird. Dafür bedarf es neben ambitionierten Sicherheitsanforderungen vor allem verlässlicher Überprüfungsmechanismen.“ Eine konsequente Einbindung unabhängiger Prüfstellen insbesondere bei kritischen Produkten sei zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit digitaler Technologien zu schaffen.
Zeitnahe Anwendung der Vorschriften sicherstellen
Sowohl das EU-Parlament als auch die Mitgliedsstaaten haben das von der Kommission angedachte Anwendungsdatum nach Inkrafttreten der Verordnung von 24 auf 36 Monate verlängert. Kröhnert: „Damit wären die Cybersicherheitsanforderungen des Cyber Resilience Acts voraussichtlich erst im Jahr 2027 verpflichtend einzuhalten. Angesichts der enorm hohen Anzahl von Cybersicherheitsvorfällen und den damit einhergehenden Schäden ist eine so lange Übergangszeit nicht gerechtfertigt.“ Stattdessen gelte es, den CRA so schnell wie möglich zur Anwendung zu bringen und damit die Bürger:innen wirksam zu schützen.
Mit dem CRA werden erstmals grundlegende Anforderungen für die Cybersicherheit von allen Produkten mit digitalen Elementen festgelegt. Dazu gehören sowohl physische Produkte als auch Software. Die Anforderungen umfassen unter anderem die Berücksichtigung der Cybersicherheit über den gesamten Produktlebenszyklus, die Dokumentation aller Cybersicherheitsrisiken, die Meldung und Behebung aktiv ausnutzbarer Schwachstellen sowie eine Updatepflicht der Hersteller. Aktuell finden die Verhandlungen zwischen den EU-Institutionen statt an mit dem Ziel, bis Ende des laufenden Jahres eine Einigung zu erzielen.