Verabschiedung des Cyber Resilience Act
Am 10. Oktober 2024 wurde der Cyber Resilience Act (CRA) vom EU-Rat verabschiedet. Dieses Gesetz verpflichtet alle Hersteller dazu, Cybersecurity in den Entwicklungsprozess ihrer Produkte zu integrieren. Vernetzte Geräte müssen so gestaltet sein, dass sie über ihren gesamten Lebenszyklus hinweg gegen Cyberangriffe geschützt sind.
Security by Design
Mit dem Cyber Resilience Act wird der Grundsatz „Security by Design“ in das europäische Technikrecht aufgenommen. Dies stellt einen bedeutenden Wandel dar, der direkte Auswirkungen auf alle Hersteller und Anbieter von vernetzten Geräten hat. Die neuen gesetzlichen Regelungen zielen darauf ab, digitale Produkte besser gegen Hackerangriffe abzusichern.
Fortlaufende Risikobewertung
Zukünftig reicht es nicht mehr aus, die Konformität eines Produkts mit den CRA-Vorgaben nur zum Zeitpunkt des Markteintritts zu gewährleisten. Hersteller sind verpflichtet, eine kontinuierliche Risikobewertung durchzuführen und die in ihren Geräten enthaltene Software und Firmware regelmäßig zu aktualisieren. Dies bedeutet, dass ein Mechanismus zur Einspielung neuer Software-Versionen von Anfang an in die Produkte integriert werden muss, um Sicherheitslücken zu schließen.
Konsequenzen bei Nichteinhaltung
Sollten Hersteller es versäumen, diese Designanforderungen zu berücksichtigen, dürfen die betroffenen Produkte nicht mehr in den Ländern der Europäischen Union verkauft werden. Dies hat weitreichende Folgen für Unternehmen, die sich nicht an die Vorgaben des Cyber Resilience Act halten.
Betroffene Produktkategorien
Die Anzahl der betroffenen Produktkategorien ist sehr umfangreich. Dazu gehören unter anderem Geräte für das Smart Home, vernetzte Haushaltsgeräte, WLAN-fähiges Spielzeug, VoIP-Telefone, Netzwerkausrüstung wie Router und Firewalls, vernetzte Medizingeräte, Fahrzeuge sowie industrielle Steuerungssysteme.
Digitalisierung in der industriellen Automatisierung
In der industriellen Automatisierung sind nahezu alle Bereiche digitalisiert. Viele Maschinen, die früher rein mechanisch arbeiteten, sind mittlerweile mit Steuerungselektronik ausgestattet und vernetzt. Allerdings haben viele Hersteller von Automatisierungsprodukten den Übergang zum Softwarehersteller nicht vollständig vollzogen und beziehen digitale Komponenten von Zulieferern. Mit der CRA-Regulierung sind diese Hersteller nun direkt für die digitale Technik in ihren Produkten verantwortlich, was viele Unternehmen vor neue Herausforderungen stellt.
Heterogenität des Software-Know-hows
Das Software-Know-how unter den Herstellern von industriellen Automatisierungskomponenten ist sehr unterschiedlich. Dies stellt eine weitere Herausforderung dar, da nicht alle Unternehmen über die notwendigen Ressourcen und Kenntnisse verfügen, um die Anforderungen des Cyber Resilience Act zu erfüllen.