Cybersecurity

Der Cyber Resilience Act

Unser Leben ist heute verwoben mit digitalen Prozessen und Produkten. Doch so gern wir die Möglichkeiten der Digitalisierung nutzen und genießen, es bleibt ein Risiko: Wie sicher ist diese digitale Welt? Wie lässt sich verhindern, dass Cyberkriminelle etwa Server von Unternehmen, Behörden oder Krankenhäusern lahmlegen, die Kontrolle über Produktionsanlagen übernehmen oder uns abends beim Fernsehen ausspähen? Hier setzt die europäische Cybersicherheitsregulierung an – zum Beispiel mit dem Cybersecurity Act (CSA) und dem geplanten Cyber Resilience Act (CRA). Beide Legislativprojekte sind mächtige Werkzeuge. Sie sind geeignet, alle zeitgemäßen IT-Sicherheitsvorgaben zu verankern und sorgen für risikoadäquate Prüfungen. Das sorgt für sichere Produkte und Dienste, höhere IT-Sicherheit in der Praxis – und entlastet die Politik: Anstatt bestehende sektor- und produktspezifische Regularien um immer neue Sicherheitsanforderungen zu ergänzen, kann sie sich auf die Wirksamkeit dieser Gesetzgebungen verlassen und diese kohärent mit bestehenden Regelwerken verzahnen.

Cyber Resilience Act schafft höheres Sicherheitsniveau für vernetzte Produkte

Der geplante Cyber Resilience Act schafft einen Mehrwert für die Cybersicherheit, indem er Standards für vernetzte Produkte festschreibt. Er legt Sicherheitsanforderungen fest, die darauf abzielen, die Widerstandsfähigkeit von Systemen gegen Cyberangriffe zu stärken. Diese Anforderungen umfassen die Implementierung von robusten Sicherheitsmaßnahmen wie Verschlüsselung, Zugangskontrolle und Schwachstellenmanagement. Zudem werden Hersteller verpflichtet, regelmäßige Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu beheben. Der geplante Rechtsakt legt auch Wert auf die Sicherheit des gesamten Lebenszyklus eines Produkts, von der Entwicklung über den Betrieb bis zur Entsorgung. Durch die Einhaltung dieser Vorschriften wird die Sicherheit von vernetzten Produkten verbessert und das Risiko von Cyberangriffen verringert.

Die Matrix der digitalen Sicherheit

Mit dem Cybersecurity Act hat die EU-Kommission komplettes Neuland betreten, solch ein Regelwerk hat es bisher noch nicht gegeben. Der Cybersecurity Act bietet den Rahmen, um in so genannten Schemes spezifische Sicherheitsvorgaben zu definieren. Dabei können sowohl vertikale Anforderungen für einzelne Branchen oder Anwendungen definiert werden als auch horizontale Anforderungen, etwa für spezifische Technologien, etwa für 5G-Verbindungen.

Der TÜV-Verband in der Stakeholder Cybersecurity Certification Group

Der Cybersecurity Act sieht auch die Gründung eines Expert:innengremiums vor, der Stakeholder Cybersecurity Certification Group (SCCG). Der TÜV-Verband ist als einziger deutscher Verband in diesem Gremium vertreten und bringt seine Expertise ein. „Die hochkarätig besetzte Expertengruppe wird die EU-Kommission und die europäische IT-Sicherheitsagentur ENISA in strategischen Fragen beraten und damit einen wichtigen Beitrag für die Verbesserung der digitalen Sicherheit in der EU leisten“, sagt Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. „Für einzelne Bereiche wie vernetzte Produkte im Internet der Dinge, Cloud-Infrastrukturen oder Anwendungen mit Künstlicher Intelligenz müssen jetzt einheitliche IT-Sicherheitsanforderungen festgelegt werden.“

Seit 2019 ist der Cybersecurity Act in Kraft. Seither gilt es, ihn umzusetzen und mit Leben zu füllen – damit die digitale Welt ein Stück sicherer wird.