Position zum anstehenden Cyber Resilience Act

Der TÜV-Verband begrüßt die Absicht der Kommission, mit dem Cyber Resiliance Act verbindliche Cybersicherheitsanforderungen für eine breite Palette von Produkten und Dienstleistungen festzulegen.

© Pete Willis via Unsplash

Bislang fehlt der EU ein allumfassender Ansatz für die Cybersicherheit. Die Bestimmungen zur Cybersicherheit in den aktuellen Rechtsvorschriften sind entweder auf bestimmte Produktgruppen beschränkt oder gelten nur auf freiwilliger Basis. Die EU-Kommission hat diese erhebliche Regelungslücke erkannt und angekündigt, im dritten Quartal 2022 einen Cyber Resilience Act (CRA) vorzuschlagen. Zu den in Erwägung gezogenen Optionen gehört ein horizontaler regulatorischer Ansatz, der Cybersicherheitsanforderungen für ein breites Spektrum materieller und immaterieller digitaler Produkte und damit verbundener Zusatzdienste einführt.

Der TÜV-Verband begrüßt die Absicht der Kommission, verbindliche Cybersicherheitsanforderungen für ein breites Spektrum von Produkten und Dienstleistungen festzulegen. Anstatt jedoch neue und detaillierte horizontale Cybersicherheitsanforderungen im CRA als solche zu entwickeln, sollte der EU-Gesetzgeber auf dem bestehenden EU-Cybersicherheitsrahmen aufbauen. Mit dem 2019 verabschiedeten Cybersecurity Act (CSA) gibt es bereits eine sehr geeignete Regelung, die mit ihren Cybersecurity-Zertifizierungssystemen umfassende Cybersicherheitsanforderungen für Produkte, Dienstleistungen und Prozesse festlegt. Das einzige Manko ist der freiwillige Charakter. Daher sollte die Ratingagentur die CSA-Systeme zusammen mit den zugehörigen Sicherheitsniveaus und Konformitätsbewertungsverfahren rechtsverbindlich machen. Dieser Ansatz wird zu einer raschen Verabschiedung von Cybersicherheitsbestimmungen führen, ohne dass es zu Überschneidungen oder abweichenden Anforderungen kommt.

Politische Empfehlung: Die Regelungen des Cybersecurity Acts durch den Cyber Resiliance Act verbindlich machen

  1. Nur die übergreifenden Cybersicherheitsanforderungen im CRA formulieren
  2. Die CSA-Regelung durch eine direkte Verweisklausel im CRA verbindlich machen
  3. Aufnahme einer Kollisionsnorm

The product, ICT product, ICT service or ICT process shall be constructed, designed or built in such a way that it offers risk-adequate protection (robustness) against cyber-attacks, i.e. in particular that a cyber-attack on the ICT product, ICT service or ICT process must not impair the legal rights of users or third parties, in particular the protection of life and limb, including privacy. Within this, the specifications of the respective relevant schemes of the CSA including their risk assessment level
must be complied with.

Vorschlag für die Formulierung der zentralen Anforderung des Cyber Resilience Act

Download 

Position on the upcoming Cyber Resilience Act (auf Englisch)