Angesichts der zunehmenden Bedrohung durch Cyberangriffe verfolgt die Europäische Union einen ganzheitlichen Ansatz, um die Sicherheit vernetzter Produkte auf dem europäischen Markt zu gewährleisten. Dabei legen wegweisende Rechtsakte, die künftig durch weitere Bestimmungen wie den Cyber Resilience Act ergänzt werden, die Mindestanforderungen an die Cybersecurity unterschiedlicher Produkte und Dienstleistungen fest. Besonders im Fokus: Systeme, die im produzierenden Gewerbe, dem Industrie- und Energiesektor sowie in kritischer Infrastruktur eingesetzt werden.
Hersteller und Inverkehrbringer stehen damit vor der Aufgabe, nicht nur zu wissen, welche Vorschriften sie betreffen, sondern auch, wie sie diese erfolgreich umsetzen. So müssen Cybersecurity-Vorschriften zum Beispiel im Rahmen des Produktkonformitätsverfahrens und der CE-Kennzeichnung beachtet werden.
Der CRA hat einen sehr weiten Anwendungsbereich, denn er gilt für jedes Produkt, das Software enthält und vernetzt ist – vom Alltagsartikel, der im Privathaushalt zum Einsatz kommt, bis hin zu spezifischen Komponenten für Industrie und Gewerbe.
Zu den Mindestanforderungen gehört die verpflichtende Beachtung von Cybersecurity-Maßnahmen während des gesamten Produktlebenszyklus, einschließlich Planung, Entwicklung, Produktion, Lieferung und Wartung. Darüber hinaus ist es erforderlich, Sicherheitsrisiken zu dokumentieren und klare Benutzeranleitungen bereitzustellen.
Auch wenn sich der CRA derzeit noch in der Abstimmung befindet und es eine Übergangsfrist gibt, sollten Hersteller, die im CRA verankerten Anforderungen bereits jetzt beachten. So gewährleisten sie die künftige Konformität ihrer Produkte und sparen Zeit, Geld und Aufwand etwaiger Nacharbeiten. Denn Herstellern, die die neuen Vorgaben nicht erfüllen, droht künftig neben Strafzahlungen auch der Ausschluss ihrer Produkte vom europäischen Markt.
TÜV SÜD-Experten sind bereits bestens mit aktuellen wie künftigen Anforderungen an Cybersecurity vertraut und können so kompetent Einblick in die verschiedenen Vorschriften geben. Dabei kommt unseren Prüfern die langjährige Erfahrung mit der Industrienorm IEC 62443 zugute, die als wichtigster internationaler Standard für industrielle Cybersecurity gilt und deren Anforderungen sich weitgehend mit denen des Cyber Resilience Act decken. Die Kombination aus dieser Erfahrung und umfassender Kompetenz ermöglichen es, Hersteller individuell zu unterstützen und je nach Bedarf in einzelnen Entwicklungsphasen oder während des gesamten Konformitätsprozesses zu begleiten. Dieses Angebot wird durch allgemeine Schulungen, individuelle Workshops, GAP-Analysen, Risikobewertungen und entwicklungsbegleitende Beratungsservices ergänzt.
Das CE-Kennzeichen wird in der Europäischen Union (EU) verwendet, um auf einen Blick zu zeigen, dass ein Produkt die europäischen Mindestanforderungen erfüllt. Soll ein Produkt, das unter eine der oben genannten Rechtsvorschriften fällt, auf dem europäischen Mark verkauft werden, muss seine Konformität mit der entsprechenden Regulierung (und allen weiteren EU-Vorschriften) in einem Konformitätsverfahren bestätigt und eine CE-Kennzeichnung angebracht werden.
Je nachdem, um welches Produkt es sich handelt, können unterschiedliche Rechtsvorschriften gelten. Dabei kann es auch zu Überschneidungen in den Anwendungsbereichen und zu Wechselwirkungen zwischen verschiedenen Gesetzen kommen. So kann ein Produkt, das unter den Delegierten Rechtsakt (Delegated Act) zur RED fällt, auch unter den CRA fallen. In diesem Fall hat der CRA jedoch deutlich strengere Vorgaben, mit deren Einhaltung auch die Anforderungen des Delegierten Rechtsakts zur RED erfüllt werden können. Haben Sie Fragen in Bezug auf Ihr Produkt, können wir Sie unterstützen.