Roboterhand auf Justizicon

Europäische Cybersecurity-Regulierung

Angesichts der zunehmenden Bedrohung durch Cyberangriffe verfolgt die Europäische Union einen ganzheitlichen Ansatz, um die Sicherheit vernetzter Produkte auf dem europäischen Markt zu gewährleisten. Dabei legen wegweisende Rechtsakte, die künftig durch weitere Bestimmungen wie den Cyber Resilience Act ergänzt werden, die Mindestanforderungen an die Cybersecurity unterschiedlicher Produkte und Dienstleistungen fest. Besonders im Fokus: Systeme, die im produzierenden Gewerbe, dem Industrie- und Energiesektor sowie in kritischer Infrastruktur eingesetzt werden. 
Hersteller und Inverkehrbringer stehen damit vor der Aufgabe, nicht nur zu wissen, welche Vorschriften sie betreffen, sondern auch, wie sie diese erfolgreich umsetzen. So müssen Cybersecurity-Vorschriften zum Beispiel im Rahmen des Produktkonformitätsverfahrens und der CE-Kennzeichnung beachtet werden.

Sicherheitsschloss EU-Sterne

 

 

Die wichtigsten Bestimmungen

 

 

  • Cyber Resilience Act (CRA)
    Der CRA betrifft alle Produkte, die digitale Elemente (Software) enthalten und vernetzt sind. Dabei werden die Produkte je nach Risikoklasse in verschiedene Kategorien eingeteilt, wobei gilt: Mit zunehmendem Risiko ändert sich das Konformitätsbewertungsverfahren. Der CRA gilt als der einschneidendste und wichtigste Rechtsakt unter den Cybersecurity-Vorschriften.
  • Delegierter Rechtsakt (Delegated Act) zur Radio Equipment Directive (RED) (EU 2022/30)
    Die RED stellt allgemeine Anforderungen an Produkte, die auf Funktechnologien basieren, zum Beispiel im Hinblick auf ihre elektromagnetische Verträglichkeit. Der Delegierte Rechtsakt zur RED erweitert die ursprünglichen Vorschriften um die Einhaltung von Cybersecurity- und Datenschutzmaßnahmen.
  • Maschinenverordnung (2023/1230)
    Die neue EU-Maschinenverordnung ersetzt die alte Maschinenrichtlinie 2006/42/EG und beinhaltet einige wichtige Änderungen. So werden neben allgemeinen Sicherheitsvorschriften (zum Beispiel zur Funktionalen Sicherheit) nun auch Anforderungen an die Cybersecurity von Produkten gestellt.
  • NIS2-Richtlinie (EU 2022/2555)
    Die EU-Richtlinie NIS2, die seit Januar 2023 in Kraft ist, betrifft maßgeblich Unternehmen und Organisationen, die als Betreiber kritischer Infrastrukturen (KRITIS) gelten. Sie legt Mindeststandards fest, um den Schutz von Netzwerken und Systemen zu gewährleisten.

 

Was bedeutet der Cyber Resilience Act (CRA)?

Der CRA hat einen sehr weiten Anwendungsbereich, denn er gilt für jedes Produkt, das Software enthält und vernetzt ist – vom Alltagsartikel, der im Privathaushalt zum Einsatz kommt, bis hin zu spezifischen Komponenten für Industrie und Gewerbe. 
Zu den Mindestanforderungen gehört die verpflichtende Beachtung von Cybersecurity-Maßnahmen während des gesamten Produktlebenszyklus, einschließlich Planung, Entwicklung, Produktion, Lieferung und Wartung. Darüber hinaus ist es erforderlich, Sicherheitsrisiken zu dokumentieren und klare Benutzeranleitungen bereitzustellen. 
Auch wenn sich der CRA derzeit noch in der Abstimmung befindet und es eine Übergangsfrist gibt, sollten Hersteller, die im CRA verankerten Anforderungen bereits jetzt beachten. So gewährleisten sie die künftige Konformität ihrer Produkte und sparen Zeit, Geld und Aufwand etwaiger Nacharbeiten. Denn Herstellern, die die neuen Vorgaben nicht erfüllen, droht künftig neben Strafzahlungen auch der Ausschluss ihrer Produkte vom europäischen Markt.

Warum TÜV SÜD?

TÜV SÜD-Experten sind bereits bestens mit aktuellen wie künftigen Anforderungen an Cybersecurity vertraut und können so kompetent Einblick in die verschiedenen Vorschriften geben. Dabei kommt unseren Prüfern die langjährige Erfahrung mit der Industrienorm IEC 62443 zugute, die als wichtigster internationaler Standard für industrielle Cybersecurity gilt und deren Anforderungen sich weitgehend mit denen des Cyber Resilience Act decken. Die Kombination aus dieser Erfahrung und umfassender Kompetenz ermöglichen es, Hersteller individuell zu unterstützen und je nach Bedarf in einzelnen Entwicklungsphasen oder während des gesamten Konformitätsprozesses zu begleiten. Dieses Angebot wird durch allgemeine Schulungen, individuelle Workshops, GAP-Analysen, Risikobewertungen und entwicklungsbegleitende Beratungsservices ergänzt. 

Kontaktieren Sie uns

 

Häufig gestellte Fragen und Antworten (FAQ)

  • Welchen Einfluss hat die Cybersecurity-Regulierung auf die CE-Kennzeichnung?

     

    Das CE-Kennzeichen wird in der Europäischen Union (EU) verwendet, um auf einen Blick zu zeigen, dass ein Produkt die europäischen Mindestanforderungen erfüllt. Soll ein Produkt, das unter eine der oben genannten Rechtsvorschriften fällt, auf dem europäischen Mark verkauft werden, muss seine Konformität mit der entsprechenden Regulierung (und allen weiteren EU-Vorschriften) in einem Konformitätsverfahren bestätigt und eine CE-Kennzeichnung angebracht werden. 

     

  • Was passiert, wenn mein Produkt unter verschiedene Richtlinien gleichzeitig fällt?

    Je nachdem, um welches Produkt es sich handelt, können unterschiedliche Rechtsvorschriften gelten. Dabei kann es auch zu Überschneidungen in den Anwendungsbereichen und zu Wechselwirkungen zwischen verschiedenen Gesetzen kommen. So kann ein Produkt, das unter den Delegierten Rechtsakt (Delegated Act) zur RED fällt, auch unter den CRA fallen. In diesem Fall hat der CRA jedoch deutlich strengere Vorgaben, mit deren Einhaltung auch die Anforderungen des Delegierten Rechtsakts  zur RED erfüllt werden können. Haben Sie Fragen in Bezug auf Ihr Produkt, können wir Sie unterstützen. 

    Kontakt aufnehmen

     

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German