Das Cybersecurity-Recht befindet sich aktuell im Wandel – weg von sektorspezifischen, vertikalen Regelungen, hin zu einem systematischen horizontalen Ansatz. Mit dem Cyber Resilience Act, der bereits 2024 in Kraft treten soll, macht die EU Kommission den nächsten Schritt, der insbesondere Hersteller von sogenannten Produkten mit digitalen Elementen adressiert.
Dragon Claws / stock.adobe.com
EU Cyber Resilience Act: Workshop beantwortet Fragen und zeigt die Bedeutung der Normung auf
Die Normung spielt in diesem Prozess eine besondere Rolle. Über die Ausgestaltung der Normung sind betroffene Akteure sämtlicher Branchen in der Lage, sich vorausschauend und aktiv auf die anstehenden Veränderungen einzustellen. Der DKE Workshop zum Cyber Resilience Act am 27. Oktober 2023 hat allen Teilnehmenden die Möglichkeit geboten, Fragen zu stellen und Diskussionen anzuregen. Das Interesse an der Veranstaltung war groß und hat die Wichtigkeit des Themas verdeutlicht: mehr als 300 Teilnehmende war online zugeschaltet.
Von regulatorischen Anforderungen zur technischen Detaillierung
Prof. Dr. Dennis-Kenji Kipker erläuterte zunächst den rechtspolitischen Hintergrund und die Zusammenhänge mit anderen EU-Regularien. Im Gegensatz zur NIS2-Richtlinie, die als unternehmensbezogene Richtlinie zu sehen ist, ist der Cyber Resilience Act produktbezogen. Ein weiterer zentraler Aspekt des CRAs ist die Anschlussfähigkeit an das NLF (New Legislative Framework) und damit an die europäische Normung. Darüber hinaus zeigte Herr Prof. Kipker die Hauptanforderungen auf, die der CRA mit sich bringt. Diese sind neben „Security-by-Design“-Anforderungen, der Schutz der Lieferkette auch verschiedene Pflichten bzgl. Dokumentation und Sicherheitsaktualisierungen.
Nadine Petermann ging im zweiten Beitrag, der die Ausgestaltung durch Normung beinhaltete, konkret auf das NLF und den Weg zur Erarbeitung und Listung von harmonisierten europäischen Normen (hEN) ein. Eine zentrale Rolle kommt dabei den Europäischen Normungsorganisationen zu, die den sogenannten „Standardization Request“ der EU Kommission beantworten müssen und nach Annahme des Standardization Requests harmonisierte europäische Normen erarbeiten, um die übergeordneten regulatorischen Anforderung in technischen Regelwerken zu detaillieren.
Dr. Kai Wollenweber gab abschließend einen Überblick zu den aktuell laufenden Aktivitäten, insbesondere bei CEN und CENELEC. Auf europäischer Ebene ist man bereits seit vielen Wochen in Abstimmung mit der EU Kommission bzgl. der Beantwortung des Standardization Request. Zudem laufen bereits Arbeiten in den Arbeitsgruppen CEN-CLC/JTC 13/WG 9 und CLC/TC 65X/WG 3 unter Berücksichtigung der Fragestellung, wie die zu erarbeitenden harmonisierten europäischen Normen sinnvoll und möglichst effizient gestalten werden können und welche bereits existierenden Normen eine Grundlage für diese Arbeiten sein können. Dr. Kai Wollenweber verwies auf die internationale Normenreihe IEC 62443, die bereits heute eine Vielzahl an Anforderungen aus dem CRA erfüllt.
Nutzen Sie die Möglichkeiten der Normung
Die Anschlussfähigkeit des CRA an das NLF bietet für die Industrie eine sehr gute Möglichkeit, die Ausgestaltung von regulatorischen Anforderungen mithilfe von Normen umzusetzen. Wollen Sie sich aktiv in die Standardisierungsarbeit rund um den CRA einbringen? Dann freuen wir uns über Ihre E-Mail!
Interessiert an weiteren Inhalten zu Cybersecurity?
Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Arbeitsfeld Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren.
