Höhere Cybersicherheit für Produkte

Gleich bei zwei Veranstaltungen der Aufzugsbranche stand er auf dem Programm: der Cyber Resilience Act – sowohl bei der Mitgliederversammlung des VDMA Fachverbandes Aufzüge und Fahrtreppen als auch beim Schwelmer Symposium.

Was steckt dahinter und was kommt mit dieser europäischen Verordnung auf die Aufzugsbranche zu?

Von Alexey Markert

Was ist der CRA?

Alexey Markert, Referent für Technikpolitik und Standardisierung beim VDMA. Foto: © LIFTjournal/Ulrike Lotze

Der Cyber Resilience Act, kurz CRA, ist global einer der ersten Gesetzestexte zur Regelung von Cybersicherheitsaspekten. Es handelt sich dabei um eine europäische Verordnung, die sich in die CE-Kennzeichnungsvorschriften, wie etwa die Maschinenrichtlinie, einreihen wird und nicht in nationales Recht übersetzt werden muss – was für alle Verordnungen gilt. Der CRA soll sicherstellen, dass Produkte mit weniger Schwachstellen in den Verkehr gebracht werden und dass die Cybersicherheit der Produkte sowohl für Verbraucher als auch für Unternehmen verbessert wird.

Ziel ist es, einen einheitlichen Rechtsrahmen in der Europäischen Union (EU) zu schaffen, um die Cybersicherheit zu erhöhen und einen Flickenteppich unterschiedlicher nationaler Vorschriften zu vermeiden. Der CRA soll Rechtssicherheit für Wirtschaftsakteure und Nutzer bezüglich der Produktanforderungen schaffen und den Binnenmarkt auf diesen Bereich erweitern.

Wer ist davon betroffen?

Der CRA betrifft Produkte mit digitalen Elementen, die auf den EU-Markt gebracht werden. Dies umfasst sowohl Hardware- als auch Softwareprodukte, die potenzielle Angriffsziele sein können. Ausschlaggebend ist hierbei schon die Möglichkeit eines Datenaustauschs. Ist diese gegeben, so fällt das Produkt unter die Verordnung und muss diese erfüllen.

So fallen zum Beispiel Produkte wie Computer, Smartphones, Maschinen, aber eben auch Aufzüge unter die Verordnung. Außerdem werden erstmals Software-Produkte betrachtet, wodurch sich die angebotene Software massiv verbessern dürfte.

Wann ist der Beginn der Anwendung?

Aller Voraussicht nach wird der Gesetzestext im Herbst 2024 in Kraft treten. Gänzlich anzuwenden ist er dann 36 Monate später für alle betroffenen Produkte. Die Meldung von Schwachstellen erfolgt jedoch schon früher im Sommer 2026 und betrifft auch Bestandsprodukte! Hersteller von Serienprodukten, die aktuell produziert werden und dies auch über den Stichtag hinaus weiterhin sollen, müssen jedoch beachten, dass die Produkte ebenfalls an den CRA angepasst werden müssen.

Was sind die Verpflichtungen der Hersteller?

Foto: © VDMA

Hersteller müssen sicherstellen, dass ihre Produkte die grundlegenden Cybersicherheitsanforderungen nach Anhang I des Rechtsaktes erfüllen. Dies setzt einerseits technische Maßnahmen voraus, wie etwa "Security by Design", Inverkehrbringung ohne Schwachstellen und vieles andere mehr. Andererseits betrifft sie auch organisatorische Maßnahmen wie ein Schwachstellenmanagement oder das Erstellen einer "Software Bill of Material" (SBOM), also eine Stückliste für die verwendete Software.

Technologisch stellt das viele Hersteller vor erhebliche Herausforderungen, da gerade die Steuerungen von Maschinen vielmals noch auf völlig veralteten Betriebssystemen basieren. Es sollte allen klar sein, dass spätestens im Herbst 2027 das vorbei ist. Gerade Hersteller, die das betrifft, sollten die Zeit bis zur Anwendung nutzen. Mein dringender Appell an alle Hersteller ist, die Zeit bis zum Herbst zu nutzen und bestenfalls jetzt schon mit der Umsetzung zu beginnen.

Darüber hinaus müssen Hersteller im gesamten Lebenszyklus des Produkts und mindestens über eine Dauer von fünf Jahren kostenlose Sicherheitsaktualisierungen bereitstellen.

Was passiert mit Herstellern, die es nicht erfüllen?

Hersteller, die mit ihren Produkten unter den CRA fallen und diesen nicht erfüllen, dürfen nach dem Anwendungsbeginn im Herbst 2027 keine CE-Kennzeichnung mehr anbringen. De facto bedeutet das einen vollständigen Verkaufstopp auf dem europäischen Markt. Sollte das nicht beachtet werden, drohen Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Umsatzes – je nachdem, was höher ist.

Der Autor ist Referent für Technikpolitik und Standardisierung beim VDMA.

Weitere Informationen (1):Angenommene Texte - Horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und Änderung der Verordnung (EU) 2019/1020 - Dienstag, 12. März 2024 (europa.eu)

EU Cyber Resilience Act | Shaping Europe’s digital future (europa.eu)

Weitere Informationen (2): Foto: © VDMA"Aus Brüssel ereilen uns wichtige Richtlinien und Verordnungen zu den Themen IT und Cybersecurity wie beispielsweise der sogenannte Data Act, der Cyber Recilience Act und die NIS-2-Richtlinie. Regulierungen, die für Hersteller digitaler Produkte von höchster Relevanz sind. Angesichts dieses Regulierungs-Tsunamis und der weiteren Vorhaben Brüssels in diese Richtung ist die Frage, inwieweit aufzugsspezifische Regeln zur Cybersicherheit noch zusätzlich benötigt werden, mit einem großen Fragezeichen zu versehen!"
Dr. Peter Hug, Geschäftsführer VDMA-Fachverband Aufzüge und Fahrtreppen