Der TÜV-Verband begrüßt die Absicht der Europäischen Kommission, verbindliche Anforderungen an die Cybersicherheit für eine Vielzahl von vernetzten Produkten mit digitalen Elementen festzulegen. Angesichts der zunehmenden Anzahl von Cybersicherheitsvorfällen ist es für Verbraucher:innen und Unternehmen wichtig, dass digitale Produkte sicher sind – vom Zeitpunkt des Kaufs über ihren gesamten Lebenszyklus hinweg.
Bislang fehlt es in der Europäischen Union an einem allumfassenden Ansatz für Cybersicherheit. Bestehende Cybersicherheit-Bestimmungen in den derzeitigen Rechtsvorschriften sind auf bestimmte Produktgruppen beschränkt, unvollständig oder nur auf freiwilliger Basis. Aus diesem Grund wäre es aus Sicht des TÜV-Verbands begrüßenswert gewesen, wenn der Gesetzgeber auf den bestehenden Cybersecurity Act (CSA) aufgebaut hätte, indem er dessen Regelungen zusammen mit seinen abgestuften Vertrauenswürdigkeitsstufen und Konformitätsbewertungsverfahren für verbindlich erklärt hätte. Stattdessen hat sich der EU-Gesetzgeber für einen neuen horizontalen politischen Rahmen entschieden, der ähnlich wie der CSA nicht nur materielle digitale Produkte (z. B. vernetzte Geräte) abdeckt, sondern auch reine digitale Produkte (z. B. Softwareprodukte), welche in vernetzte Geräte integriert werden.
Neben der Festlegung ehrgeiziger Cybersicherheitsanforderungen ist es von entscheidender Bedeutung, die konsequente und wirksame Einhaltung dieser Anforderungen zu gewährleisten. Der europäische Gesetzgeber hat sich zu Recht für einen risikobasierten Ansatz entschieden: Je höher das Risiko eines Produkts, desto strenger die anzuwendenden Konformitätsbewertungsverfahren. Allerdings setzt der CRA-Vorschlag den risikobasierten Ansatz nicht konsequent und kohärent um. Erhebliche Nachbesserungen mit Blick auf die Risikokategorisierung, die gewählten Konformitätsbewertungsverfahren sowie deren Zusammenspiel mit den sektoralen Produktvorschriften sind notwendig.
Die zentralen Forderungen des TÜV-Verbands
- Einführung einer verpflichtenden Konformitätsbewertung durch unabhängige Dritte für alle kritischen Produkte
- Erweiterung der Liste der kritischen Produkte um zum Beispiel Verbraucherprodukte
- Verpflichtende Anwendung harmonisierter Normen für alle nicht-kritische Produkte als Voraussetzung für die Konformitätsvermutung
- Sicherstellung der Kohärenz mit den Konformitätsbewertungsverfahren in den sektoralen Produktvorschriften
- Sicherstellung der Kohärenz mit den Cybersicherheitsvorschriften der sektoralen Produktvorschriften
Zum Download
Positionspapier "On the EU Commission proposal for a Cyber Resilience Act" (EN)