Der TÜV-Verband hat den von der EU-Kommission vorgestellten Entwurf des Cyber Resilience Act (CRA) im Grundsatz begrüßt, fordert aber Nachschärfungen. Der Schritt, erstmals grundlegende verpflichtende Cybersicherheitsanforderungen für vernetzte Produkte zu schaffen, sei längst überfällig, denn nur so können Unternehmen, Behörden und Bürger:innen besser vor Cyberangriffen geschützt werden, sagt Marc Fliehe, Bereichsleiter Digitalisierung und Cybersicherheit beim TÜV-Verband. Der Cyber Resilience Act dürfe aber nicht nur Anforderungen festlegen, sondern müsse wirksame Instrumente schaffen, mit denen die Einhaltung dieser Vorgaben überprüft werden kann.
Cybersicherheit müsse endlich integraler Bestandteil der Produktsicherheit werden, angefangen vom vernetzten Spielzeug über DSL-Router bis hin zu sicherheitsrelevanten digitalen Anwendungen in der kritischen Infrastruktur. Laut dem Kommissionsvorschlag sollen Produkte in unterschiedliche Risikoklassen eingeteilt werden. Dabei sollen auch viele Produkte mit erhöhtem Risiko („kritische Produkte“ nach Anhang III, Klasse 1) im Regelfall auf Basis einer reinen Herstellerselbsterklärung auf den Markt gebracht werden dürfen. Diesen Ansatz hält der TÜV-Verband für verfehlt, weil nicht geeignet, das notwendige Cybersicherheitsniveau von vernetzten Produkten zu gewährleisten. Eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten ist zwingend erforderlich, um Vertrauen in die Sicherheit von digitalen Technologien zu schaffen.
Positiv sieht der TÜV-Verband, dass die EU-Kommission mit dem vorgelegten Regulierungsentwurf den gesamten Produktlebenszyklus eines digitalen Produktes in den Blick nimmt und entsprechende Sicherheitsanforderungen für die Nutzungsdauer vorsieht. So sollen notwendige Sicherheitsupdates zukünftig über einen Zeitraum von bis zu fünf Jahren bereitgestellt werden. Dies ermöglicht eine längere Nutzung der Produkte und schont Ressourcen.
Mit dem Entwurf des Cyber Resilience Act formuliert die EU-Kommission erstmals europaweit verbindliche Cybersicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“. Der Verordnungsvorschlag erfasst Hard- und Software, die als Endprodukte oder als Komponenten auf den Markt kommen. Hersteller müssen digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen („Security by Design“), während der Lebensdauer des Produkts auftretende Schwachstellen beheben und dafür entsprechende Sicherheitsupdates bereitstellen.