Die Europäische Kommission hat den Vorschlag für die Verordnung zum Cyber Resilience Act (CRA) vorgelegt. Die vorgeschlagenen Maßnahmen sollen regeln, dass die Cybersicherheit digitaler Produkte bereits gewährleistet ist, sobald diese entworfen, entwickelt, hergestellt und in Umlauf gebracht werden. Weiter sollen Hersteller dazu verpflichtet werden, Schwachstellen zu beheben sowie aktiv ausgenutzte Sicherheitslücken und Vorfälle zu melden. Auch Vorschriften zur Marktüberwachung und Durchsetzung finden sich im Cyber Resilience Act.
Prof. Norbert Pohlmann, eco Vorstand für IT-Sicherheit, hält es für nachvollziehbar, dass die EU digitale Systeme künftig noch sicherer und resilienter gestalten will. In den vorgesehenen Regeln sieht er allerdings jedoch keine automatische Verbesserung der Sicherheit: „Unternehmen müssen ihre bestehenden Sicherheitspraktiken und Dokumentationsverfahren erst einmal dahingehend überprüfen, ob sie den neuen Vorgaben entsprechen. Das ist ein nicht zu unterschätzender Bürokratieaufwand“, so Prof. Pohlmann. „Mehr Sicherheit wird dadurch nicht per se hergestellt. Auch wenn Einzelne von einer solchen Überprüfung sicherlich profitieren, können wir grundsätzlich davon ausgehen, dass für IT-Unternehmen aller Größen zunächst erhebliche Belastungen durch die Compliance Anforderungen entstehen.“
Verschlüsselung muss weiter gestärkt werden
Wie umfangreich die Auswirkungen auf die Unternehmen sein wird, hänge aber auch davon ab, inwiefern die verschiedenen Regelwerke miteinander kompatibel sind und ineinandergreifen. So sind im bestehenden EU-Rahmen bereits die NIS und die NIS-2-Richtlinie sowie das Cybersicherheitsgesetz verankert, den das neue Gesetz über die Cyber-Resilienz nun ergänzen soll. Hier sieht Pohlmann zudem ein Risiko für mehr Unsicherheit, in welchem Kontext welche EU-Regelung gilt. Aus seiner Sicht wäre es erstrebenswert, wenn die Regelungen harmonisiert, konsistent und aufeinander abgestimmt sind.
„Das gilt gerade im Hinblick auf den Anwendungsbereich und die weitgefassten Definitionen“, sagt Pohlmann. Hier könnten beispielsweise Abgrenzungsprobleme zwischen sogenannten kritischen und besonders kritischen Produkten entstehen. Er wünscht sich deshalb eine Nachbesserung und mehr Klarheit beim CRA. Zudem trage auch die Rolle der Kommission mit den Delegierten Rechtsakten zu einer gewissen Rechtsunsicherheit beziehungsweise fehlender Vorhersehbarkeit bei, wenn es um den Annex und die darauf festgehaltenen Dienste geht.
Nachbesserungsbedarf sieht der IT-Sicherheitsexperte zudem beim Thema Verschlüsselung: „Wir brauchen starke Verschlüsselungstechnologien, die konsequent ausgebaut, gestärkt und noch dazu proaktiv gefördert werden müssen“, so Pohlmann weiter. „Verschlüsselung ist der zentrale Baustein für die IT-Sicherheit und die Vertrauenswürdigkeit.“
Weiter fordert Pohlmann Meldepflichten für staatliche Akteure hinsichtlich bekannter Schwachstellen und Sicherheitslücken. Insgesamt müsse auch das Bewusstsein für IT-Sicherheit gestärkt werden – sowohl innerhalb der Bevölkerung als auch bei den Anwendern selbst. Dies sei gerade bei kleinen und mittelständischen Unternehmen noch ausbaufähig, so Pohlmann.