Cybersecurity: ZVEI veröffentlicht Umsetzungsempfehlungen

Der ZVEI ist Teil der informellen Diskussionen um den Cyber Resilience Act (CRA) zwischen den Europäischen Gesetzgebern und weiteren Stakeholdern. Bereits am 15. September 2022 hatte die Europäische Kommission den Entwurf des CRA veröffentlicht. Der ZVEI unterstützt den prinzipiellen Gedanken des CRA als horizontale Produktregulierung im etablierten Rechtsrahmen zur Inverkehrbringung von Produkten. 

CRA muss trotz enormer Breite an Produkten realisierbar sein 

Laut dem ZVEI sei das Ziel das allgemeine Resilienzniveau zu erhöhen erstrebenswert, allerdings müsse die realistische Umsetzbarkeit angesichts der enormen Breite betroffener Produkte und komplexer technischer Herausforderungen auch stets berücksichtigt werden. 

Ende September 2023 haben nun die formalen Trilog-Verhandlungen begonnen. Auch für diese Verhandlungen hat der ZVEI Empfehlungen erarbeitet. Die wichtigsten Aspekte aus Sicht der Elektro- und Digitalindustrie sind dabei: 

• Die Klassifizierungslogik sogenannter „kritischer Produkte“ nach Artikel 6, welche die Auswahl der möglichen Konformitätsbewertungsverfahren einschränkt. 
• Die Möglichkeit für Hersteller transparent den Zeitraum des geleisteten Security-Supports fest- und darlegen zu können. 
• Die kohärente Etablierung des Cyber Resilience Acts als zentralen Referenzpunkt für die Cybersicherheit von Produkten. 
• Rechtssicher erfüllbare Anforderungen zu Schwachstellen in Produkten. 
• Realistische Übergangszeiten von mindestens 48 Monaten angesichts des sehr ambitionierten Regulierungsziels. 

Der ZVEI hat mit diesem Papier nun Lösungsvorschläge erarbeitet, wie sich diese und weitere Problemstellungen auflösen lassen. 

Das gesamte Papier steht zum kostenfreien Download bereit.