Cyber Resilience Act (CRA)
Bei dem CRA handelt es sich um eine Gesetzesinitiative der EU-Kommission, um die IT-Sicherheit (Cyberresilienz) von „Produkten mit digitalen Elementen“ über ihren gesamten Lebenszyklus auf einem hohen Standard zu halten.
Unter Produkten mit digitalen Elementen, die im Sinne des CRA als kritisch und relevant eingestuft werden, sind Mikrocontroller, Betriebssysteme, industrielle Firewalls, CPUs, Netzschnittstelle etc. zu verstehen. D.h. sogenannte intelligente Komponenten und technische Systeme, die diese Elemente enthalten, sind von den Regelungen betroffen. Damit kommen u.a. auf viele kleine und mittlere Unternehmen als Ausrüster und Komponentenlieferant für die Industrie 4.0 neue Herausforderung zu.
Konkret ist die Cybersicherheit über den gesamten Lebenszyklus, d.h. von der Entstehungsphase bis hin zum Lebensende zu gewährleisten. Dies umfasst insbesondere Sicherheitsupdates (für mindestens 5 Jahre) und Melde- und Dokumentationspflichten.
Als Nachweis für die Einhaltung der Regelungen soll ein Konformitätsbewertungsverfahren verpflichtend werden. Dieses soll u.a. durch eine Selbstbewertung der Hersteller dargestellt werden können. Die Einstufung als kritisches Produkt mit digitalen Elementen soll in Form einer Selbsterklärung erfolgen. Als sichtbares Zeichen nach außen, dass ein Produkt die Sicherheitsanforderungen nach CRA erfüllt, soll mittels der CE-Kennzeichnung erfolgen. Die Verantwortung zur Überprüfung der Einhaltung liegt auf der Ebene der Mitgliedsstaaten.
Nach der finalen Verabschiedung durch das EU-Parlament soll es eine 24-monatige Übergangsfrist geben, damit sich Unternehmen auf die Anforderungen einstellen können. D.h. nicht nur die formalen Anforderungen zu erfüllen, sondern auch entsprechende Abläufe und insbesondere Verständnis und Motivation für die Regelungen im Unternehmen zu schaffen. Auch hier wird es wichtig sein, die Beschäftigten mitzunehmen, in dem die Notwendigkeit und Sinnhaftigkeit für das eigenen Unternehmen verständlich vermittelt wird. Ein weiterer Fall für die Weiterbildungsplattform „KMU. Einfach Sicher.“
Wir bleiben bei dem Thema am Ball und werden unseren Beitrag mit der Plattform „KMU. Einfach Sicher.“ für eine sinnvolle und zielführende Umsetzung des CRA leisten.
Michael Kemkes
Technologienetzwerk InnoZent OWL e.V.