Datum 29.11.2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 28. November 2022 eine Veranstaltung mit der Fragestellung „Cyber Resilience Act: Ein Schritt auf dem Weg zu mehr Cyber-Sicherheit in Europa?“ durchgeführt. Vertreterinnen und Vertreter aus der Europäischen Kommission, Wirtschaft, Wissenschaft, Zivilgesellschaft sowie dem BSI haben darüber diskutiert, wie der Diskurs und die Umsetzung des Cyber Resilience Act (CRA) mitgestaltet werden kann.

Mit der Veröffentlichung des CRA plant die Europäische Kommission eine regulatorische Lücke zu schließen. Der CRA formuliert für einen weiten Anwendungsbereich erstmalig verbindliche Cyber-Sicherheitsanforderungen, die den Lebenszyklus von Produkten mit digitalen Elementen umfassend berücksichtigen. Basierend auf dem New Legislative Framework (NLF) werden Produkt- und Herstelleranforderungen für digitale Produkte formuliert, bevor sie auf dem europäischen Binnenmarkt in Verkehr gebracht werden können. Außerdem werden Regeln zur Einhaltung dieser Anforderungen sowie zur Marktüberwachung definiert. Der Cyber Resilience Act betrifft somit Herstellerinnen und Hersteller, Verbraucherinnen und Verbraucher sowie sämtliche Nutzerinnen und Nutzer von Produkten mit digitalen Elementen.

Sandro Amendola, Abteilungsleitung im BSI, eröffnete die Veranstaltung. Im Anschluss stellte Maika Föhrenbach, Europäische Kommission, den Entwurf des Cyber Resilience Acts vor. Lars Bartsch und Anna Schwendicke, Referatsleitungen im BSI, gaben einen kurzen Überblick über den digitalen Verbraucherschutz im CRA und die Software Bill of Materials (SBOM) in der Marktüberwachung. Prof. Dr. Marian Margraf, Freie Universität Berlin, führte abschließend durch ein Panel zum Veranstaltungsthema.

Die Teilnehmenden der Diskussionsrunde (Dr. Dennis Kügler, BSI, Benjamin Helfritz, Deutsches Institut für Normung (DIN), Marcel Hug, Verband der Elektro- und Digitalindustrie (ZVEI), und Benjamin Bögel, Europäische Kommission) waren sich einig, dass der Cyber Resilience Act und die darin definierten Cyber-Sicherheitsanforderungen notwendig sind.

Nichtsdestotrotz war allen Teilnehmenden bewusst, dass offene Fragen zur Einführung des CRAs noch beantwortet werden müssen. Vor diesem Hintergrund tauschten sich die Teilnehmenden u.a. über die Schnelligkeit bei der Entwicklung von Standards sowie den Ausbau von benötigten technischen Kompetenzen aus.