CECE: „EU ignoriert Warnungen der Industrie hinsichtlich der Komplexität der Maschinenarchitektur“

Komitee für europäische Baumaschinen (CECE)

Die Einigung auf den endgültigen Text wurde in Rekordzeit erzielt, trotz der Warnungen der Industrie, man müsse eine Überstürztung dieser wichtigen Gesetzgebung vermeiden.

Dabei werden die Forderungen der Hersteller langlebiger Produkte nach einem angemessenen Umsetzungszeitraum nicht berücksichtigt.

Als Vertreter der europäischen Baumaschinenindustrie kritisiert der CECE scharf, dass diesem Thema so wenig Aufmerksamkeit geschenkt wird.

Als weltweit erstes Gesetz dieser Art wird das CRA nach Inkrafttreten eine Reihe von Sicherheitsanforderungen für vernetzte Produkte einführen, die von intelligenten Spielzeugen bis hin zu Industriemaschinen reichen.

Mit seinem sehr breiten Anwendungsbereich, der alle auf dem Markt bereitgestellten Produkte mit digitalen Elementen (sowohl Hardware als auch Software, mit Ausnahme von Ersatzteilen) abdeckt, die sich entweder mit einem Gerät oder einem Netzwerk verbinden lassen, wird das CRA den Herstellern während des gesamten Produktlebenszyklus neue Pflichten auferlegen, angefangen bei der Konzeption und Entwicklung bis hin zur Markteinführung in der EU.

Produkte mit digitalen Elementen, die in den Geltungsbereich des CRA fallen, werden anhand eines risikobasierten Ansatzes entweder als Standard, wichtig oder kritisch eingestuft.

Hersteller müssen daher eine Konformitätsbewertung auf Grundlage des ihnen zugewiesenen Sicherheitsrisikos durchführen.

Mit anderen Worten: Unterschiedliche Produktklassifizierungen erfordern unterschiedliche Verfahren zur Konformitätsbewertung.

Dabei ist jedoch zu beachten, dass die Integration kritischer Produkte nicht automatisch dazu führt, dass das integrierte Produkt demselben Konformitätsbewertungsverfahren unterliegt.

Der Support-Perioden-Ansatz

Das neue Gesetz zur Cybersicherheit für vernetzte Produkte ist für die CECE-Mitglieder von höchster Priorität, da es nach seiner Umsetzung erhebliche Auswirkungen haben wird.

Ab Mitte 2027 müssen Baumaschinenhersteller eine Reihe grundlegender Sicherheitsanforderungen erfüllen, wenn sie Produkte mit digitalen Elementen auf den Markt bringen.

Darüber hinaus folgen die Verpflichtungen im Zusammenhang mit der Behebung von Sicherheitslücken dem Ansatz des „Supportzeitraums“, der sich nun auf die Zeit bezieht, in der ein Produkt voraussichtlich verwendet wird (voraussichtliche Nutzungsdauer statt erwarteter Lebensdauer) und die Erwartungen der Benutzer und die Art des Produkts widerspiegelt.

Ein positiver Aspekt ist, dass die Hersteller bei der Festlegung der Supportdauer auch andere Elemente, wie zum Beispiel Supportzeiträume von integrierten Komponenten (Kernfunktionen), die von Drittanbietern bezogen werden, in einer Weise berücksichtigen können, die die Verhältnismäßigkeit gewährleistet.

Der Mindestzeitraum für den Support beträgt fünf Jahre und alle dem Benutzer zur Verfügung gestellten Sicherheitsupdates müssen mindestens zehn Jahre lang oder für den Rest des Supportzeitraums (je nachdem, welcher Zeitraum länger ist) verfügbar bleiben.

Wie geht es weiter?

Der Text der im Trilog erzielten vorläufigen politischen Einigung muss vom Parlament und vom Rat formal gebilligt werden.

Anschließend wird der Text im Amtsblatt der EU veröffentlicht (Veröffentlichung voraussichtlich Mitte 2024) und tritt am 20. Tag nach seiner Veröffentlichung in Kraft.

Die Übergangsfrist bis zum Inkrafttreten des CRA wurde geringfügig, nämlich lediglich um 12 Monate, verlängert.

Die neuen Cybersicherheitsregeln für vernetzte Produkte gelten somit 36 Monate bzw. 3 Jahre nach Inkrafttreten der neuen Verordnung.

Dies gibt den Herstellern von Baumaschinen nur einen sehr begrenzten Zeitrahmen (bis Mitte 2027), um die neuen Anforderungen an die Cybersicherheit zu erfüllen.

Dieser kurze Zeitrahmen berücksichtigt weder die Warnungen der Industrie noch die Komplexität der Maschinenprodukte, die nun erhebliche Änderungen der gesamten Maschinenarchitektur erfordern.