Abbildung zum Thema Cyber Security

(Quelle: fotolia.com / bluebay2014)

Die EU integriert schrittweise Cybersecurity-Anforderungen für Produkte in die Regulierung zur Markteinführung. Die ersten verbindlichen Vorgaben zur Sicherheit von Produkten befinden sich bereits in der Übergangsphase. Diese Übergangsphase betrifft die delegierte Regulierung 2022/30/EU zur Funkgeräterichtlinie (RED) 2014/53/EU Abschnitt 3.(3) (d), (e), (f) und wird nach einer Anpassung in diesem Jahr (Amendment C/2023/4823) am 01. August 2025 abgeschlossen sein. Das bedeutet, dass ab diesem Datum Geräte, die unter diese Regulierung fallen, die erforderlichen Anforderungen erfüllen müssen, um auf dem Markt verkauft werden zu können.

Dies ist das erste Mal, dass zusätzlich zu den üblichen Anforderungen zur Safety nun auch einige Geräte Anforderungen zur Security erfüllen müssen. Dies muss auch in der Selbsterklärung zum CE-Zeichen bestätigt werden. Im ersten Schritt der EU sind nur Geräte betroffen, die in den Scope der RED fallen und eine Internetverbindung haben. Dabei spielt es keine Rolle, wie die Geräte mit dem Internet verbunden werden oder aus welchem Anwendungsbereich sie kommen. So werden unter anderem IoT-Consumer Geräte, Smart-Home.Komponenten aber auch Industriekomponenten von der Regulierung betroffen sein. Da die entsprechenden Standards für diese Anforderungen zurzeit noch entwickelt werden und noch nicht im offiziellen Journal der EU veröffentlicht sind, werden sich Hersteller noch nicht mit einer Eigenerklärung auf diese beziehen können. Die benannte Stelle zur RED innerhalb des VDE Prüf- und Zertifizierungsinstituts hat jedoch eine eigene Prüfbestimmung entwickelt, um die betroffenen Geräte zu prüfen und eine EU-Baumusterprüfbescheinigung auszustellen. Mit diesem Zertifikat ist ein Verkauf von Geräten auch nach dem 01. August 2025 regulär möglich.

In einem weiteren Schritt wird die EU über den „Cyber-Resilience Act“ (CRA) eine weit größere Menge an Geräten und Systemen einschließen, die Anforderungen zur Cybersecurity und zur Meldung von Schwachstellen erfüllen müssen. Dabei werden alle „Produkte mit digitalen Elementen“ betroffen sein. Es wird erwartet, dass der CRA in Q3 2024 in Kraft treten wird und dass nach einer Übergangsphase die ersten Anforderungen bereits 2025 erfüllt werden müssen.

Das VDE Prüf- und Zertifizierungsinstitut hat auf der diesjährigen SPS 2023 Auskunft zu Safety- und Security-Prüfungen sowie zu den zukünftigen Anforderungen der Regulierung gegeben. Am Beispiel einer Industriekomponente wurde die Prüfung zur EU-Baumusterprüfbescheinigung erläutert. Viele Interessenten haben sich über das vollständige Service-Angebot des VDE Prüf- und Zertifizierungsinstituts zur Cybersecurity (z.B. Workshops, Gap-Analysen, Penetrationstests, EU-Baumusterprüfbescheinigung) informiert und einen möglichen Lösungsweg für die Erfüllung der individuellen Security Anforderungen besprochen.

VDE Prüf- und Zertifizierungsinstitut (hz)

Ähnliche Beiträge