Abbildung zum Thema Cyber Security

(Quelle: fotolia.com / bluebay2014)

Die EU führt schrittweise Cybersecurity-Regularien für die Markteinführung von Produkten ein. Die ersten verpflichtenden Anforderungen zur Security für Produkte befinden sich bereits in der Übergangsphase. Diese Übergangsphase für die delegierte Regulierung 2022/30/EU zur Funkgeräterichtlinie (RED) 2014/53/EU 3.(3) (d), (e), (f) wird nach einer Anpassung (Amendment C/2023/4823) am 01. August 2025 enden. Das bedeutet, dass Geräte, die in diese Regulierung fallen, ab diesem Datum die geforderten Anforderungen erfüllen müssen, wenn sie in den Markt gebracht (umgangssprachlich „verkauft“) werden.

Dies ist das erste Mal, dass zusätzlich zu den üblichen Anforderungen zur Safety nun auch einige Geräte-Anforderungen zur Security erfüllen müssen. Dies muss auch in der Selbsterklärung zum CE-Zeichen bestätigt werden. In diesem ersten Schritt der EU sind nur Geräte betroffen, die in den Scope der RED fallen und eine Internetverbindung haben. Dabei spielt es keine Rolle, wie die Geräte mit dem Internet verbunden werden oder aus welchem Anwendungsbereich sie kommen. So werden u.a. IoT-Consumer Geräte, Smart Home Geräte, aber auch Industriekomponenten von der Regulierung betroffen sein. Es wurden neue Standards für diese Anforderungen entwickelt und für diese auch von den Gremien der EU-Mitgliedsstaaten positiv abgestimmt. Allerdings hat sich der von der EU-Kommission beauftragte HAS Consultant (Harmonized Standard Consultant) gegen eine Zitierung im offiziellen Journal der EU ausgesprochen. Daher werden sich Hersteller nicht mit einer Eigenerklärung auf diese Standards beziehen können. Die benannte Stelle zur RED innerhalb des VDE Prüf- und Zertifizierungsinstituts ist aber in der Lage, die betroffenen Geräte zu prüfen und eine EU-Baumusterprüfbescheinigung auszustellen. Mit diesem Zertifikat ist ein Verkauf von Geräten auch nach dem 01. August 2025 regulär möglich.

In einem weiteren Schritt wird die EU über den „Cyber-Resilience Act“ (CRA) eine weit größere Menge an Geräten und Systemen einschließen, die Anforderungen zur Cybersecurity und zur Meldung von Schwachstellen erfüllen müssen. Dabei werden alle „Produkte mit digitalen Elementen“ betroffen sein. Es wird erwartet, dass der CRA in Q4 2024 in Kraft treten wird und dass nach einer Übergangsphase die ersten Anforderungen bereits 2026 erfüllt werden müssen.

Auf dem Stand 5/257 geben Experten  des VDE Prüf- und Zertifizierungsinstituts Auskunft zu Safety- und Security-Prüfungen und zu den zukünftigen Anforderungen der Regulierung. Außerdem wird an einem Ausstellungsstück die Prüfung zur EU-Baumusterprüfbescheinigung an einer Industriekomponente erläutert werden. So kann vor Ort das vollständige Service-Angebot des VDE Prüf- und Zertifizierungsinstituts zur Cybersecurity (z.B. Workshops, Gap-Analysen, Penetrationstests, EU-Baumusterprüfbescheinigung) diskutiert und ein möglicher Lösungsweg für die Erfüllung der individuellen Security Anforderungen gemeinsam besprochen werden.

Am Mittwoch, 13. November 2024 um 15:40 Uhr in Halle 8 der SPS in Nürnberg stellt der Technical Expert Alexander Matheus wichtige Informationen im Vortragsforum zur Verfügung und steht für Fragen bereit.

VDE Prüf- und Zertifizierungsinstitut (hz)

Ähnliche Beiträge