Presse

2021-02-02

EU Cybersicherheitsregulierung

Es benötigt einen horizontalen europäischen IT-Sicherheitsansatz unter Einbeziehung der Normung.

BDI, DIN und DKE fordern eine konsistente EU-Cybersicherheitsregulierung nach dem Prinzip des New Legislative Framework (NLF), um die internationale Wettbewerbsfähigkeit zu erhalten. Die CE-Kennzeichnung muss auch für Cybersicherheit stehen.

In einem gemeinsamen Positionspapier unter dem Titel „Europaweite Cyberregulierung“ fordern der Bundesverband der deutschen Industrie (BDI) und die nationalen Normungsorganisationen DIN und DKE nachdrücklich die Einführung verpflichtender, horizontaler Cybersicherheits­anforderungen nach den Grundsätzen des New Legislative Framework (NLF) auf europäischer Ebene. Das Prinzip des NLF sieht vor, dass sich der Gesetzgeber in Rechtstexten auf das Formulieren von grundlegenden Anforderungen und Schutzzielen beschränkt und zu deren Konkretisierung auf harmonisierte Europäische Normen (hEN) verweist. Dadurch wird eine flexible Gesetzgebung ermöglicht, die die dynamische Entwicklung des IT-Sektors berücksichtigt und sich am Stand der Technik orientiert.

Dieses Prinzip des NLF hat sich seit mehreren Jahrzehnten bewährt und ist Grundlage einer kontinuierlichen Verbesserungs­dynamik der Produktsicherheit auf dem europäischen Binnenmarkt. In der Normung wird das Wissen aller beteiligten interessierten Kreise zusammengebracht. Die im Konsensprinzip erarbeiteten Dokumente werden regelmäßig überprüft und an den Stand der Technik angepasst. Damit werden sie der komplexen Herausforderung, sichere Lösungen bei internationaler Wettbewerbs- und Anschlussfähigkeit zu erreichen, gerecht. Werden die zu einem europäischen Rechtsakt im EU-Amtsblatt gelisteten harmonisierten Europäischen Normen eingehalten, wird davon ausgegangen, dass die Anforderungen des Rechtsaktes erfüllt werden (Vermutungswirkung). Durch das Zusammenwirken von Normung, Konformitätsbewertung, Zertifizierung und Marktüberwachung im Rahmen des New Legislative Frameworks ist das CE-Kennzeichen Vertrauensanker für private und gewerbliche Kunden gleichermaßen.

Im Rahmen der Cybersicherheitsstrategie hat die Europäische Kommission angekündigt, in der zweiten Jahreshälfte 2021 einen Legislativvorschlag für Cybersicherheitsanforderungen an vernetzbare Produkte vorzulegen. Zudem unterstützt der EU-Ministerrat in seinen Ratsschlussfolgerungen zu Cybersicherheit von vernetzen Geräten vom 2. Dezember 2020 einen solchen regulatorischen Ansatz.

Mit dem gemeinsamen Positionspapier liefern BDI, DIN und DKE mit Blick auf diese Überlegungen einen Vorschlag zur Erweiterung des effektiven und erfolgreichen Schulterschlusses von Staat und Industrie im Bereich Sicherheit auf den digitalen Raum: Die Einführung einer horizontalen EU-Rechtsvorschrift unter dem New Legislativ Framework. Diese muss nicht in Konflikt mit dem bereits bestehenden Cybersecurity Act (CSA) stehen. Vielmehr können und müssen in der Verbindung der beiden Rechtsakte kohärente Cybersicherheitsanforderungen für die erfassten Produkte realisiert werden. Für Produktgruppen, für die basierend auf dem CSA ein freiwilliges Cybersicherheitszertifizierungsschema erarbeitet wurde, könnte dieses wahlweise und alternativ zum Nachweis der Konformität mit den horizontalen Cybersicherheitsanforderungen des NLF-Rechtsaktes genutzt werden. Sollte es Widersprüche in den Anforderungen geben, müsste der NLF-Rechtsakt aber vorrangig gelten. Auch wenn der Hersteller nur über harmonisierte Europäische Normen die Vermutungswirkung unmittelbar nutzen kann, führt nach diesem Modell die Anwendung eines CSA-Schemas als Teil eines Konformitätsbewertungsverfahrens zur Erfüllung des NLF-Rechtsaktes und bietet somit eine ‚Brücke‘ zwischen CSA und NLF-Regulierung.


Ihr Kontakt

DIN e. V.
Herr
Benjamin Helfritz

Am DIN-Platz
Burggrafenstraße 6
10787 Berlin

Zum Kontaktformular