EU-Vorschläge zu Cybersecurity für Industriegüter nicht praktikabel

| Redakteur: Gerd Kucera

Naemi Denz ist Mitglied der VDMA-Hauptgeschäftsführung in Frankfurt.
Naemi Denz ist Mitglied der VDMA-Hauptgeschäftsführung in Frankfurt. (Bild: Tristan Ršsler l Fotograf Frankfurt)

„Der Vorschlag zum europäischen Cybersecurity Act geht an den Bedürfnissen der Investitionsgüter- Industrie vorbei. Das kann sich Europa nicht leisten, denn Industrie 4.0 ist die Produktion von morgen.“

Die TOP-10-Bedrohungen in der IT in der Produktion des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 2016 zeigt, dass zielgerichtete und nicht-zielgerichtete Cyberangriffe auf Produktionsanlagen zunehmen. In der TOP-Liste finden sich Probleme wie Infektion über Internet oder Intranet, Einbruch über Fernwartungszugänge oder auch über internetverbundene Steuerungskomponenten. Die Liste zeigt, die vernetzte Fabrik kann ohne Cybersicherheit nicht funktionieren.

Politik und Bürger scheinen bei Cybersecurity allerdings in erster Linie an den Schutz von personenbezogenen Daten zu denken, denn geschützt werden müssen auch Kreditkartendaten und Mobiltelefone. Das ist sicherlich richtig. Aber der Vorschlag zum europäischen Cybersecurity Act zeigt deutlich, dass Ansätze für den Business-to-Customer-Bereich nicht für Business-to-Business passen. Cybersicherheit in komplexen verfahrenstechnischen Anlagen und ähnlichem hat andere Anforderungen als für private Mobiltelefone.

Der VDMA e.V. als Sprachrohr des europäischen Maschinen- und Anlagenbaus kritisiert vor allem, dass die exportorientierte Investitionsgüterindustrie ein international anschlussfähiges Cybersecurity-System braucht. Der Vorschlag wird dem nicht gerecht, denn er sorgt in erster Linie dafür, dass bisherige nationale Ansätze zu einem europäischen Rahmen werden. In vielen Mitgliedstaaten der EU sind nationale Behörden – wie das BSI oder ANSSI – damit betraut, produktbezogene Cybersecurity-Anforderungen zu formulieren und diese im Anschluss selbst zu zertifizieren. Investitionsgüter werden normalerweise nach europäisch einheitlichen Produktanforderungen und nicht nach nationalen in Verkehr gebracht.

Der Cybersecurity Act muss also erstens eine echte Binnenmarktvorschrift werden, der auf einem europäischen Ansatz bei der Definition der Produktanforderungen fußt. Eine Europäisierung von nationalen Anforderungen ist sicherlich kein Erfolgsrezept. Im Ergebnis müssen überprüfbare europaweite Produktanforderungen entstehen. Zum Zweiten sind behördlich getriebene Produktanforderungen nicht international anschlussfähig. Aus diesem Grund sollte sich die EU der guten Rechtsetzungspraxis erinnern und einen Regelungsansatz wählen, der im Gesetzestext nur die grundlegenden Anforderungen definiert und bei dem die tatsächlich betroffenen Stakeholder die produktbezogenen Details in europäischen und internationalen Normungsdokumenten formulieren.

Die Produktvielfalt ist mannigfaltig und nur die entsprechenden Produktexperten können wichtige Details beurteilen. Ganz nach dem Grundsatz: eine Anforderung mit weltweiter Gültigkeit. Zum Dritten gibt es rechtlich gesehen ohnehin nur einen Verantwortlichen für die Rechtskonformität eines Produktes und das ist der Hersteller. Dieser Verantwortung wird er in der Regel auch gerecht. Deshalb ist es aus Sicht des VDMA ausreichend, wenn der Hersteller die Konformität selbst erklärt. Nur in begründeten Fällen – wie kritische Infrastrukturen oder sonstige besondere Gefährdungen – sollten Dritte im Rahmen einer Zertifizierung hinzugezogen werden. Was bei der klassischen Safety funktioniert, geht auch bei Security.

Im Übrigen: Wer Anforderungen an Produkte und Dienstleistungen formuliert, kann nach internationalem Compliance-Verständnis der Wirtschaft nicht zusätzlich prüfen und zertifizieren oder gar akkreditieren. Denn dann definiert der Zertifizierer im Vorfeld sein eigenes Geschäftsmodell und ist nicht wirklich unabhängig. Auch das spricht gegen ein behördliches Zertifizierungssystem.

Da Industrie 4.0 zur vermehrten Implementierung der Digitalisierung führen wird, steigt auch der Bedarf an Zertifizierungen. Privatwirtschaftliche Zertifizierungsorganisationen werden europäisch auf ihre Kompetenz geprüft. Alleine in Deutschland gibt es über 300 Stellen, die die Kompetenz zur Produktprüfung haben. Die behördlichen Kapazitäten können hier ohnehin nicht mithalten. Und Time-to-market ist ein wichtiges Fundament der Wettbewerbsfähigkeit der europäischen Industrie.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45395958 / Safety & Security)