Cyber-Regulierung: CRA und NIS

Rechtliche Unterschiede

Der grundlegende Unterschied ist das Scope: CRA gilt für Produkte mit digitalen Elementen, NIS-2 für Organisationen welche kritische Infrastruktur betreiben und deren Dienstleistungen. CRA ist daher eher eine technische Vorschrift, NIS-2 eher eine organisatorische.

Die gesetzliche Durchsetzung ist auch verschieden, während der CRA direkt in der ganzen EU anwendbar ist, wird/wurde NIS-2 von allen Mitgliedsstaaten in nationales Recht umgesetzt.

Unterschiede in der Implementation für Produktentwicklung

Grundsätzlich können Geräte für Märkte, welche nach NIS-2 reguliert sind, ähnlich oder gleich entwickelt werden wie für den CRA. Dies vor allem angesichts der immer noch fehlenden harmonisierten Normen.

Die CRA fokussiert auf die Sicherheit des Produkts selbst, um das Risiko von Cyberangriffen zu minimieren. Die DSGVO (Datenschutzgrundverordnung) fokussiert auf den Schutz der personenbezogenen Daten, die durch diese Produkte verarbeitet werden.

Ein durch den CRA gesichertes Produkt ist ein starker technischer Hebel, um die Anforderungen der DSGVO zu erfüllen.

Die DIN EN 40000 Reihe ist eine Reihe von technischen Standards, welche erstellt wurden, um zur CRA harmonisiert zu werden. Sie sollen als «horizontale» Normen dienen, d.h generelle Anforderungen für verschiedene Produkte zur Erfüllung der CRA bieten. Dies im Gegensatz zu «vertikalen» Standards, welche für gewisse Produktgruppen (z.B. Spielzeuge, Router) gelten.

Im Moment existieren folgende Standards als Entwurf (prEN):

• prEN 40000-1-1: Cybersicherheitsanforderungen für Produkte mit digitalen Elementen – Teil 1-1: Vokabular
• prEN 40000-1-2: Cybersicherheitsanforderungen für Produkte mit digitalen Elementen – Teil 1-2: Grundsätze für die Cyberresilienz
• prEN 40000-1-3: Cybersicherheitsanforderungen für Produkte mit digitalen Bestandteilen – Teil 1-3: Umgang mit Schwachstellen

Die Normen sind ziemlich praxisnah aufgebaut, mit der Auflistung der benötigten Ausgangsinformationen, den Anforderungen an den Prozess, dessen Ergebnis und den Beurteilungskriterien dieser Ergebnisse.

ETSI EN 303 645 ist ein technischer Standard, welcher den Cyber-Security Anteil der RED (Radio Equipment Directive, auch Funkanlagen-Richtlinie für Geräte mit Funkschnittstellen) und/oder auch den CSA (Cybersecurity Act) in klare technische und prozedurale Anforderungen umsetzen soll, dasselbe könnte die Norm auch für den CRA.

Da aber ETSI EN 303 645 zu keiner der Verordnungen harmonisiert ist, lässt sich aus der Erfüllung des Standards keine Konformitätsvermutung ableiten.

IEC 62443 ist eine Reihe von Standards für die Cybersicherheit von industriellen Automations- und Kontrollsystemen. Innerhalb dieser Produktkategorie haben  zumindest einige der Standards auch «horizontalen» Charakter, d.h. sind  auf viele/alle Produkte anwendbar. Dies sind vor allem:

• IEC 62443-4-1: IT-Sicherheit für industrielle Automatisierungssysteme – Teil 4-1: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung
• IEC 62443-4-2: IT-Sicherheit für industrielle Automatisierungssysteme – Teil 4-2: Technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme

Für diese hat die CENELEC (Europäisches Komitee für Elektrotechnische Normung) je eine Ergänzungsnorm (daher sehr mühsam zu lesen, da immer die Originalnorm mitgelesen werden muss) geschrieben (EN IEC 62443-4-1:2018/prAA:2026 bzw. EN IEC 62443-4-2:2019/prAA:2026), welche die IEC Normen hamonisierungsfähig mit der CRA machen sollten.

Die EU Kommission kann Normen im «Official Journal» als zu gewissen Verordnungen «harmonisiert» ausweisen. Wenn nun ein Produkt die Anforderungen der (harmonisierten) Norm erfüllt, geht die Aufsichtsbehörde davon aus, dass auch die entsprechenden gesetzlichen Anforderungen («essential requirements») des entsprechenden Verordnung erfüllt sind, dies ist die Konformitätsvermutung. Dadurch erleichtern klare Normen die CE-Kennzeichnung erheblich.