In der praktischen Umsetzung müssen Hersteller für ihre Produkte je nach Einordnung in Klasse I oder II eine EU-Konformitätserklärung ausstellen oder eine Zertifizierung durch eine dritte Partei durchführen lassen, sowie eine CE Kennzeichnung auf dem Produkt aufbringen. In jedem Fall müssen die essenziellen Anforderungen in Annex I eingehalten werden und es bestehen konkrete Anforderungen an das Design, die Entwicklung und an den Fertigungsprozess.
Mit diesem Entwurf sollen aktuell existierende Lücken geschlossen werden, da die Cybersicherheit der gesamten Lieferkette nur gewährleistet ist, wenn alle ihre Komponenten entsprechend sicher sind. Die vorhergehenden EU-Rechtsvorschriften (NIS2, Cyber Security Act) weisen in dieser Hinsicht jedoch erhebliche Lücken auf, da sie keine verbindlichen Anforderungen an die Sicherheit von Produkten mit digitalen Elementen enthalten.
ENISA (European Union Agency for Cybersecurity) wird als zuständige Behörde für die Umsetzung dieser Verordnung agieren.
Produkte die ausgenommen sind, weil sie bereits durch andere Richtlinien vollumfänglich abgedeckt sind:
- Regulation (EU) 2017/745 - verschiedene Medizinprodukte für Menschen
- Regulation (EU) 2017/746 - verschiedene Produkte im Zusammenhang mit in vitro Diagnostik
- (EU) 2019/2144 - Kraftfahrzeuge und Kraftfahrzeuganhänger und Systeme, Bauteile und selbstständige technische Einheiten für diese Fahrzeuge, die der Typgenehmigung unterliegen.
Annex III definiert die beiden Klassen I und II (Klasse der „kritischen Produkte mit digitalen Elementen"); wobei Klasse II Produkte mit höherem Risiko beinhaltet. Diese unterliegen einer Zertifizierung durch eine dritte Partei.
Beispiele eines Klasse I Produkts:
- Passwortmanager
- Standalone und embedded Browser
- Netzwerkmanagementsysteme
- Fernzugangssoftware
- Mikroprozessoren
- Router, Modems, Switches
- Industrielle Automatisierungs- und Kontrollsysteme
- Industrielle IoT Produkte
Beispiele eines Klasse II Produkts:
- Operationssysteme für Server, Desktops, Handys
- Firewalls
- Smartcards und Smartcard reader
- Bestimmte industrielle IoT Produkte
- Intelligente Zähler
Hersteller betroffener Produkte sollten sich bereits jetzt mit den Grundlagen auseinandersetzen. Zunächst sollte eine Identifikation der betroffenen Produkte vorgenommen und relevante Akteure informiert werden. Wenn es zur Verabschiedung kommt, raten wir zu einer schnellen Umsetzung, denn als Folgen der Nichteinhaltung können Rückrufaktionen oder Bußgelder in Millionenhöhe veranlasst werden.
