Damit gehe die EU-Kommission die notwendige Aufgabe an, Produktanforderungen an Cybersicherheit zu vereinheitlichen und das Resilienzniveau in der EU anzuheben. Diese Regulierung werde alle digitalen Produkte im europäischen Binnenmarkt betreffen. Auch wenn es die Unternehmen vor enorme Herausforderungen stelle, brauche der europäische Binnenmarkt ein solches harmonisiertes Level-Playing-Field in der Cybersicherheit, so Wolfgang Weber, Vorsitzender der ZVEI-Geschäftsführung. Der vorgelegte Entwurf sei ein wichtiger Schritt.

Kritisch sieht der ZVEI allerdings die weitgefasste Definition bei sogenannten „critical products“ und „highly critical products“, zu denen beispielsweise auch Mikrocontroller, industrielle Automatisierungs- und Steuerungssysteme oder Teile des Industrial Internet of Things gezählt werden, auch wenn sie in keinem kritischen Kontext verwendet werden. Wenn Unternehmen solche oder darauf aufbauende Produkte auf Basis dieser Einteilung nur erschwert auf den Markt bringen können, werde es zu großen Verzögerungen in der EU beim Einsatz digitaler Produkte und Komponenten kommen, so Wolfgang Weber. Statt reine Hochrisikolisten zu führen, müsse deshalb das Konzept des vorgesehenen Verwendungszwecks im Vordergrund stehen. Zudem müssen Hersteller digitaler Produkte und Komponenten bei der Zuweisung der Kritikalität essenziell eingebunden werden, da sie potenzielle Sicherheitsrisiken am besten beurteilen und entsprechende Maßnahmen einleiten können.

Positiv bewertet der Verband der Elektro- und Digitalindustrie, dass der Regulierungsentwurf den Prinzipien des New Legislative Framework (NLF) folgt. Diese Vorgehensweise knüpfe unmittelbar an etablierte Prozesse in den Unternehmen, unter anderem zur Konformitätsbewertung, an und stärke die Rolle der europäischen Normung, so Wolfgang Weber. Allerdings sei die vorgesehene Übergangsfrist von 24 Monaten zur Umsetzung solcher Maßnahmen deutlich zu kurz und müsse verlängert werden. Die akuten Schwierigkeiten bei der Anwendung der Medical Device Regulation zeigten, wie viel Zeit nötig ist, um alle Produkte bis zum Stichtag einer umfangreichen Konformitätsbewertung zu unterziehen. Die Europäische Kommission sollte hier deshalb längere Fristen setzen, damit harmonisierte Normen rechtzeitig gelistet und eine ausreichende Zahl an Drittstellen zur Konformitätsbewertung benannt werden kann.

Der Verband setzt sich bereits seit Jahren aktiv für eine horizontale Regulierung ein, die die Cybersicherheitsanforderungen für Produkte adressiert. Vom Hersteller bis zum Anwender müssen alle Beteiligten im Wertschöpfungsnetzwerk zusammenarbeiten und ihren Teil erfüllen, um ein hohes Niveau an Cyberresilienz zu erreichen. Dafür müssen die Anforderungen an die einzelnen Beteiligten, insbesondere für Hersteller von Hard- und Software, im Lebenszyklus auch künftig klar abgrenzbar bleiben.