Robotik und Steuerungstechnik
Ein Blumenstrauß inkonsistenter Cyber-Security-Vorschriften
Herangehensweise zur Umsetzung
Gerade waren alle noch in emotionalen Höhenflügen auf der Messe „automatica“, wo sie stolz ihre technischen Neuheiten vorstellten. Es ging um neue Produkte oder die Integration innovativer Techniken. Das war spannend.
Weniger spannend rollt nun die Welle der Cyber-Security-Regulatorik aus Brüssel auf die Unternehmen zu. Die Umsetzung raubt Zeit und Geld. Schließlich geht es nicht um ein oder zwei Gesetze, sondern um einen ganzen Blumenstrauß.
Was tun?
Die für Robotik und Steuerungstechnik wichtigsten neuen Regularien
Mit dem
- Cyber-Resilienc-Act (Entwurf) (CRA-E), der
- KI-Verordnung (Entwurf) (KI-VO-E) und der
- delegierten Verordnung zur Radio-Equipment-Directive (RED) (RED-VO)
sind nur die prominentesten der für kommunizierende, KI-gestützte Roboter oder Steuerungen relevanten, nicht konsistenten und doppelt regulierenden Normen benannt.
Der CRA-E führt grundlegende Cybersicherheitsanforderungen an die Gestaltung, Entwicklung und Herstellung von Produkten mit digitalen Elementen oder Verbindung zum Internet ein. Nach der KI-VO-E sollen Anbieter von Hochrisiko-KI-Systemen ein den Risiken angemessenes Cybersicherheitsniveau gewährleisten und die RED-VO stellt klar, dass bestimmte „grundlegende Anforderungen“ zur Informationssicherheit und zum Schutz personenbezogener Daten ab dem 01.08.2024 auch für unmittelbar oder mittelbar mit dem Internet verbundene Funkanlagen gelten. Wer Adressat der bis zum 17.10.2024 in deutsches Recht umzusetzenden NIS-2-Richtlinie ist, darf sich auf weitere Herausforderungen einstellen.
Die Anforderungen zielen nicht nur auf die Produkte selbst. Neue Prozesse und Dokumentationspflichten sind zu etablieren, Meldepflichten sind zu beachten.
Drohende Sanktionen
Ignorieren kommt nicht in Betracht. Es drohen
- Marktzugangsbeschränkung oder -untersagung und Produktrückrufe,
- empfindliche Bußgelder (allein der CRA-E sieht bis zu 15.000.000 Euro oder bis zu 2,5% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor),
- Gewährleistungs- und Produkthaftungsansprüche.
Erstellen einer Compliance-Matrix
Entscheidend ist, aus all den Gesetzen und Normen einen
aggregierten Cyber-Security-Anforderungs- und Maßnahmenkatalog
für das jeweilige Produkt zu erstellen, der mit einmaliger Umsetzung auf alle relevanten Vorgaben einzahlt. Wird der Katalog gepflegt und die Effektivität der Umsetzungsmaßnahmen überwacht, entsteht mit moderatem Aufwand ein die Cybersicherheit betreffendes „Produkt-Compliance-Management-System“.
Interdisziplinäre Aufgabe
Bei der Erstellung und Pflege des Katalogs ist interdisziplinäres Arbeiten von Ingenieuren, Risikomanagern und Rechtsanwälten geboten.
Verordnungen und Richtlinien zeigen den Wirtschaftsakteuren jeweils in Bezug auf bestimmte rechtliche Probleme die gesellschaftlich und politisch akzeptierten Grenzen des technisch Möglichen auf. Sie repräsentieren damit unsere Werteordnung, die von der anderer Rechtsordnungen durchaus abweicht.
Verliert man bei den Maßnahmen zur Umsetzung das Ziel der Normen aus dem Blick, können die Umsetzungsmaßnahmen die Anforderungen verfehlen. Die Folge kann mangelnde Konformität oder überschießender Aufwand sein.
Beides ist keine Option.
Zu den Gesetzestexten:
KI-VO (E):
Vorschlag der Kommission: https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0019.02/DOC_1&format=PDF
Nachdem am 14.07.2023 nun auch das Europäische Parlament (EP) seine finale Position veröffentlich hat, ist der Wege frei für die Verhandlungen mit der EU-Kommission und dem EU-Rat, dem so genannten „Trilog“. Wenn diese sich geeinigt haben, wird auch die Umsetzungsfrist bekannt.
CRA (E):
Vorschlag der Kommission: https://eur-lex.europa.eu/resource.html?uri=cellar:864f472b-34e9-11ed-9c68-01aa75ed71a1.0020.02/DOC_1&format=PDF
Auch hier entscheidet sich die Umsetzungsfrist im Trilog, der unmittelbar bevorsteht.
RED-VO (In Kraft – die Entwicklung von entsprechenden Standards ist von der EU-Kommission in Auftrag gegeben):
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022R0030
Umzusetzen bis: 01.08.2024
NIS-2-RiLi (In Kraft):
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555
Umzusetzen bis: 18.10.2024
Weitere Produkt-Design-Pflichten
Siehe zu Produkt-Design-Pflichten aufgrund der „Datenteilungspflichten“ nach dem Data-Act (E) auch: https://trenchant-legal.de/der-eu-data-act-und-die-folgen-fuer-das-design-von-iot-produkten/