Die von der GD CNECT in Auftrag gegebene und gemeinsam von der Gemeinsamen Forschungsstelle (JRC) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) durchgeführte Studie bietet eine systematische Zuordnung der bestehenden Cybersicherheitsstandards zu den grundlegenden Anforderungen des Cyber Resilience Act (CRA) der Europäischen Kommission. Der am 15. September 2022 veröffentlichte CRA führt verbindliche Cybersicherheitsverpflichtungen für alle Produkte mit digitalen Elementen ein, die mit einem Gerät oder Netzwerk verbunden werden können, und deckt Hardware, Software und sogar Software-as-a-Service-Lösungen ab, die als Datenfernverarbeitung eingestuft werden. Das Gesetz unterscheidet zwei Arten von Anforderungen: Cybersicherheitsspezifikationen auf Produktebene und Verpflichtungen zum Umgang mit Schwachstellen. Beide sollen durch harmonisierte Normen ausgedrückt werden, die von den europäischen Normungsorganisationen (ESOs) und internationalen Normungsorganisationen (SDOs) entwickelt werden.
Die in dem Bericht angewandte Methodik umfasste eine umfassende Überprüfung des Anhangs I der CRA, Abschnitt 1 (Cybersicherheit von Produkten) und Abschnitt 2 (Umgang mit Sicherheitslücken). Für jede Anforderung identifizierten die Autoren die wichtigsten bestehenden Standards, bewerteten den Umfang der Abdeckung und wiesen auf Lücken hin, in denen die aktuellen Spezifikationen die Absicht der CRA nicht vollständig erfüllen. Die Zuordnung ergab einen detaillierten Katalog von Standards, darunter ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 15408 (Common Criteria), IEC 62443 und andere, sowie deren Anwendbarkeit auf bestimmte Produktkategorien und Lebenszyklusphasen. Die Analyse ergab, dass viele hochrangige Sicherheitskontrollen – wie z.B. eine sichere Standardkonfiguration, Authentifizierung, Verschlüsselung von Daten im Ruhezustand und bei der Übertragung sowie Schutz vor Denial-of-Service-Angriffen – bereits von bestehenden Standards abgedeckt werden, während mehrere CRA-Anforderungen keine direkte Unterstützung durch die Standardisierung haben. Insbesondere der Schwerpunkt des Gesetzes auf der Datenminimierung, der Widerstandsfähigkeit gegen Angriffe in der Lieferkette und den obligatorischen Fristen für die Offenlegung von Schwachstellen wird nur teilweise abgedeckt, was auf die Notwendigkeit neuer oder aktualisierter Spezifikationen hinweist.
Der Bericht enthält auch eine Vorauswahl von Standardisierungsaktivitäten (Anhang 1), die zur Erfüllung der Verpflichtungen der CRA genutzt werden könnten. Diese Vorauswahl identifiziert potenzielle Synergien zwischen den aktuellen ISO/IEC- und IEC-Rahmenwerken und den regulatorischen Zielen der CRA und schlägt Wege für eine schnelle Harmonisierung vor. Obwohl die Studie keine quantitativen Leistungskennzahlen enthält, liefert sie eine qualitative Bewertung der Abdeckungslücken und empfiehlt vorrangige Bereiche für die Standardisierungsarbeit. Die Autoren stellen fest, dass für bestimmte kritische Produktkategorien nicht nur eine Selbstbewertung, sondern auch die Anwendung harmonisierter Normen erforderlich sein wird, und dass für die kritischsten Produkte eine Bewertung durch Dritte obligatorisch sein wird.
Was die Zusammenarbeit betrifft, so war das Projekt eine gemeinsame Anstrengung der GFS, die technisches Fachwissen im Bereich der Risikobewertung im Bereich der Cybersicherheit und der Abbildung der Normung beisteuerte, und der ENISA, die ihre Erfahrung in der Cybersicherheitspolitik der EU und der Koordinierung mit den Interessengruppen der Industrie einbrachte. Die Arbeit wurde von der GD CNECT, insbesondere dem Programm CNECT.H2, finanziert, und die Autoren danken den Kollegen der GD CNECT.H2 für die Durchsicht des Berichts. Der Zeitrahmen der Studie stimmt mit dem Zeitraum nach der Veröffentlichung des CRA-Vorschlags im September 2022 überein. Der Bericht wird wahrscheinlich Ende 2022 oder Anfang 2023 fertiggestellt, um die frühen Phasen des Standardisierungsprozesses zu unterstützen. Diese gemeinsame Anstrengung unterstreicht das Engagement der EU, die regulatorischen Anforderungen mit den bestehenden technischen Standards in Einklang zu bringen und so den Herstellern einen reibungsloseren Übergang zu ermöglichen, um die bevorstehenden Verpflichtungen des Cyber Resilience Act zu erfüllen.