Die EU muss nachbessern
Eine wichtige Voraussetzung für den Erfolg von Industrie 4.0 ist es, digitale Systeme und Infrastruktur vor Angriffen zu schützen. Positiv sieht der Maschinenbau daher das Ziel der EU, die IT-Sicherheit von Produkten international vergleichbar zu machen. Kaum geeignet sind dafür allerdings die Vorschläge der EU-Kommission zu gemeinsamen Regeln für Cybersecurity-Zertifikate („Cybersecurity Certification Framework“). Der VDMA ruft daher das EU-Parlament dringend dazu auf, die Vorschläge grundlegend an die Bedürfnisse von Industrieunternehmen anzupassen.
Deutliche Kritik übt der Verband Deutscher Maschinen- und Anlagenbau an der Idee, eine verpflichtende Drittzertifizierung für Cybersecurity einzuführen. „Datenströme enden nicht an Landesgrenzen, deswegen muss Europa bei der IT-Sicherheit zusammenarbeiten“, kommentiert Naemi Denz, Mitglied der Hauptgeschäftsführung des VDMA. Leider seien die entsprechenden Vorschläge der EU-Kommission zwar gut gemeint, gingen aber an den Erwartungen der Industrie vorbei. Durch die Digitalisierung würden sich Produkte und Geschäftsmodelle verändern. Ein politischer Rahmen für Cybersecurity könne dabei nur mithalten, wenn Anforderungen der Industrie im Fokus stünden. Das gelte vor allem für B2B-Produkte des Maschinenbaus, die oft individuell gefertigt würden und an die einzelne Kunden ganz unterschiedliche Erwartungen hätten.
So kritisiert der VDMA, dass der Vorschlag der Kommission zur Cybersecurity-Zertifizierung der Industrie nicht genug Raum zur Mitsprache lässt, sondern vor allem auf starre Stufen und Eingriffe durch Behörden setzt. Der Verband plädiert dafür, im Sinne des New Legislative Framework zwar allgemeine Vorgaben zu machen, die Umsetzung aber den Unternehmen und Standardisierungsgremien zu überlassen. Dadurch würden sich Standards auch nicht nur in Europa, sondern weltweit einheitlich entwickeln.
Weltweit einheitliche Standards
Entschieden tritt der VDMA gegen eine verbindliche Drittzertifizierung ein. Solche Labels verursachen im Mittelstand erhebliche Kosten, bieten aber keinen Mehrwert gegenüber der Selbsterklärung durch das CE-Kennzeichen. Zudem können diese nicht die Dynamik abbilden, mit denen sich Bedrohungen und Angriffe weiterentwickeln. Derzeit diskutiert das EU-Parlament mögliche Änderungsanträge zum Cybersecurity Act. Die Position des Maschinenbaus hat der VDMA in dem aktuellen Papier „Cybersecurity – Eine umfassende strategische Aufgabe für Europa“ eingebracht. (ig)