Neuer Baustein für Produktsicherheit in der Aufzugsbranche

Digitale Technologien haben den Aufzug grundlegend verändert. Damit steigt jedoch auch die Angriffsfläche für Cyberbedrohungen.

Während früher rein mechanische Sicherheit im Vordergrund stand, gehören heute digitale Risiken wie unzureichende Updates, unsichere Schnittstellen oder schlecht gepflegte Software fest zur Realität. Genau hier setzt der neue EU Cyber Resilience Act (CRA) an – und seine ersten Pflichten greifen bereits in wenigen Monaten.

Von Dr. Johannes Baur und Christian Schultz, LL.M. (King´s College London)

Was ist der CRA – und warum betrifft er die Aufzugsbranche? Der CRA ist ein neues europäisches Produktsicherheitsrecht für die Cybersicherheit von "Produkten mit digitalen Elementen". Dazu gehören sämtliche Hard- und Softwarekomponenten, die vernetzt sind oder Daten verarbeiten. Für Aufzüge bedeutet das: Jede digitale Komponente – von Steuerungen über Türantriebe mit elektronischen Schnittstellen bis hin zu Kommunikationsgateways oder Monitoring-Systemen – kann unter den CRA fallen.

Der CRA schreibt für betroffene Produkte ein Konformitätsbewertungsverfahren vor, wobei die Details von der Risikoklasse des Produkts abhängen. Ein Aufzug als Gesamtprodukt dürfte dabei zwar meist in die Standardkategorie fallen, einzelne digitale Komponenten könnten jedoch als "wichtig" oder "kritisch" eingestuft werden. Hersteller müssen daher künftig genau prüfen, wie ihre digitalen Komponenten einzuordnen sind, und eine entsprechende Konformitätsbewertung durchführen oder durchführen lassen.

Was ist zu tun?

Hersteller sollten jetzt vor allem klären, welche ihrer Produkte überhaupt vom CRA erfasst sind und in welche Risikoklasse einzelne digitale Komponenten fallen. Darauf aufbauend müssen sie eine Cybersicherheits-Risikobewertung erstellen und in die technische Dokumentation integrieren, die über den gesamten Lebenszyklus gepflegt und aufbewahrt wird.

Parallel dazu ist ein funktionierendes Schwachstellenmanagement erforderlich, das die Identifikation, Behandlung und Behebung von Sicherheitslücken sowie die Bereitstellung regelmäßiger Updates sicherstellt. Auch interne Meldewege – sowohl für Behörden als auch für Nutzer – müssen eingerichtet werden, um die künftigen Meldepflichten erfüllen zu können. Schließlich gilt es, je nach Risikoklasse das passende Konformitätsbewertungsverfahren zu wählen und bestehende CE Prozesse um die neuen Anforderungen des CRA zu ergänzen.

Wer die Anforderungen des CRA nicht erfüllt, riskiert Marktüberwachungsmaßnahmen, Verkaufsverbote und verpflichtende Rückrufe. Zudem drohen teils empfindliche Bußgelder, wenn Melde- oder Sicherheitsanforderungen verletzt werden.

Wann geht es los?

Der CRA gilt verbindlich zwar erst ab dem 11. Dezember 2027, allerdings gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle bereits ab dem 11. September 2026. Da eine Vorprüfung für die Betroffenheit und Vorbereitung für die Umsetzung der Pflichten erforderlich ist, sollten Hersteller keine Zeit verlieren und sich schon bald mit den neuen Regeln befassen.

Die Autoren beraten als Rechtsanwalt und Fachanwalt für IT-Recht bei der internationalen Wirtschaftskanzlei Fieldfisher.

CiA zum Cyber Resilience Act

Der Vorstand der gemeinnützigen internationalen Nutzer- und Herstellergemeinschaft CiA (CAN in Automation) hat eine Erklärung zum EU-Cyber Resilience Act (EU CRA) und dessen Auswirkungen auf CAN-Netzwerke (darunter CANopen, die CAN-Kommunikationsplattform für Aufzugssteuerungssysteme) veröffentlicht.

Demnach unterliegen Produkte, die CAN verwenden und auf den EU-Märkten in Verkehr gebracht werden, dem Europäischen Cyber Resilience Act (EU CRA), sofern die relevanten Aspekte der Cybersicherheit nicht durch anwendungsspezifische EU-Rechtsvorschriften abgedeckt sind. In den meisten Fällen könne die erforderliche Risikobewertung eine Selbstbewertung sein, es sei denn, das Produkt werde gemäß der Definition in Anhang III des CRA als kritisch eingestuft, heißt es in der Erklärung weiter.

Die vollständige Erklärung finden Sie (in englischer Sprache) auf der Website des LIFTjournals: lift-journal.de/cra-cia

Weitere Informationen: fieldfisher.com