Konsistente Cyber-Regulierung für Europa by Bundesverband der Deutschen Industrie e.V.

POSITION | CYBERSICHERHEIT | GESETZGEBUNG

Konsistente Cyber-Regulierung für Europa 5 Forderungen der deutschen Industrie

Oktober 2019 Executive Summary Die deutsche und europäische Industrie ist bestrebt, risikoadäquat cyberresiliente Produkte, Prozesse 23. Oktober 2017 und Dienstleistungen anzubieten. Gleichzeitig gilt jedoch: Einhundertprozentige Cybersicherheit kann nicht erreicht, geschweige denn garantiert werden, da sich Angriffsvektoren ständig wandeln, neue Schwachstellen identifiziert werden und menschliches Fehlverhalten niemals völlig vermeidbar ist. Umso wichtiger ist es für Unternehmen, dass ihre Bemühungen zur Stärkung der Cyberresilienz nicht durch inkonsistente Regulierungen, nationale Alleingänge oder einseitige Anforderungen konterkariert werden. Da auf Produkte regelmäßig mehr als eine Vorschrift anzuwenden ist, sind insbesondere widerspruchsfreie und kohärente Anforderungen essenziell für den Erhalt der internationalen Wettbewerbsfähigkeit der Unternehmen. Anforderungen der deutschen Industrie an eine konsistente Cyber-Regulierung für Europa Vor dem Hintergrund einer zunehmenden Fragmentierung der gesetzlichen Anforderungen an Cybersicherheit für Produkte und Dienstleistungen bei gleichzeitig steigendem Bedarf, die Cyberresilienz von Produkten, Prozessen, Dienstleistungen und Systemen zu stärken, spricht sich die deutsche Industrie für folgende fünf Prinzipien aus, die bei aktuellen und anstehenden Gesetzesvorhaben im Bereich der Cybersicherheit sowohl durch die EU als auch durch nationale Regierungen berücksichtigt werden sollten: 1. Kohärente gesetzliche Anforderungen zur Stärkung der Cyberresilienz Europas sicherstellen und gleichzeitig Wettbewerbsnachteile für europäische Unternehmen vermeiden 2. Europäische Vorgaben nationalen Alleingängen vorziehen, um den Erfolg des Europäischen Binnenmarktes nicht zu gefährden 3. Risikobasierten Ansatz wählen, um einen angemessenen und wirksamen Schutz sicherzustellen 4. Europäische Normungsarbeit nach den Prinzipien des New Legislative Framework (NLF) aktiv einbinden 5. Alle Beteiligten – vom Hard- und Software-Hersteller bis zu gewerblichen Betreibern und Privatanwendern – aktiv und ganzheitlich in die Stärkung der Cyberresilienz einbeziehen

Dr. Thomas Koenen und Steven Heckler | Digitalisierung und Innovation Dr. Thomas Holtmann und Bernd Wittenbrink | Umwelt, Technik und Nachhaltigkeit

Konsistente Cyber-Regulierung für Europa

Inhaltsverzeichnis Cybersicherheit ist die Grundvoraussetzung für eine erfolgreiche digitale Transformation ..... 2 Anforderungen der deutschen Industrie an eine zukunftsweisende europäische Cyberregulierung ................................................................................................................................ 4 1.

Kohärente gesetzliche Anforderungen zur Stärkung der Cyberresilienz Europas sicherstellen und gleichzeitig Wettbewerbsnachteile für europäische Unternehmen vermeiden ...................... 4

Europäische Vorgaben nationalen Alleingängen vorziehen, um den Erfolg des Europäischen Binnenmarktes nicht zu gefährden ................................................................................................ 5

Risikobasierten Ansatz wählen, um einen angemessenen und wirksamen Schutz sicherzustellen ............................................................................................................................... 5

Europäische Normungsarbeit nach den Prinzipien des New Legislative Framework aktiv einbinden ....................................................................................................................................... 5

Alle Beteiligten – vom Hard- und Software-Hersteller bis zu gewerblichen Betreibern und Privatanwendern – aktiv und ganzheitlich in die Stärkung der Cyberresilienz einbeziehen ......... 6

Impressum ........................................................................................................................................... 7

Konsistente Cyber-Regulierung für Europa

Cybersicherheit ist die Grundvoraussetzung für eine erfolgreiche digitale Transformation Smart Home, Smart Mobility und Industrie 4.0: vom Alltag über die Mobilität bis hin zur Produktion in Fabriken werden Lebensbereiche zunehmend smarter, also digitaler und damit vernetzter. Nach aktuellen Schätzungen wird bis ins Jahr 2030 die weltweite Anzahl vernetzter Objekte voraussichtlich auf 125 Milliarden ansteigen – zum Vergleich: im Jahr 2017 waren es noch 27 Milliarden.1 Bereits im Jahr 2022 wird jeder Deutsche circa 9,7 vernetzte Geräte besitzen. 2 Durch die voranschreitende Verbreitung digitaler Technologien entstehen mannigfaltige neue Chancen – für private wie gewerbliche Nutzergruppen. Andererseits ergeben sich mit der Digitalisierung auch zahlreiche Herausforderungen hinsichtlich Safety und Security sowie Privacy, die zusätzliche Risiken für Gesundheit, Leben, Umwelt, Wirtschaft und die öffentliche Sicherheit bedeuten können. Diesen Risiken kann mit zielgerichteten technischen, regulatorischen und verhaltensbezogenen Maßnahmen (beispielsweise Security-by-Design) entgegengetreten werden. Durch die gezielte Anwendung des Standes der Technik bei den Maßnahmen zur Stärkung der Widerstandsfähigkeit bewegen sich die verbleibenden Restrisiken in einem vertretbaren Rahmen. Fakt ist: Die deutsche Industrie investiert bereits heute in die Cybersicherheit von Produkten, Prozessen, Personen und Dienstleistungen. Fakt ist aber auch: Einhundertprozentige Cybersicherheit kann nicht erreicht, geschweige denn garantiert werden, da sich Angriffsvektoren ständig wandeln, neu entdeckte Schwachstellen identifiziert werden und menschliches Fehlverhalten niemals völlig vermeidbar ist. Umso wichtiger ist es aus Sicht der deutschen Industrie, dass die Bestrebungen von Unternehmen, ein hohes Niveau an Cyberresilienz durch effiziente und risikoadäquate Maßnahmen zu erzielen und zu wahren, durch kohärente und risikobasierte europäische Regulierungsansätze unterstützt werden. Für das störungsfreie Funktionieren von in hohem Maße digitalisierten Prozessen, vernetzbaren Produkten und Dienstleistungen ist ein hoher Grad an Cyberresilienz eine Grundvoraussetzung. Denn sowohl im Privaten wie in der Industrie sind die durch Cybersicherheitsvorfälle verursachten Schäden enorm. Aktuelle Schätzungen gehen davon aus, dass sich 2021 die weltweit durch Cyberkriminalität und staatlich motivierte Cyber-Attacken verursachten jährlichen Kosten auf sechs Billionen US-Dollar belaufen werden. Dies wäre eine Verdopplung der für 2015 geschätzten Schadenssumme. 3 Diese Zahlen verdeutlichen, dass ein steigender Grad an Vernetzung stark mit der erwartbaren Höhe durch Cybersicherheitsvorfälle verursachter Schäden korreliert. Allein in der deutschen Industrie ist der durch Cyberangriffe verursachte Schaden immens. In den vergangenen zwei Jahren verursachten Sabotage, Datendiebstahl und Spionage für die deutsche Industrie einen Schaden i.H.v. 43,4 Milliarden Euro. 4 Der Schaden für Privathaushalte ist ungleich schwerer zu beziffern, da vielfach Cyberkriminalität nicht angezeigt wird und die Schäden sich auch nicht immer direkt mit einem Vorfall verbinden lassen. Die Gründe für erfolgreiche Cyberangriffe sind zudem äußerst vielfältig und liegen bei weitem nicht nur in Produkten (Hard- und Software) begründet: Vielmehr tragen auch ein allzu sorgloser Umgang mit Daten, mangelndes Wissen über potenzielle

IHS Markit. 2017. The Internet of Things: A movement not a market. URL: https://cdn.ihs.com/www/pdf/IoT_ebook.pdf CISCO. 2019. Visual Networking Index: Forecast Highlights Tool. URL: https://www.cisco.com/c/m/en_us/solutions/serviceprovider/vni-forecast-highlights.html# (Zugriff: 5. März 2019) 3 Cybersecurityventures. 2018. Cybercrime Damages $6 Trillion By 2021. URL: https://cybersecurityventures.com/cybercrimedamages-6-trillion-by-2021/ (Zugriff: 3. Juli 2019) 4 Bitkom. 2018. URL: https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43Milliarden-Euro-Schaden.html 2

Konsistente Cyber-Regulierung für Europa

Angriffsvektoren sowie die fehlende Bereitschaft zur Installation von Updates maßgeblich zum Erfolg der Angreifer bei. Vor dem Hintergrund dieser Gefahrenlage sind cyberresiliente Produkte, Prozesse, Services und Systeme essenziell, um das Vertrauen in die digitale Transformation zu wahren, die öffentliche Sicherheit zu gewährleisten sowie Daten und Prozesse zu schützen. Gleichzeitig können weder technische Schwachstellen noch Anwenderfehler, die Cyberkriminelle zu ihren Zwecken ausnutzen können, vollständig ausgeschlossen werden.

Konsistente Cyber-Regulierung für Europa

Anforderungen der deutschen Industrie an eine zukunftsweisende europäische Cyberregulierung Die Stärkung der Cyberresilienz in Europa kann nur gelingen, wenn sich die Gesetzgeber auf ein regulatorisches Rahmenwerk verständigen, welches Unternehmen klare und eindeutige, sich gegenseitig ergänzende und idealerweise überlappungsfreie Vorgaben gibt. Nur dann werden Unternehmen befähigt, cyberresiliente Produkte und Dienstleistungen durch unternehmensinterne Prozesse am Markt anzubieten, aber auch zu beschaffen. Hierzu zählen Prozesse wie die Berücksichtigung von Security-by-Design, die regelmäßige Überprüfung von Produkten und Dienstleistungen auf potenzielle Sicherheitslücken sowie das Bereitstellen von Sicherheitsupdates bzw. einer betriebsbegleitenden Unterstützung zum Erhalt der Cyberresilienz. Vor diesem Hintergrund empfiehlt die deutsche Industrie die Beachtung der nachfolgenden fünf Prinzipien bei der Ausarbeitung regulatorischer Vorgaben für Cybersicherheitsanforderungen: 1. Kohärente gesetzliche Anforderungen zur Stärkung der Cyberresilienz Europas sicherstellen und gleichzeitig Wettbewerbsnachteile für europäische Unternehmen vermeiden Kohärente gesetzliche Anforderungen sind der Schlüssel, um die Wettbewerbsfähigkeit der deutschen und europäischen Industrie international zu erhalten. Übereilte gesetzliche Ergänzungen und Erweiterungen an gesetzliche Anforderungen zur Cyberresilienz gilt es zu vermeiden. Vielmehr ist ein Ansatz gefordert, der berücksichtigt, dass Produkte, Prozesse, Dienstleistungen und Systeme vielfach unter mehr als eine Vorschrift fallen. Nur durch inhaltlich kohärente gesetzliche Anforderungen kann sichergestellt werden, dass die Wirtschaftsakteure die jeweils geltenden Anforderungen auf ihre Produkte, Prozesse, Dienstleistungen und Systeme anwenden und erfüllen können. Insbesondere Vorgaben zu Produktionsprozessen sollten mit jenen Vorschriften zu Produkten und Dienstleistungen kongruent sein. Daher gilt, dass: ▪

neue Regulierungen stets nur Bereiche erfassen sollten, in denen Regelungslücken bestehen.

▪

es überlappende legislative Anforderungen für dasselbe Produkt, respektive Prozesse, Dienstleistungen und Systeme, zu vermeiden gilt.

▪

gesetzliche Anforderungen allgemein den Stand der Technik und nicht eine bestimmte Vorgehensweise einfordern sollten.

▪

sofern sich Regelungsbereiche überlappen, die inhaltliche Kohärenz aller Anforderungen sowie die Klarheit hinsichtlich der Zuständigkeiten (insbesondere von Aufsichtsbehörden) sichergestellt werden sollte.

▪

Produkte und Dienstleistungen zu teils hochgradig komplexen Systemen integriert werden und es folglich auch der Beachtung von Wechselwirkungen von scheinbar klar trennbaren Regulierungen bedarf.

Konsistente Cyber-Regulierung für Europa

2. Europäische Vorgaben nationalen Alleingängen Europäischen Binnenmarktes nicht zu gefährden

vorziehen,

den

Erfolg

des

Cybersecurity ist eine weltweite Herausforderung. Folglich sind nationale Alleingänge nicht zielführend – auch wenn es eine enge und gut vernetzte nationale Community geben mag, in der schnelle Abstimmungen möglich und gute Ergebnisse erzielbar sind. Nichtsdestotrotz gilt es, cybersicherheitsbezogene Vorgaben stets international, zu mindestens jedoch europäisch zu entwickeln. Nur dann können sie die notwendige Breitenwirkung entfalten. Der Europäische Binnenmarkt ist ein Erfolgsmodell, das es gilt weiter zu führen – gerade im digitalen Zeitalter. Der Binnenmarkt ist Vorbild für andere Märkte und setzt regelmäßig Maßstäbe für Produktanforderungen und Konformitätsbewertungsverfahren, die eine schnellen Marktzugang erlauben und innovationsfreundlich sind. Daher spricht sich der BDI gegen eine regulatorische Fragmentierung des europäischen Binnenmarktes sowie gegen nationale Sonderwege aus. Die Wahrung der Cyberresilienz von Produkten, Prozessen und Systemen verlangt europäische Regulierungsbestrebungen, die global anschlussfähig sind. 3. Risikobasierten Ansatz wählen, um einen angemessenen und wirksamen Schutz sicherzustellen Schutzmaßnahmen und die Widerstandfähigkeit gegen Cyberangriffe müssen sich an der Anwendung und der damit verbundenen Bedrohungslage orientieren. Daher sollten Anforderungen an Cybersicherheit auf eine Stufe mit den Vorgaben zu Environment, Health und Safety gehoben werden. Darüber hinaus gilt es, den unterschiedlichen Anwendungsszenarien bei europäischen Regulierungsbestrebungen Rechnung zu tragen. Zudem muss jede Form der Regulierung auch zukünftig Unternehmen einen gewissen Gestaltungsspielraum zugestehen. Damit innovative Lösungen zum Einsatz kommen können, müssen Cybersicherheitsvorschriften daher immer technologieoffen und flexibel ausgestaltet sein. Innovative Lösungen erfordern auch Konformitätsbewertungsverfahren, die den schnellen und kostengünstigen Marktzugang erlauben. Das gilt auch im Zusammenhang mit Pflichten zu Updates, die dem Erhalt der Widerstandsfähigkeit gegen Cyberangriffe dienen. Gesetzliche Anforderungen, die die Nutzung bestimmter Technologien ausschließen oder fordern sind bereits untauglich, um den Herausforderungen der analogen Welt begegnen zu können. Für die digitale Welt gilt dies umso mehr. Statische, bestimmte Technologien vorschreibende Vorgaben würden zu einer Verschlechterung der Cyberresilienz von Produkten, Dienstleistungen und Systemen führen. 4. Europäische Normungsarbeit nach den Prinzipien des New Legislative Framework aktiv einbinden Anforderungen an die Widerstandfähigkeit gegen Cyberangriffe müssen den veränderten Bedrohungsszenarien und Intensitäten immer wieder angepasst werden. Starre gesetzliche Bestimmungen allein können das nicht leisten. Vielmehr müssen Normen und Vorschriften zusammenwirken. Das erfolgreiche Regulierungsmodell der Europäische Union – das New Legislative Framework – ist geeignet, die Herausforderungen der Cybersicherheit in bewährten Prozessen und mit hoher zeitlicher Effizienz zu adressieren und dabei gleichermaßen Systemkohärenz sicherzustellen. Basierend auf dem Modell der Arbeitsteilung zwischen Gesetzgeber und normativen Regelsetzer werden die gesetzlich festgelegten allgemein gültigen Schutzziele an Produkte in europaweit harmonisierten Normen mit dem aktuellen anerkannten Stand der Technik konkretisiert. Die so entstehenden Normen sind praxisnah und damit effektiv durch Unternehmen implementierbar.

Konsistente Cyber-Regulierung für Europa

5. Alle Beteiligten – vom Hard- und Software-Hersteller bis zu gewerblichen Betreibern und Privatanwendern – aktiv und ganzheitlich in die Stärkung der Cyberresilienz einbeziehen Jeder muss seinen Betrag für die Cybersicherheit leisten: Hersteller sowie private und gewerbliche Anwender sind gleichsam gefragt. Der Erfolg kann sich nur einstellen, wenn alle an einem Strang ziehen und die Maßnahmen aufeinander abgestimmt werden. Zudem muss ein abgestimmtes Vorgehen gesetzlich ermöglicht und in der Praxis umgesetzt werden. Durch ganzheitliche Cybersicherheitsstrategien mit effizienten Schutzmaßnahmen kann das Risiko von Cybersicherheitsvorfällen reduziert und dadurch die Cyberresilienz ganzheitlich gestärkt werden. Ziel muss es sein, gefährliche Lücken und Schwachstellen – sowohl durch rasche als auch durch angemessene Maßnahmen – zu vermeiden, damit diese durch potenzielle Angreifer nicht ausgenutzt werden können. Der ganzheitliche Ansatz ist mehr als die Summe der Einzelmaßnahmen eines jeden Wirtschaftsakteurs. Ziel muss es sein, dass jeder seinen vorab definierten Beitrag zu einem abgestimmten Gesamtergebnis beisteuert. Neben der Wirtschaft sind jedoch auch staatliche Stellen und private Anwender gefordert, ihren Beitrag zur Stärkung und Wahrung der Cyberresilienz von Produkten und Dienstleistungen zu leisten: ▪

Auch die öffentliche Hand muss ihren Beitrag zur Wahrung der Cyberresilienz von Produkten und Dienstleistungen leisten. Daher gilt es, dass staatliche Stellen Unternehmen umgehend über ihnen bekannt gewordene sicherheitsrelevante Schwachstellen informieren müssen. Das Zurückhalten entsprechender Informationen kann in einer immer stärker vernetzten Gesellschaft weitreichende Folgen haben.

▪

Private Anwender können durch die Installation bereitgestellter Updates und Patches sowie die Berücksichtigung der Prinzipien der Cyberhygiene die Cyberresilienz der von ihnen eingesetzten Produkte und Dienstleistungen unterstützen. Andernfalls laufen die Bestrebungen der Industrie zumindest im Privatanwenderbereich ins Leere.

Konsistente Cyber-Regulierung fĂźr Europa

Impressum Bundesverband der Deutschen Industrie e.V. (BDI) Breite StraĂ&#x;e 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0 Redaktion Dr. Thomas Holtmann T: +49302028-1550 T.Holtmann@bdi.eu Dr. Thomas Koenen T: +49302028-1415 T.Koenen@bdi.eu Steven Heckler T: +49302028-1523 S.Heckler@bdi.eu Bernd Wittenbrink T: +49 30 2028-1698 B.Wittenbrink@bdi.eu

Dokumentennummer: D 1077