EU-Maschinenrichtlinie

Kommentar von Armis zur erneuerten EU-Maschinenrichtlinie

, Armis

Kommentar von Armis zur erneuerten EU-Maschinenrichtlinie

Von Andy Norton, European Cyber Risk Officer bei Armis

Am 18. April 2023 wurde die neue Maschinenverordnung mit großer Mehrheit im EU-Parlament verabschiedet. Sie wird die vormalige Maschinenrichtlinie 2006/42/EC bis Juli 2023 ablösen. Der wichtigste Punkt findet sich unter 1.1.9 beim Thema IT-Sicherheit, wo die Hersteller von „Maschinenprodukten“ noch stärker in die Pflicht genommen werden. Die neue Maschinenverordnung schreibt vor, dass das Verbinden eines Gerätes (gemeint sind wohl USB-Sticks oder andere Datenträger) sowie das Verbinden mit „Remote Devices“ über das Internet, nicht zu gefährlichen Situationen führen darf, wie es unter anderem bei der IBF formuliert wird.

Andy Norton, European Cyber Risk Officer bei Armis

Die Änderungen sind verbunden mit der Cyber-Strategie der EU , die über den Cyber Resilience Act eingeführt wurde. Sie sind Ausdruck der aktuellen politischen und wirtschaftlichen Weltlage, in der es zu mehr und mehr Unsicherheit kommt. Regierungen und die entsprechenden zuständigen Behörden auf der ganzen Welt legen immer größeren Wert auf nationale und supranationale Cyber-Resilienz. Vor dem EU-Cyber-Resilienz-Gesetz lag ein Großteil des Drucks in Bezug auf die Cybersicherheit bei den Nutzern der Produkte, womit sowohl Unternehmen als auch Privatpersonen betroffen waren. Nun werden auch die Hersteller einen größeren Teil dieser Verantwortung übernehmen müssen. Die Rechenschaftspflicht kann viel dazu beitragen, Verbesserungen auf breiter Ebene zu erreichen.

Die vielfältigen Initiativen und die Verlagerung der Verantwortung auf die Hersteller sollten jedoch nicht dazu führen, dass Unternehmen und Organisationen sich zurücklehnen. Vielmehr müssen sie die Gesetze und Vorschriften als externen Beitrag zum Schutz der eigenen Systeme sehen und für sich selbst die richtigen Schlüsse daraus ziehen. Ein erster Schritt hin zu mehr Resilienz stellt die Bestandsaufnahme aller IT-Assets dar, die kontextbezogen in Echtzeit überprüft werden müssen. Jedes kritische Risiko, dass hierbei identifiziert wird kann dann zeitnah eingedämmt werden, bevor es zu einer Kompromittierung kommt.