Behandlung des Bahnsektors im EU-Cyber Resilience Act (CRA)
31.10.2023
Der aktuelle Entwurf des Cyber Resilience Acts (CRA) der EU-Kommission sieht eine Einbeziehung des Bahnsektors in den Anwendungsbereich vor, während Luftverkehr und Automobil explizit ausgenommen sind.
Die Einbeziehung des Bahnsektors in den CRA bringt für den Schienenverkehr und die herstellenden Unternehmen erhebliche zusätzliche Belastungen. Kritische Faktoren sind hier insbesondere
- eine unzureichende Differenzierung von Geschäftsbeziehungen Business-to-Business (B2B) und Business-to-Consumer (B2C),
- die mangelhafte Berücksichtigung von extrem langen Produktlebenszyklen von teilweise über 30 Jahren, wie sie bei Schienenfahrzeugen und Infrastrukturen gegeben sind,
- die fehlende Berücksichtigung bahnspezifischer Besonderheiten, insbesondere der Abgrenzung der dort verwendeten operationalen Technologien mit starker Verzahnung von Computern, Kommunikationssystemen, physischen Einheiten und Infrastrukturen von der herkömmlichen Informationstechnik,
- die unzureichende Rollendefinition von Herstellern, Eigentümern und Betreibern,
- die fehlende Anpassung der Begrifflichkeit des „Patchens“ an den Schienenverkehrssektor, da Änderungen an Modulen in der Regel eine betriebliche Neuzulassung zur Folge haben.
Bestehende Vorschriften in Form der EU Richtlinie (EU) 2016/797 mit ihren Technischen Spezifikationen für die Interoperabilität (TSI) und die Bahnnorm IEC 62443 setzen bereits einen hohen Sicherheitsstandard voraus, der bei der Zulassung jeweils überprüft und bestätigt wird. Die zugrundeliegenden Normen befinden sich zudem aktuell in der weiteren Anpassung, um dem Aspekt der Cybersicherheit noch stärker Rechnung zu tragen. Es droht eine administrative Doppelbelastung durch den CRA, der nun zusätzlich zu den bestehenden schienenspezifischen Richtlinien und Sicherheitsnormen zu berücksichtigen ist.
Vollständige Stellungnahme im PDF zum Herunterladen