Cybersecurity: Stärkere Regulierung für Produktsicherheit

Mit der General Product Safety Regulation (GPSR, 2023/988) hat die Europäische Union im Dezember 2024 ein neues Regelwerk zur Erhöhung der Produktesicherheit eingeführt. Diese Verordnung ersetzt die bisherige Richtlinie von 2001 und bringt wichtige Änderungen für Hersteller, Händler und Importeure mit sich. Die Produktsicherheitsverordnung wurde insbesondere auch deshalb überarbeitet und aktualisiert, um Entwicklungen im Zusammenhang mit neuen Technologien und Online-Verkäufen zu berücksichtigen.

Die GPSR stellt sicher, dass sämtliche Produkte, die in der EU verkauft werden, grundlegende Sicherheitsanforderungen erfüllen. Davon betroffen sind physische Konsumgüter genauso wie Produkte mit digitalen Elementen. «Unternehmen, die Waren in der EU vertreiben oder in Verkehr bringen, müssen sicherstellen, dass sie die neuen Anforderungen erfüllen – andernfalls drohen Geldstrafen oder Handelsbeschränkungen», sagt Jürgen Messerer, Embedded Software Architekt bei bbv.

Wie der Cyber Resilience Act (CRA) verfolgt GPSR das Ziel, den Schutz von Nutzern und Unternehmen vor unsicheren Produkten zu verbessern. Angepasst auf das digitale Zeitalter – in dem viele Produkte zunehmend softwaregesteuert und vernetzt sind – werden dabei die Risiken durch neue Technologien berücksichtigt und die Marktüberwachung gestärkt. «Während die GPSR allgemein die Sicherheitsanforderungen für Konsumgüter auf dem EU-Markt regelt – sowohl für physische als auch für digitale Produkte – konzentriert sich der Cyber Resilience Act gezielt auf die Cybersicherheit von Konsumgütern mit digitalen Elementen», erklärt Jürgen Messerer.

Überschneidungen gibt es etwa bei vernetzten Geräten, IoT-Produkten oder Softwarelösungen. Die GPSR stellt sicher, dass alle auf dem EU-Markt verfügbaren Produkte – unabhängig davon, ob sie online oder offline verkauft werden – den neusten Sicherheitsstandards entsprechen. Die Radio Equipment Directive (RED) wiederum regelt detailliert und verbindlich die Sicherheitsanforderungen speziell für Funkanlagen bzw. drahtlos kommunizierende Geräte.

Wen die GPSR betrifft – und was zu tun ist

Die GPSR ist sehr umfassend und betrifft sämtliche Unternehmen, die Produkte auf dem EU-Markt bereitstellen. Dazu gehören sowohl die Hersteller, die sicherstellen müssen, dass ihre Waren den neusten Sicherheitsstandards entsprechen, als auch die Importeure und Händler. Zu Letzteren gehören auch die Betreiber von Onlineplattformen. Diese müssen nachweisen, dass sie wirksame Massnahmen zur Identifizierung und Entfernung von unsicheren Produkten ergreifen. Weiter sind auch Dienstleister angesprochen, die einen Einfluss auf die Produktsicherheit haben, also etwa Unternehmen, die digitale Services oder Software bereitstellen.

Die General Product Safety Regulation ist bereits gültig. «Unternehmen sollten sich deshalb umgehend mit den neuen Gegebenheiten befassen und je nach Produkt die folgenden Massnahmen einleiten», sagt Jürgen Messerer.

• Bestandesaufnahme: Betroffene Produkte, die unter die GPSR fallen, müssen identifiziert werden. Dazu gehören explizit auch digitale und vernetzte Produkte sowie solche mit KI-Funktionen. Interne Sicherheitsrichtlinien und Tests müssen überprüft und bei Bedarf angepasst werden. Erforderlich ist die Erstellung und Aktualisierung einer technischen Dokumentation inklusive einer Risikoanalyse. Mitarbeitende sollten adäquate Awareness-Schulung erhalten.
• Cybersecurity: Es gilt abzuklären, ob die Produkte digitale oder vernetzte Komponenten enthalten, die Sicherheitsrisiken mit sich bringen. Die daraus resultierenden Cyberrisiken, sofern sie die Produktsicherheit oder Gesundheit der Benutzerinnen und Benutzer beeinträchtigen können, müssen als Teil der allgemeinen Risikoanalyse unter der GPSR berücksichtigt werden. IoT-Produkte müssen etwa per se sicher konzipiert sein oder entsprechend gegen Cyberangriffe geschützt werden können. Eine Gefahrenanalyse zeigt auf, wo die Risiken liegen und wie sie bewertet werden können.

• Meldungspflicht für Vorfälle: Bei der Sicherheit digitaler Produkte, bei denen Risiken sich schnell verbreiten können, ist eine schnelle und effiziente Meldung und Koordination über ein zentrales System wie Safety Gate unerlässlich. Mit dem Schnellwarnsystem Safety Gate wurde im Europäischen Wirtschaftsraum ein Netzwerk zum Schutz der Gesundheit etabliert, in dem Behörden in Echtzeit Informationen zu gefährlichen Produkten austauschen. Online-Marktplätze müssen sich dort registrieren. Das modernisierte Safety Gate System, insbesondere das Safety-Business-Gateway, dient als zentraler Mechanismus, über den Wirtschaftsakteure und Online-Marktplätze gefährliche Produkte und Unfälle melden müssen. Es dient auch dem Informationsaustausch mit den Behörden.
• Transparenz: Sicherstellen, dass die Produkte die neuen Anforderungen an Rückverfolgbarkeit erfüllen. Evtl. müssen neue Prozesse implementiert werden, um Rückrufe und Fehlermeldungen den neuen Regulierungen anzupassen, sodass unsichere Produkte schnell upgedatet oder aus dem Verkehr gezogen werden können. Security-Guidelines müssen zur Verfügung gestellt werden. Diese zeigen auf, welche Security-Features die Produkte aufweisen, wie sie sich sicher in Betrieb nehmen und bei einem Sicherheitsvorfall härten lassen.
• Mechanismen der Durchsetzung und Rechtsbehelfe: Die strengere Marktüberwachung, die erweiterten Befugnisse der Behörden, insbesondere im Online-Bereich, sowie die Möglichkeit von Verbandsklagen sind für die Sicherheit digitaler Produkte ebenfalls relevant. Sicherheitsmängel bei digitalen Produkten können viele Konsumentinnen und Konsumenten gleichzeitig betreffen. Effektive Durchsetzungsmechanismen und die Möglichkeit kollektiver Rechtsbehelfe sind daher wichtig, um die Einhaltung der Sicherheitsanforderungen zu gewährleisten.

bbv unterstützt Sie bei der Umsetzung der GPSR

bbv unterstützt Unternehmen in mehreren Bereichen bei der Einhaltung relevanter Regulatorien und Normen wie dem Cyber Resilence Act, NIS-2, IEC62443 oder um die eher allgemeineren Anforderungen der General Product Safety Regulation effizient umzusetzen. Neben der Risikoanalyse führen die bbv-Spezialisten Gap-Analysen durch und begleiten die Kunden bei der Erarbeitung passender Massnahmen.

• Compliance-Check & Risikobewertung
  bbv führt eine detaillierte Analyse (Cybersecurity Risk Assessments inklusive Threat Analysis) durch, um zu prüfen, ob Produkte den neuen Sicherheitsanforderungen entsprechen, und identifiziert potenzielle Schwachstellen.
• Entwicklung sicherer digitaler Komponenten
  Falls ein Produkt Software oder smarte Funktionen beinhaltet, helfen wir bei der Implementierung sicherer Architekturen und Software-Updates, um den Anforderungen der GPSR gerecht zu werden.
• Optimierung von Rückverfolgbarkeit und Dokumentation
  Wir entwickeln Lösungen zur lückenlosen Rückverfolgbarkeit von Produkten, um regulatorische Anforderungen zu erfüllen und Rückrufprozesse effizienter zu gestalten.
• Integration von Cybersecurity-Massnahmen
  Da digitale Komponenten unter die GPSR fallen, bietet bbv Sicherheitslösungen für IoT- und Cloud-Produkte, um Unternehmen gegen potenzielle Cyberrisiken abzusichern.
• Training und Schulung
  bbv bietet gezielte Workshops für Unternehmen an, um Mitarbeitende mit den neuen Anforderungen der GPSR vertraut zu machen und Best Practices für die Umsetzung zu vermitteln. Die Workshops sensibilisieren für das Thema Cybersecurity und führen in die wichtigsten Themen ein. Durch Gruppenarbeiten identifizieren die Teilnehmenden gemeinsam Handlungsfelder in Ihrem Unternehmen und entwickeln eine konkrete Roadmap für potenzielle Massnahmen.