Interview mit Luca Cedric Biggiogera

Luca Cedric Biggiogera hat einen Hintergrund in Digitalpolitik und europäischen Angelegenheiten. Seit Anfang 2025 hat er die Rolle des Technical Affairs Manager IT & Cybersecurity bei UNIFE, dem europäischen Verband der Bahnzulieferindustrie. In dieser Position leitet er die UNIFE Cybersecurity Working Group, die UNIFE Safety Assurance and ECM Working Group sowie die interassoziative Initiative Cybersecurity Rail Sector Group, in der UNIFE mit CER, EIM und UITP zur Cyber Resilience Act zusammenarbeitet.

Der Cyber Resilience Act (CRA) ist eine bedeutende neue EU-Verordnung zur Cybersicherheit. Können Sie kurz seine Hauptziele erklären und warum er für Bahnunternehmen relevant ist?

Der CRA war für den Bahnsektor eine herausfordernde und einmalige Aufgabe: Obwohl er uns auf vielen Ebenen betrifft, wurde er nicht mit Blick auf den Sektor verfasst. Die Auslegung und das Verständnis, wie er für die Bahn umgesetzt werden kann, hatten für uns in den vergangenen Monaten oberste Priorität. Das Ziel des CRA ist es, das Niveau der Cybersicherheit für alle digitalen Produkte zu erhöhen, von den einfachsten bis hin zu komplexeren. Er ist Teil einer allgemeinen Initiative der EU, die europäische digitale Infrastruktur zu sichern, von der unsere Gesellschaft zunehmend abhängt. Denken Sie an vernetzte Sprachassistenten oder Spielzeuge. Diese werden oft mit wenig bis gar keiner Sicherheit verkauft und ohne Möglichkeit, Sicherheitsupdates zu erhalten. In der falschen Umgebung können sie zu einem leichten Einstiegspunkt für feindliche Akteure werden. Der CRA führt wesentliche Cybersicherheitsanforderungen für all diese digitalen Produkte ein. Da die Bahn – anders als Luftfahrt und Schifffahrt – bisher keine vergleichbare sektorspezifische EU-Cybersicherheitsgesetzgebung hatte, fällt sie nun in den Geltungsbereich des CRA.

Welche Arten von bahnbezogenen Produkten, Systemen oder Unternehmen fallen unter den Geltungsbereich des CRA? Wie wird entschieden, welche Produkte als kritisch oder reguliert gelten?

Genau diese Frage war der Auslöser für unseren branchenweiten Einsatz zur Gründung der Cybersecurity Rail Sector Group, deren Ziel es ist, den CRA zu analysieren und fachliche Orientierung in Form eines detaillierten Dokuments bereitzustellen. Der Anwendungsbereich des CRA ist sehr breit, da er für jedes Software- oder Hardwareprodukt gilt. Die Definition, insbesondere „Produkt mit digitalen Elementen“, lässt sich nicht leicht auf den Bahnsektor übertragen und sorgte zunächst für grosse Unsicherheit. Durch die Analyse des Gesetzes und bestehender EU-Praxis sind unsere Experten zu dem Schluss gekommen, dass der CRA für alle Bahnprodukte gilt, die digitale Elemente (Software oder Hardware) enthalten und als Einheit auf den EU-Markt gebracht wurden. Von Sensoren über Fahrzeuge bis hin zu ganzen Blockzügen muss die gesamte Lieferkette der Bahn auf die CRA-Anforderungen achten. „Kritisch“ und „Wichtig“ sind Kategorien für Produkte, die spezielle Bewertungsverfahren erfordern. Nur die im CRA selbst aufgeführten Produkte gehören zu diesen Kategorien, und sie sind im Allgemeinen keine Bahnprodukte. Obwohl die Liste in Zukunft erweitert werden könnte, gehören derzeit die meisten Bahnprodukte in die Standardkategorie der Selbsteinschätzung.

Der CRA führt Anforderungen wie laufende Sicherheitsupdates über den gesamten Produktlebenszyklus ein. Im Bahnsektor sind Produkte oft 30 Jahre oder länger im Einsatz. Wie können Unternehmen solche langfristigen Verpflichtungen realistisch erfüllen?

Der CRA schreibt Sicherheitsupdates für mindestens fünf Jahre vor oder für die gesamte Lebensdauer des Produkts, wenn diese weniger als fünf Jahre beträgt. Für langlebige Produkte, wie sie in der Bahn üblich sind, sollte die Supportdauer stattdessen einen angemessenen Teil des erwarteten Lebenszyklus abdecken. Bei der Bestimmung der Supportdauer sollten Hersteller den Zweck des Produkts, die Erwartungen der Nutzer und weitere Faktoren berücksichtigen, wie z. B. die Supportzeiträume integrierter Drittkomponenten und der Betriebsumgebung. Die Anforderungen des CRA werden sicherlich zu einer umfassenden Veränderung im Umgang des Bahnsektors mit Cybersicherheit und insbesondere mit Updates führen. Die Verordnung bietet jedoch auch eine gewisse Flexibilität für Hersteller, mit ihren Kunden zu definieren, wie lange die Supportzeiträume für solche langlebigen Produkte gelten sollen.

Für viele Unternehmen ist die Einhaltung von Cybersicherheitsvorgaben noch Neuland. Welche praktischen ersten Schritte empfehlen Sie?

Der erste Schritt für jedes Unternehmen besteht darin, sich rechtzeitig vorzubereiten: Vor dem Anwendungsdatum der Verordnung im Dezember 2027 sollten sich die Unternehmen mit dem CRA vertraut machen und herausfinden, in welcher Form er auf ihre Produkte zutrifft. Die Anpassung von Prozessen kann Zeit in Anspruch nehmen, und es ist entscheidend, dass der Sektor gut vorbereitet und mit einem gemeinsamen Verständnis der Verordnung ankommt, um Unsicherheiten und Ineffizienzen zu vermeiden. Zu diesem Zweck entwickeln UNIFE und der Sektor ein erläuterndes Leitdokument, das aus einem gemeinsamen Verständnis des Textes zwischen Betreibern, Herstellern und Infrastrukturbetreibern hervorgeht. Dies wird eine Schlüsselressource für den gesamten Sektor sein, die die Grundlage für eine kohärente Anwendung des CRA im Sektor bildet und eine besser handhabbare Ressource für Unternehmen darstellt, die sich nicht selbst intensiv mit dem Gesetzestext auseinandersetzen können.

UNIFE spielt eine zentrale Rolle im EU-Regulierungsprozess. Wie arbeiten Sie mit der Europäischen Kommission am CRA zusammen und welche Prioritäten oder Anliegen bringen Sie im Namen der Bahnzulieferindustrie vor?

Der CRA war eines der herausragendsten Themen von UNIFE im vergangenen Jahr und auch schon zuvor, und wir haben einen zweigleisigen Ansatz gegenüber der Europäischen Kommission entwickelt, um mehr Klarheit über die Gesetzgebung zu gewinnen und eine reibungslosere Umsetzung zu ermöglichen. Einerseits ist UNIFE sehr aktiv an der Erstellung von Leitlinien und Umsetzungshilfen beteiligt. Wir nehmen aktiv an der CRA Expert Group der Kommission teil und koordinieren auch die Arbeit der Cybersecurity Rail Sector Group, um dem Sektor eine effektive und fundierte Umsetzung des CRA zu ermöglichen. Andererseits hat UNIFE kürzlich ein Positionspapier veröffentlicht, das die Aufnahme des CRA, des Data Act und des AI Act in das kommende Digital Omnibus for Simplification fordert, eine Initiative der Kommission, um die digitale Landschaft der EU übersichtlicher zu gestalten. Besonders hebt das Papier die Forderung hervor, laufende Projekte von den CRA-Verpflichtungen auszunehmen. Die Diskussionen laufen und das Ergebnis ist ungewiss, aber eine erfolgreiche Aufnahme des CRA in den Omnibus könnte zu dringend benötigten Anpassungen des Textes führen, um die Zwänge der Industriesektoren besser widerzuspiegeln.

Vielen Dank für dieses Interview!