EU-Abgeordnete erwägen Sicherheits-Verpflichtungen für Online-Marktplätze
Am Dienstag (13. Juni) werden im Europäischen Parlament unter anderem Anforderungen für Online-Marktplätze, der Anwendungsbereich der Cybersicherheitsverordnung und Bestimmungen zu kritischen und hochkritischen Produkten diskutiert.
Am Dienstag (13. Juni) werden im Europäischen Parlament unter anderem Anforderungen für Online-Marktplätze, der Anwendungsbereich der Cybersicherheitsverordnung und Bestimmungen zu kritischen und hochkritischen Produkten diskutiert.
Das Cybersicherheitsgesetz ist ein Legislativvorschlag zur Einführung von Cybersicherheitsanforderungen für die Hersteller von Produkten des Internets der Dinge, also vernetzte Geräte, die Daten erzeugen und austauschen.
Das Büro des Vize-Vorsitzenden von den europäischen Liberalen, Nicola Danti, der für den Gesetzesvorschlag im Parlament zuständig ist, hat am Donnerstag einen zweiten Stapel von Kompromissanträgen in Umlauf gebracht, die EURACTIV einsehen konnte.
Verpflichtung von Online-Marktplätze
Bei der Plenarsitzung am Dienstag werden die EU-Abgeordneten über die Einführung von Verpflichtungen für Online-Marktplätze im Einklang mit der Verordnung über die allgemeine Produktsicherheit diskutieren. Diese verpflichtet die Marktplätze, eine zentrale Anlaufstelle für die Kommunikation mit den Marktaufsichtsbehörden in Fragen der Cybersicherheit einzurichten.
Außerdem könnten die Marktaufsichtsbehörden anordnen, dass Online-Marktplätze Angebote von vernetzten Geräten, die ein erhebliches Cybersicherheitsrisiko darstellen, vom Netz nehmen, den Zugang sperren oder ausdrückliche Warnungen aussprechen.
Diese Anordnungen müssen die im Gesetz über digitale Dienste aufgeführten Bedingungen erfüllen. Nach Erhalt einer solchen Anordnung muss der Online-Marktplatz unverzüglich und spätestens innerhalb von zwei Tagen Maßnahmen ergreifen. Solche Anordnungen können sich auch auf alle identischen Angebote beziehen.
Online-Marktplätze sind verpflichtet, Anbieter, die wiederholt gegen die Verordnung verstoßen, vorübergehend zu sperren.
Anwendungsbereich
Die Frage, inwieweit die Verordnung Open-Source-Software abdecken sollte, bedarf weiterer Diskussionen auf politischer Ebene.
In seinem Berichtsentwurf schlug der Berichterstatter Danti vor, Ersatzteile, die ausschließlich für den Reparaturprozess bestimmt sind, vom Anwendungsbereich auszunehmen. Der Text sieht nun vor, dass der Hersteller des Originalprodukts diese Ersatzteile liefern muss, um von dieser Ausnahme zu profitieren.
Der Kompromiss streicht eine Ausnahmeregelung für Produkte, die für den Verteidigungssektor entwickelt wurden.
Kritische & hochkritische Produkte
Das Cybersicherheitsgesetz enthält eine Liste kritischer Produkte, deren Hersteller sich externen Audits unterziehen müssen, um ihre Konformität nachzuweisen.
Die vorherigen Änderungsanträge sahen vor, dass die EU-Kommission diese Liste frühestens zwei Jahre nach Inkrafttreten der Verordnung ändern darf, um Rechtsklarheit und Verantwortung zu gewährleisten. Der neue Kompromiss geht noch weiter und verlangt zwei Jahre für jede weitere Änderung. Kjeld: Verstehe ich weder im dt noch im engl
In ähnlicher Weise sieht der Entwurf des Cybersicherheitsgesetzes vor, dass die Europäische Kommission Produktkategorien als hochkritisch einstufen und die Ausstellung von Zertifikaten gemäß dem Cybersicherheitsgesetz verlangen kann. Der Text schreibt jedoch vor, dass die Zertifizierungsanforderung erst nach einem Jahr gelten würde.
Der jüngste Text des Parlaments sieht vor, dass die Produktkategorien das höchste Sicherheitsniveau im Rahmen der Zertifizierungssysteme erfüllen müssen. Im Gegensatz dazu würde für kritische Produkte ein Sicherheitsniveau von „wesentlich“ ausreichen.
Erwartete Produktlebensdauer
Danti hat den Grundsatz gestrichen, dass die Hersteller mindestens fünf Jahre lang für Sicherheitsupdates sorgen müssen. Es ist nun den Herstellern überlassen, dies im Einklang mit den angemessenen Erwartungen der Verbraucher zu tun, wobei das Adjektiv ‚angemessen‘ jedoch gestrichen wurde.
„Der Hersteller kann die Behandlung von Sicherheitslücken, einschließlich Sicherheitsaktualisierungen, für einen Zeitraum bereitstellen, der länger ist als die erwartete Produktlebensdauer“, stellt der Text klar und fügt hinzu, dass die Verbraucher gegebenenfalls vor dem Kauf über den Zeitraum der Behandlung von Sicherheitslücken informiert werden sollten.
Reporting
Das Gesetz zur Cyberresilienz verpflichtet die Hersteller, alle Vorfälle und Schwachstellen, die aktiv ausgenutzt werden, an die ENISA, die EU-Agentur für Cybersicherheit, zu melden. Der Text legt fest, dass die ENISA oder das zuständige Computer-Notfallteam einen Zwischenbericht anfordern kann.
Im Gegensatz dazu wird die ENISA aufgefordert, nach Möglichkeit eine zentrale Anlaufstelle für die Meldepflichten im Rahmen des neuen Cybersicherheitsgesetzes und anderer EU-Rechtsvorschriften einzurichten.
Der neue Wortlaut beauftragt die Hersteller, soweit erforderlich und auf der Grundlage einer Risikoanalyse, Händler und Endverbraucher rechtzeitig über die Nichteinhaltung der Cybersicherheitsanforderung. Ebenso sollte, soweit verfügbar, über die Maßnahmen zur Risikominderung zu informieren, die sie ergreifen können.
Hochrisiko-Anbieter
Mit den vorherigen Kompromissänderungsanträgen wurde der Grundsatz eingeführt, dass die Marktaufsichtsbehörden nichttechnische Risikofaktoren berücksichtigen sollten. Diese Ergänzungen sollen nun auf politischer Ebene weiter diskutiert werden.
Gleichzeitig schlägt der Berichterstatter vor, in die Präambel des Textes einen Hinweis aufzunehmen, dass die Marktaufsichtsbehörden bei der Durchführung koordinierter Maßnahmen, so genannter Sweeps, die Aufdeckung von Hintertüren oder anderen ausnutzbaren Schwachstellen berücksichtigen sollten.
Expertengruppe
Die Zusammensetzung der Expertengruppe für Cyberresilienz wurde dahingehend geändert, dass sie nun auch Vertreter der europäischen Normungsgremien umfasst, während „bei Bedarf auch Vertreter anderer EU-Agenturen eingeladen werden können.“
Außerdem muss die Kommission die Gruppen konsultieren, wenn sie sekundäre Rechtsvorschriften vorbereitet. Bei Untersuchungen kann die Gruppe unverbindliche Stellungnahmen abgeben.
Zuweisung der Einnahmen
In seinem Berichtsentwurf schlug Danti vor, die aus der CRA resultierenden Geldbußen für die Finanzierung von Cybersicherheitsprojekten im Rahmen des Programms Digitales Europa zu verwenden.
Der Verweis auf das EU-Programm wurde im neuesten Kompromissvorschlag nun gestrichen und den Mitgliedstaaten wurde mehr Flexibilität eingeräumt, um Projekte zu finanzieren, die der Verbesserung der Cyberfähigkeiten, dem Aufbau von Kapazitäten in mittelständischen Unternehmen, der Verbesserung des Bewusstseins für Cyberbedrohungen oder der Verhinderung des Cyberdiebstahls von geistigem Eigentum dienen.
Wesentliche Anforderungen
Die Möglichkeit, dass Nutzer ihre Daten sicher zurückziehen und dauerhaft löschen können, wurde in die Liste der grundlegenden Anforderungen aufgenommen.
[Bearbeitet von Alice Taylor/Kjeld Neubert]
