EU beginnt mit Verhandlungen über Cybersicherheitsgesetze
Die Pflichten der Hersteller, die Berichterstattung, die Einhaltung der Vorschriften und die Durchsetzung sind die wichtigsten Bereiche des ersten Kompromisses über das neue Cybersicherheitsgesetz, über das die EU-Abgeordneten nächste Woche beraten werden.
Die Pflichten der Hersteller, die Berichterstattung, die Einhaltung der Vorschriften und die Durchsetzung sind die wichtigsten Bereiche des ersten Kompromisses über das neue Cybersicherheitsgesetz, über das die EU-Abgeordneten nächste Woche beraten werden.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung grundlegender Cybersicherheitsanforderungen für vernetzte Produkte. Die Berichterstatterin des Europäischen Parlaments, Nicola Danti, hat letzte Woche den ersten Kompromissänderungsantrag in Umlauf gebracht.
Die anderen Fraktionen haben bis Montag (22. Mai) Zeit, ihre schriftlichen Kommentare vor der ersten technischen Sitzung am kommenden Mittwoch einzureichen. Der Text, der EURACTIV vorliegt, baut auf Dantis Berichtsentwurf auf und enthält Änderungen an wichtigen Teilen des Gesetzestextes.
Umfang
Der Anwendungsbereich der Verordnung wurde auf alle Produkte mit digitalen Elementen ausgeweitet, die eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk haben können.
Gleichzeitig wurden vernetzte Geräte, die ausschließlich für den Verteidigungssektor entwickelt wurden, ebenso ausgeschlossen wie solche, die der nationalen Sicherheit und militärischen Zwecken dienen.
Der Text der Präambel, der wesentliche Aspekte des Vorschlags abdeckt, wie zum Beispiel den Umgang mit offener Software, wurde nicht in die erste Gruppe von Kompromissen aufgenommen, da der Berichterstatter sich nach Informationen von EURACTIV noch nicht zu diesem Thema entschieden hat.
Verpflichtungen für Hersteller
Wenn ein Hersteller ein Produkt auf den EU-Markt bringt, muss er auf der Grundlage einer Risikobewertung festlegen, welche wesentlichen Anforderungen er für seine Produkte für relevant hält, und diese Auswahl in der technischen Unterlage begründen.
Die Produkthersteller müssen die erforderlichen Sicherheits- und Funktionsaktualisierungen bereitstellen, die automatisch und standardmäßig erfolgen sollten, es sei denn, die Nutzer entscheiden sich dagegen, zumindest während der gesamten Lebensdauer des Produkts.
Die Definition des Begriffs „wesentliche Änderung“ wurde dahingehend geändert, dass Sicherheitsaktualisierungen zur Behebung von Sicherheitslücken ausgeschlossen sind.
Die Hersteller müssen die technischen Unterlagen, die die Einhaltung des Cybersicherheitsgesetzes belegen, für die erwartete Lebensdauer des Produkts oder zehn Jahre aufbewahren, je nachdem, welcher Zeitraum länger ist.
Meldepflichten
Der Gesetzentwurf sieht vor, dass die Hersteller die ENISA, die EU-Agentur für Cybersicherheit, über Cybersicherheitsvorfälle und aktiv ausgenutzte Schwachstellen informieren müssen. Bei letzteren handelt es sich um sensiblere Informationen, so dass die Behandlung auf eine Need-to-know-Basis beschränkt wurde.
Ein Änderungsantrag von Bart Groothuis, Berichterstatter für die überarbeitete Richtlinie über Netze und Informationen (NIS2), glich die Meldepflichten zwischen den beiden Gesetzgebungen an und stellte sicher, dass „eine Einrichtung nur einmal für die Nichteinhaltung sich überschneidender Anforderungen bestraft werden kann.“
Darüber hinaus wurde ein Absatz hinzugefügt, der der ENISA oder den nationalen Computer-Notfallteams (CSIRTs) die Möglichkeit gibt, einen bedeutenden Vorfall im öffentlichen Interesse zu melden.
Bei schwerwiegenden Vorfällen müssten die Hersteller die betroffenen Nutzer und gegebenenfalls alle Nutzer informieren und ihnen Risikominderungs- und Behebungsmaßnahmen mitteilen, die sie durchführen können.
Außerdem müssen die Hersteller eine zentrale Anlaufstelle einrichten, damit die Nutzer schnell und direkt mit ihnen kommunizieren können.
Zusätzliche Verpflichtungen
Eine neue Verpflichtung wurde für Importeure und Händler von kritischen Produkten eingeführt, die für Einrichtungen bestimmt sind, die im Rahmen der NIS2 als wesentlich für das Funktionieren der Gesellschaft angesehen werden, um auch nicht-technische Risikofaktoren zu berücksichtigen.
Die Rede ist von Hochrisikolieferanten, einer Kategorie, die dazu dient, die Nutzung eines Lieferanten einzuschränken, der als unter dem Einfluss feindlicher Mächte stehend gilt, wie es beim chinesischen Telekommunikationsriesen Huawei der Fall war.
Nachweis der Einhaltung
Die Zertifizierung nach europäischen Cybersicherheitsstandards ist eine weitere Möglichkeit für Hersteller, die Einhaltung der Verordnung nachzuweisen. Die Einhaltung der Verordnung wird vermutet, wenn die Hersteller harmonisierte technische Normen einhalten.
Der Kompromiss sieht vor, dass harmonisierte Normen, gemeinsame Spezifikationen und Zertifizierungssysteme für Cybersicherheit sechs Monate vor Beginn des Konformitätsverfahrens in Kraft treten müssen.
Die Europäische Kommission wird in der Lage sein, verbindliche gemeinsame Vorgaben festzulegen, wenn ein Standardisierungsantrag nicht angenommen wurde und innerhalb eines angemessenen Zeitraums keine harmonisierte Norm zu erwarten ist.
Die Hersteller von kritischen Produkten müssen sich einer externen Überprüfung durch zugelassene Prüfer, die gemeldeten Stellen, unterziehen. Die Kommission muss dafür sorgen, dass innerhalb von zwei Jahren nach Inkrafttreten der Verordnung eine ausreichende Zahl von Prüfstellen in der EU vorhanden ist, um Engpässe zu vermeiden.
Durchsetzung
Die Marktaufsichtsbehörden könnten die ENISA um technische Beratung bei der Durchsetzung der Verordnung bitten. Insbesondere könnte die ENISA gebeten werden, eine unverbindliche Bewertung für Produkte abzugeben, die ein erhebliches Cybersicherheitsrisiko darstellen.
Die Marktüberwachungsbehörden werden auch gebeten, detaillierte Daten über die Kategorien der angeschlossenen Produkte zu liefern. Die Kommission soll die Daten analysieren, um spezifische Produktkategorien zu ermitteln, bei denen die Verstöße außergewöhnlich hoch sind.
Die Berücksichtigung nichttechnischer Risikofaktoren wurde ebenfalls für die nationalen Behörden eingeführt, und es wurde ein Verweis auf die Identifizierung potenzieller integrierter Hintertüren oder anderer Schwachstellen, die ausgenutzt werden, in Bezug auf koordinierte Kontrollmaßnahmen, so genannte Sweeps, hinzugefügt.
Lebensdauer der Produkte
Eine der wichtigsten von Danti eingeführten Änderungen bestand darin, die Hersteller bei der Festlegung der erwarteten Produktlebensdauer konkurrieren zu lassen, solange diese mit den angemessenen Erwartungen der Verbraucher übereinstimmt. Diese Maßnahme wurde zwar beibehalten, aber der Kompromiss verlangt von den Herstellern, dass sie den Verwendungszweck des Produkts und Aspekte der Nachhaltigkeit berücksichtigen.
Kritische Produkte
Der Kompromiss besagt, dass „die Integration einer Komponente einer höheren Klasse von kritischen Produkten den Risikograd für das Produkt, in das die Komponente integriert ist, nicht ändert.“
Die Liste der kritischen Produkte wurde dahingehend geändert, dass Plattformen, die für die Authentifizierung, Autorisierung und Buchführung verwendet werden, in die erste Klasse der kritischen Produkte und biometrische Lesegeräte in die zweite Klasse aufgenommen wurden.
[Bearbeitet von Nathalie Weatherald]
