EU-Kommission legt Cyberresilienz-Gesetz für vernetzte Geräte vor
Die EU-Kommission hat am Donnerstag (15. September) ihren Vorschlag für einen Cyberresilienz-Gesetz vorgelegt, der darauf abzielt, Schwachstellen in vernetzten Geräten durch ein Konzept der "eingebauten Sicherheit" zu beheben.
Die EU-Kommission hat am Donnerstag (15. September) ihren Vorschlag für ein Cyberresilienz-Gesetz vorgelegt, der darauf abzielt, Schwachstellen in vernetzten Geräten durch ein Konzept der „eingebauten Sicherheit“ zu beheben.
Das Gesetz soll Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ einführen, die auf den EU-Binnenmarkt gebracht werden sollen.
Dazu gehören sowohl Hardware als auch Software, mit der Begründung, wenn alles miteinander verbunden sei, sei auch alles angreifbar.
Neben den Anforderungen an die Produkteigenschaften, die Schwachstellen und den Umgang mit ihnen gibt es auch Spezifikationen für Transparenz und Benutzerinformationen, da das Gesetz das Vertrauen der Verbraucher:innen in die Produkte stärken soll.
„Dies ist ein wichtiger Beitrag zu unserer Agenda für die Sicherheitsunion. Denn damit wird eine echte, wichtige Lücke in unserem Rechtsrahmen geschlossen“, sagte Kommissionsvizepräsident Margaritis Schinas während einer Pressekonferenz.
Der neue Rechtsrahmen soll von der Sicherheit von Dienstleistungen auf Produkte übergehen, „um sowohl Verbraucher:innen als auch Unternehmen vor Produkten mit unzureichenden Sicherheitsmerkmalen zu schützen“, fügte Schinas hinzu. Denn die Hersteller werden sicherstellen müssen, dass sie digital sichere Produkte auf den Markt bringen.
Daten der EU-Agentur für Cybersicherheit (ENISA) zeigen, dass im Jahr 2021 durch Ransomware weltweit ein Schaden von rund 20 Milliarden Euro entstanden ist. Die Dringlichkeit des Problems zeigt sich auch darin, dass im Jahr 2021 etwa alle 11 Sekunden ein Ransomware-Angriff auf ein Unternehmen erfolgte.
Ziel dieses Gesetzesvorhabens ist es nicht nur, den Binnenmarkt zu regulieren, sondern ein „internationaler Bezugspunkt“ zu werden, wie Schinas betonte.
Ein ergänzendes Dossier
Das Cyberresilienz-Gesetz ist nicht der erste EU-Rechtsakt, der sich mit der Cybersicherheit befasst. Vielmehr zielt es darauf ab, vorangegangene Texte wie das KI-Gesetz, das Cybersicherheitsgesetz und die NIS2-Richtlinie (Network Information Security 2) zu ergänzen.
Software-as-a-Service (SaaS), wie sie von der NIS2-Richtlinie abgedeckt wird, ist nicht betroffen, ebenso wenig wie freie und Open-Source-Software, wenn sie nicht für die kommerzielle Nutzung entwickelt oder bereitgestellt wird.
In einem von EURACTIV eingesehenen Non-Paper Dänemarks, Deutschlands und der Niederlande wird vorgeschlagen, auch SaaS einzubeziehen, wobei es keine Rolle spielen soll, ob die Produkte für Verbraucher- oder Geschäftszwecke angeboten werden.
Das Non-Paper vom 13. September drängt auf strengere Cybersicherheitsanforderungen für alle digitalen Produkte, Prozesse und Dienstleistungen, die auf unterschiedlichen Sicherheitsniveaus basieren. Dabei spielt es keine Rolle, ob sie für Verbraucher:innen oder für die industrielle Nutzung bestimmt sind.
Andere Produkte, die vom Anwendungsbereich ausgenommen sind, sind medizinische Geräte oder Kraftfahrzeuge, da es bereits sektorspezifische Rechtsvorschriften gibt.
Für die drei betroffenen Länder wäre das neue Cybersicherheitsgesetz eine horizontale Gesetzgebung, auf der die sektorspezifischen Rechtsvorschriften als lex specialis aufbauen würden.
Lebenszyklus und Umsetzung
Die Hersteller müssen für die erwartete Produktlebensdauer oder für fünf Jahre nach dem Inverkehrbringen, je nachdem, was kürzer ist, sicherstellen, dass Schwachstellen wirksam behandelt werden.
Nach Ansicht von Iva Tasheva, Cybersicherheitsexpertin bei der Beratungsfirma CyEn, dürfte es angesichts des breiten Anwendungsbereichs der Verordnung schwierig sein, einen einzigen Zeitraum festzulegen, der für alle gilt.
Eine mögliche Lösung könnte in der Wahl eines risikobasierten Ansatzes für die Verpflichtung zu Unterstützungsmaßnahmen bestehen, schlug Tasheva vor.
Nach der Verabschiedung der Verordnung haben die Wirtschaftsakteure und die Mitgliedstaaten zwei Jahre Zeit, sich an die neuen Anforderungen anzupassen.
Die Verpflichtung, aktiv ausgenutzte Schwachstellen und Vorfälle zu melden, wird bereits nach 12 Monaten gelten.
Meldefrist
Die Hersteller müssen die EU-Agentur für Cybersicherheit (ENISA) innerhalb von 24 Stunden benachrichtigen, wenn sie von einer aktiv ausgenutzten Schwachstelle in ihrem Produkt oder einem Vorfall mit Sicherheitsauswirkungen erfahren.
Dies mag vertraut klingen, da die NIS2-Richtlinie ebenfalls die Meldung von Vorfällen innerhalb von 24 Stunden vorschreibt. Anfang dieses Jahres erklärte der Leiter der ENISA jedoch, dass das Meldesystem zu bürokratisch sei und „nicht funktioniere.“
„Dies ist nach wie vor eine Herausforderung, vor allem angesichts des breiten Anwendungsbereichs des Cyberresilienz-Gesetzes, bei dem jedes Produkt, das aktiv ausgenutzt wird, auch wenn kein großes Risiko damit verbunden ist, gemeldet werden muss“, sagte Tasheva.
Die Meldepflicht könnte dazu führen, dass zu viele Meldungen gemacht werden und die Hersteller das Risiko der Nichteinhaltung eingehen, zumal die Meldepflicht bereits nach 12 Monaten in Kraft treten würde, fügte Tasheva hinzu.
Zu viel und zu früh?
DIGITALEUROPE, ein in Brüssel ansässiger Industrieverband für digitale Technologien, hält den Vorschlag zwar für einen bedeutenden Schritt nach vorn, befürchtet jedoch, dass er zu früh zu viel beinhalten könnte.
„Die meisten Überschneidungen und Unstimmigkeiten in der Gesetzgebung gibt es bei den materiellen Produkten, und hier können die meisten Schutzlücken geschlossen werden. Die Einbeziehung sämtlicher Software wäre hingegen verfrüht und birgt die Gefahr, dass die erwarteten Vorteile nicht erreicht werden“, so Cecilia Bonefeld-Dahl, Generaldirektorin von DIGITALEUROPE, gegenüber EURACTIV.
Der Fokus sollte darauf liegen, praktische Ergebnisse zu erzielen, in Zeiten, in denen sowohl die Industrie als auch die Regierungen „mit knappen Cyber-Ressourcen zu kämpfen haben“, fügte Bonefeld-Dahl hinzu.
Zwei verschiedene Kategorien
Der Bundesverband der Deutschen Industrie (BDI) begrüßte, dass die Kommission zwischen Produktkategorien und deren Sicherheitsanforderungen unterscheidet.
Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung, sagte, dass kritische Infrastrukturen und Alltagsprodukte, wie etwa ein Smart-TV, nicht in dieselbe Kategorie eingeordnet werden sollten.
Während alle Produkte mit digitalen Elementen im Rahmen des Cyberresilienz-Gesetz die CE-Kennzeichnung tragen müssen, liegt der Unterschied zwischen den verschiedenen Sicherheitsniveaus der kritischen Produkte im Konformitätsbewertungsverfahren.
Bei kritischen Produkten der Klasse I, wie zum Beispiel Netzmanagementsystemen, kann der Hersteller die Konformitätsbewertung unter seiner eigenen Verantwortung durchführen.
Bei Produkten, die als kritische Produkte der Klasse II eingestuft sind, wie zum Beispiel Public-Key-Infrastrukturen (PKI) und Aussteller digitaler Zertifikate, sollte eine dritte Partei in die Konformitätsbewertung einbezogen werden.
Luca Bertuzzi hat zur Berichterstattung beigetragen.
[Bearbeitet von Luca Bertuzzi/Nathalie Weatherald]
