EU-Staaten kurz vor Einigung bei Cybersicherheitsgesetz

In einer von EURACTIV eingesehenen, überarbeiteten Version des Gesetzes zur Cyber-Resilienz wurden die Teile über Meldepflichten, besonders kritische Produkte und die Produktlebensdauer vor der Verabschiedung durch die EU-Staaten überarbeitet.

Anfang dieses Monats teilte die spanische Präsidentschaft des EU-Ministerrats einen überarbeiteten Kompromiss, der am vergangenen Montag in der Horizontalen Arbeitsgruppe für Cyberfragen, einem technischen Gremium des Rates, diskutiert wurde, um auf offene Fragen einzugehen.

Die Diskussion diente der abschließenden Anpassung eines neuen Textes, den die spanische Präsidentschaft am vergangenen Donnerstag (13. Juli) im Vorfeld der Sitzung des Ausschusses der Ständigen Vertreter in Umlauf brachte. Am Mittwoch soll der Standpunkt des EU-Rates angenommen werden.

Am selben Tag wird auch der federführende Industrieausschuss des Europäischen Parlaments seine Version des Textes annehmen. Eine Abstimmung im Plenum wird nicht erwartet. Die Verhandlungen zwischen den EU-Ko-Gesetzgebern sollen im September beginnen.

Meldepflichten

Die Cybersicherheitsverordnung sieht vor, dass Hersteller, die von einem Cybersicherheitsvorfall oder einer aktiv ausgenutzten Schwachstelle erfahren, die zuständige Behörde informieren müssen.

Der Rat hat diese sensible Aufgabe von der ENISA, der EU-Agentur für Cybersicherheit, auf die nationalen Computer Security Incident Response Teams (CSIRTs) übertragen. Der neue Text ermutigt die Mitgliedstaaten, eine einzige nationale Anlaufstelle für Meldepflichten einzurichten.

Das CSIRT, das die Meldung erhält, muss diese über eine einzige Meldeplattform an die anderen CSIRTs weiterleiten. Es sei denn, die Sensibilität der gemeldeten Informationen rechtfertigt eine Verzögerung bei der Übermittlung.

Die CSIRTs werden gemeinsam Vorgaben für die Anwendung dieser Ausnahmebedingungen sowie für die Organisation, die Sicherheit und die Art der über die Meldeplattform auszutauschenden Informationen entwickeln.

Die ENISA wird die paneuropäische Plattform nach den Vorgaben der CSIRTs einrichten und dabei mögliche Komplementaritäten mit der europäischen Schwachstellendatenbank analysieren. Diese wurde im Rahmen der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) eingerichtet.

Die ENISA wird jeden Vorfall im Bereich der Cybersicherheit im Zusammenhang mit der Plattform ohne unnötige Verzögerung melden. Die Verweise auf den Zugang der Marktaufsichtsbehörden zur Plattform wurden entfernt.

Eine zuvor hinzugefügte Formulierung, die den Herstellern Flexibilität bei den Meldefristen eingeräumt hätte, wenn sie beispielsweise eine Schutzmaßnahme entwickeln, wurde gestrichen.

Der Hersteller muss den Nutzer auch über jeden Vorfall oder jede aktive Schwachstelle informieren. Wenn er dies nicht rechtzeitig tut, kann das benachrichtigte CSIRT eingreifen.

Hochgradig kritische Produkte

Der Cyber Resilience Act führt das Konzept der hochkritischen Produkte ein. Für diese könnte die Europäische Kommission EU-Zertifizierungssysteme für Cybersicherheit vorschreiben. In der letzten Fassung wurde jedoch jeder ausdrückliche Verweis auf „besonders kritische Produkte“ gestrichen.

Die EU-Staaten schränkten den Ermessensspielraum der EU-Kommission bei dieser Aufgabe ein. Sie führten vor allem eine erste Liste kritischer Produktkategorien ein, die die Kommission zu einem späteren Zeitpunkt ändern kann.

Der Ratstext schreibt außerdem vor, dass die EU-Kommission vor der Einführung einer obligatorischen Zertifizierung eine Folgenabschätzung durchführen muss, um die Angebots- und Nachfrageseite des Binnenmarktes sowie die Fähigkeit und Bereitschaft der Mitgliedstaaten zur Umsetzung der Regelungen zu bewerten.

In früheren Fassungen des Textes wurde darauf hingewiesen, dass für besonders kritische Produkte das Sicherheitsniveau „erheblich“ oder „hoch“ gemäß dem Cybersicherheitsgesetz verlangt werden sollte. Dieser Verweis auf spezifische Sicherheitsniveaus wurde aus dem Text entfernt.

Darüber hinaus muss die Kommission eine Folgenabschätzung durchführen, bevor sie ein Cybersicherheitszertifikat anfordert. Die Frist für die Durchführung dieser Folgenabschätzung wurde jedoch gestrichen. Die EU-Kommission muss die relevanten Interessengruppen konsultieren, darunter auch die Europäische Gruppe für Cybersicherheitszertifizierung.

Lebensdauer des Produkts

Die Hersteller müssen die voraussichtliche Produktlebensdauer angeben. In dieser Zeit können die Nutzer mit Sicherheits-Updates rechnen.

Die Elemente, die bei dieser Berechnung zu berücksichtigen sind, wurden von den verbindlichen Teilen der Verordnung in die Präambel verschoben. Dabei handelt es sich um die voraussichtliche verfügbare Einsatzfähigkeit der Betriebssysteme, die Lebensdauer von Produkten mit ähnlichen Funktionen und Hinweise von Marktaufsichtsbehörden.

Andere Punkte, die zuvor als relevant für die Bestimmung der voraussichtlichen Produktlebensdauer aufgeführt waren, wurden gestrichen. Dies betrifft insbesondere den Verweis auf das geltende EU-Recht und die Eigenschaften des Produkts, einschließlich der Lizenzbestimmungen.

Die Marktüberwachungsbehörden sind nicht mehr berechtigt, von den Herstellern eine Begründung zu verlangen, wie die Produktlebensdauer berechnet wurde.

Wer ist verantwortlich?

Die Verantwortung für die Einhaltung des Cybersicherheitsgesetzes geht auf den Unternehmer über, der ein angeschlossenes Gerät wesentlich verändert. Diese Verantwortung entfällt jedoch für Sicherheitspatches, die den Verwendungszweck eines Produkts nicht verändern.

Es wurde ein neuer Wortlaut hinzugefügt, um zu präzisieren, dass zu diesen ausgenommenen Sicherheits-Updates solche gehören, die „die Funktionen oder die Leistung eines Produkts mit digitalen Elementen zu dem alleinigen Zweck verändern, das Niveau des Cybersicherheitsrisikos zu verringern.“

Produkte mit digitalen Elementen, die von einer öffentlichen Verwaltungseinrichtung ausschließlich für den Eigengebrauch entwickelt oder verändert wurden, wurden ebenfalls herausgenommen.

Durchsetzung

Die EU-Marktüberwachungsbehörden, die in der Gruppe für Verwaltungszusammenarbeit zusammengeschlossen sind, werden Leitlinien veröffentlichen, um die Durchsetzung der Verordnung auf nationaler Ebene zu vereinfachen. Insbesondere werden sie bewährte Verfahren und Anhaltspunkte für eine wirksame Kontrolle der Einhaltung der Vorschriften vorlegen.

Ersatzteile

Komponenten verbundener Geräte, die ausschließlich als Ersatzteile zum Austausch identischer Komponenten hergestellt werden, waren aus dem Anwendungsbereich der Verordnung ausgeschlossen. In der neuen Fassung heißt es, dass diese Ersatzteile „denselben Entwicklungs- und Produktionsprozessen wie das Originalprodukt“ folgen müssen.

[Bearbeitet von Nathalie Weatherald]