LEAK: Kommission will Cyber-Anforderungen für vernetzte Geräte einführen
Der Vorschlag für ein Gesetz zur Cyber-Resilienz, der nächste Woche vorgelegt werden soll, wird grundlegende Cybersicherheitsstandards für alle vernetzten Geräte und strengere Konformitätsbewertungsverfahren für kritische Produkte vorschreiben.
Der Vorschlag für ein Gesetz zur Cyber-Resilienz, der nächste Woche vorgelegt werden soll, wird grundlegende Cybersicherheitsstandards für alle vernetzten Geräte und strengere Konformitätsbewertungsverfahren für kritische Produkte vorschreiben, wie aus einem von EURACTIV eingesehenen Entwurf hervorgeht.
Der Vorschlag versucht, die weit verbreiteten Schwachstellen im boomenden Sektor des Internets der Dinge (IoT) anzugehen, in dem selbst das Hacken eines einzigen Geräts, des sogenannten „schwächsten Glieds“, zu erheblichen Auswirkungen auf die gesamte Organisation oder Lieferkette führen kann.
Gleichzeitig erhalten die Nutzer:innen nicht genügend Informationen über die Cybersicherheitsmerkmale eines vernetzten Geräts, um beim Kauf eine fundierte Entscheidung treffen zu können.
Um diese Bedenken auszuräumen, legt die Kommission die weltweit erste Rechtsvorschrift zur Einführung eines Rechtsrahmens für alle vernetzten Geräte vor, der die Cybersicherheit dieser Produkte während ihres gesamten Lebenszyklus gewährleisten soll.
Anwendungsbereich
Die Verordnung gilt für „Produkte mit digitalen Elementen“, definiert als „jedes Software- oder Hardware-Produkt und seine Ferndatenverarbeitungslösungen, einschließlich Software- oder Hardware-Komponenten, die separat in Verkehr gebracht werden.“
Produkte, die unter sektorspezifische Rechtsvorschriften fallen, wie beispielsweise medizinische Geräte, wurden ausgenommen.
Anforderungen
Die Hersteller von IoT-Produkten müssten grundlegende Anforderungen an Design, Entwicklung und Produktion erfüllen, bevor das Gerät auf den Markt gebracht werden darf. Zudem müssten sie Schwachstellen während des gesamten Lebenszyklus des Geräts durch automatische und kostenlose Updates überwachen und beheben.
„Für die Wirtschaftsakteure, angefangen bei den Herstellern bis hin zu den Händlern und Importeuren, würden Verpflichtungen in Bezug auf das Inverkehrbringen von Produkten mit digitalen Elementen festgelegt, die ihrer Rolle und Verantwortung in der Lieferkette angemessen sind“, heißt es in dem Entwurf.
Die Liste der grundlegenden Anforderungen umfasst ein „angemessenes“ Niveau der Cybersicherheit, das Verbot, Produkte mit bekannten Schwachstellen auf den Markt zu bringen, Sicherheit durch Standardkonfiguration, Schutz vor unbefugtem Zugriff, Minimierung der Angriffsmöglichkeiten und Begrenzung der Auswirkungen von Zwischenfällen.
Die Produkte müssen die Vertraulichkeit der Daten gewährleisten, beispielsweise durch Verschlüsselung, Schutz der Datenintegrität und die Beschränkung der Datenverarbeitung auf die für das Funktionieren des Produkts unbedingt erforderlichen Daten.
Die Hersteller müssen die Schwachstellen im Produkt durch regelmäßige Tests ermitteln und sie unverzüglich beheben. Ähnlich wie die kürzlich überarbeitete Richtlinie zur Netz- und Informationssicherheit (NIS2) soll der vorgeschlagene Rechtsakt die Hersteller dazu verpflichten, erkannte Schwachstellen und Zwischenfälle zu melden.
Risikokategorien
Neben diesen grundlegenden Anforderungen hat die Kommission mehrere kritische Produkte aufgelistet, die ein größeres Risiko darstellen. Die kritischen Produkte werden in zwei „Klassen“ eingeteilt, deren Hauptunterschied im Konformitätsverfahren besteht.
Zur Klasse I gehören Identitätsmanagementsysteme, Browser, Passwortmanager, Antivirenprogramme, Firewalls, virtuelle private Netzwerke (VPNs), Netzwerkmanagement, Systeme, physische Netzwerkschnittstellen, Router und Chips, die für wesentliche Einrichtungen im Sinne der NIS2 verwendet werden.
Darüber hinaus umfasst diese Kategorie alle Betriebssysteme, Mikroprozessoren und das industrielle IoT, die nicht unter die Klasse II fallen.
Die höhere Risikokategorie umfasst Desktop- und Mobilgeräte, virtualisierte Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, Robotersensoren, intelligente Zähler und alle IoT-Geräte, Router und Firewalls für den industriellen Einsatz, der als „sensible Umgebung“ gilt.
Der Text ermächtigt die Kommission, sekundäre Rechtsvorschriften zu erlassen, um die Liste der kritischen Produkte der Klassen I und II zu aktualisieren und die Zertifizierung hochkritischer Produkte vorzuschreiben.
Konformitätsbewertung
Die Hersteller müssen ihre Produkte auch einer Konformitätsbewertung unterziehen, und zwar im Rahmen eines internen Verfahrens oder einer EU-ähnlichen Prüfung durch anerkannte Stellen, also durch Dritte, die zur Bewertung der Einhaltung dieser Verordnung eingerichtet wurden.
Verwendet der Hersteller harmonisierte Normen, erhält er eine EU-Konformitätserklärung oder ein Zertifikat im Rahmen eines europäischen Zertifizierungssystems für Cybersicherheit, so wird davon ausgegangen, dass das Produkt mit der Verordnung vereinbar ist.
Importeure und Händler werden verpflichtet sein, die Einhaltung der einschlägigen Verfahren durch den Hersteller und die CE-Kennzeichnung des Geräts zu überprüfen.
Die Hersteller kritischer Produkte der Klassen I und II müssen jedoch ein spezielles Verfahren zur Einhaltung der Vorschriften beachten. Für Produkte der Klasse II wird eine Bewertung durch Dritte erforderlich sein.
Verwaltung
Um die notifizierten Stellen einzurichten, die die Bewertung durch Dritte vornehmen, sollen die zuständigen nationalen Behörden eine Liste von Anforderungen erfüllen.
Die Mitgliedstaaten müssten auch Marktüberwachungsstellen einrichten, bei denen es sich um die im Rahmen der NIS2-Richtlinie eingerichteten Cybersicherheitsbehörden handeln könnte.
Diese nationalen Behörden könnten dann sogenannte „Sweeps“ durchführen, also parallel laufende Kontrollmaßnahmen bei bestimmten Geräten, um deren Konformität zu überprüfen. Bei anhaltender Nichtkonformität haben die nationalen Behörden die Möglichkeit, das Produkt vom EU-Markt zu verbannen.
Sanktionen
Die Strafen für die Nichteinhaltung der grundlegenden Anforderungen können bis zu 15 Millionen Euro oder 2,5 Prozent des Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Zeitrahmen
Die vorgeschlagene Verordnung soll 24 Monate nach ihrem Inkrafttreten zur Anwendung kommen, mit der wesentlichen Ausnahme, dass die Berichterstattungspflicht für die Hersteller ab 12 Monaten nach dem Inkrafttreten gelten soll.
[Bearbeitet von Nathalie Weatherald]
