Cybersicherheit in der EU

Die EU-Kommission hat einen Vorschlag für eine CE-Verordnung veröffentlicht, die darauf abzielt, digitale Produkte für Unternehmen und Verbraucher sicherer zu machen. Künftig müssen Hersteller explizite Cyber-Security-Anforderungen erfüllen und eine Cyber-Risikobeurteilung durchführen.

Erwägungsgründe der Kommission

Die EU-Kommission betont in ihrer Cybersicherheitsstrategie, dass alle 11 Sekunden ein Hacker-Angriff stattfindet und dies Kosten von über 5 Billionen Euro verursacht. Dies unterstreicht die Dringlichkeit einer höheren Cybersicherheit. Das Ziel besteht darin, diese Anforderungen als integralen Bestandteil der gesamten Lieferkette zu etablieren.

Der veröffentlichte Vorschlag zum „Cyber Resilience Act“ zielt darauf ab, digitale Produkte für Einzelpersonen und Unternehmen sicherer zu machen. Hersteller von Hardware und Software müssen Schwachstellen mithilfe von Softwareaktualisierungen beheben und Endbenutzer über mögliche Cybersicherheitsrisiken informieren. Der Verordnungsentwurf betont auch die Bedeutung von Sicherheit in der Softwareentwicklung, wie sie bereits im „Cyber Security Act“ gefordert wird.

Ziele des Rechtsakts

Die von der EU-Kommission vorgeschlagenen Cybersicherheitsvorschriften sollen sicherstellen, dass sicherere Hardware- und Softwareprodukte auf den Binnenmarkt gelangen.

Die Kommission konkretisiert diese Ziele in vier Maßnahmen:

• Sicherstellung, dass Hersteller die Sicherheit von Produkten mit digitalen Elementen bereits in der Entwurfs- und Entwicklungsphase und während des gesamten Lebenszyklus verbessern.
• Schaffung eines kohärenten Rahmens für die Cybersicherheit, um die Einhaltung der Vorschriften für Hardware- und Softwarehersteller zu erleichtern.
• Verbesserung der Transparenz hinsichtlich der Sicherheitseigenschaften von Produkten mit digitalen Elementen.
• Ermöglichung der sicheren Nutzung von Produkten mit digitalen Elementen durch Unternehmen und Verbraucher.

Anwendungsbereich

Die Verordnung gilt für Produkte mit digitalen Elementen, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk vorsehen. Der Anwendungsbereich umfasst sowohl Hardware wie Maschinen und IoT-Geräte als auch reine Software-Produkte. Es gibt jedoch Ausnahmen, wie beispielsweise Medizinprodukte gemäß Verordnung (EU) 2017/745.

Die Verordnung regelt auch das Zusammenspiel mit der delegierten Verordnung 2022/30, die bereits Sicherheitsanforderungen an internetfähige Anlagen gemäß der Funkgeräterichtlinie 2014/53/EU festlegt.

Konformitätsbewertungsverfahren und Cyber-Risikobeurteilung

Ähnlich wie bei früheren EU-Rechtsakten sieht der Cyber Resilience Act ein Konformitätsbewertungsverfahren vor. Kern dieses Verfahrens ist die Cyber-Risikobeurteilung, die Hersteller dazu verpflichtet, die mit einem Produkt mit digitalen Elementen verbundenen Cybersicherheitsrisiken zu bewerten und in allen Phasen des Produktlebenszyklus zu berücksichtigen.

Das Konformitätsbewertungsverfahren unterscheidet je nach Produktkritikalität zwischen Selbstzertifizierung und Einbeziehung benannter Stellen. Details dazu finden sich im Factsheet zum Cyber Resilience Act.

Besonders bemerkenswert ist Anhang V, Absatz 2, des Verordnungsentwurfs, der verschiedene Aspekte wie Design, Entwicklung, Produktion und Schwachstellenanalyse als Inhalt der technischen Dokumentation nennt. Dies bedeutet erhöhten Dokumentationsaufwand für Unternehmen, insbesondere angesichts der rasanten technologischen Fortschritte bei Softwareentwicklungstools.

Zeitpunkt des Inkrafttretens und weitere Informationen

Aufgrund der aktuellen Sicherheitslage und des Ukraine-Konflikts hat die Erhöhung der Resilienz gegenüber Cyberangriffen in Europa hohe politische Priorität. Am 1.12.2023 erzielten das Europäische Parlament und der Rat eine Einigung über den Cyber Resilience Act. Nach seiner Verabschiedung wird der Rechtsakt am 20. Tag nach seiner Veröffentlichung im Amtsblatt in Kraft treten.

Nach Inkrafttreten der KI-Verordnung haben Hersteller, Importeure und Vertreiber von Hardware- und Softwareprodukten 36 Monate Zeit, sich auf die neuen Anforderungen einzustellen, mit Ausnahme der Meldepflicht für Zwischenfälle und Schwachstellen, die innerhalb von 21 Monaten in Kraft tritt.