Am 15. September 2022 hat die Europäische Kommission ihren Vorschlag für einen Cyber-Resilience-Act vorgeschlagen.
Ziel dieses Gesetzes ist es, Handys, Smartwatches und andere internetfähigen Alltagsprodukte sicherer gegen Hackerangriffe zu machen. Die EU will damit eine Lücke bei der Regulierung der Produktsicherheit schließen: Erstmals soll nicht nur das Äußere eines Produkts, sondern auch das Innere Regeln unterworfen sein. Mit dem Gesetz sollen weltweite Standards gesetzt werden, da die Erfüllung der Anforderungen Zutrittsvoraussetzung für den europäischen Markt wird. Alle Produkte in Europa werden „cybersafe by design“ sein müssen.
Die aus 57 Artikeln und acht Kapiteln bestehende Verordnung unterscheidet im Wesentlichen zwischen Produkten mit digitalen Elementen und kritischen Produkten mit digitalen Elementen. Der Anwendungsbereich ist im Sinne der Art. 13 ff. CRA sehr breit: Umfasst werden damit sowohl Hardware als auch Software. Zu den kritischen Produkten mit digitalen Elementen gehören zum Beispiel Browser, Passwort- Manager, Virenschutzsoftware, VPN-Clients, Fernwartungssoftware, IoT Geräte im industriellen Einsatz und intelligente Verbauchszähler.
Die Hersteller dieser Produkte werden in Zukunft folgenden Pflichten unterliegen:
- In der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphase muss die Cybersicherheit im Sinne des Art. 10 Abs. 1 berücksichtigt werden.
- In Zukunft müssen nach Art. 10 Abs. 2 alle Cybersicherheitsrisiken dokumentiert werden.
- Nach Art. 11 Abs. 1 und 2 CRA müssen Hersteller in Zukunft aktiv ausgenutzte Schwachstellen und Vorfälle innerhalb von 24 Stunden an die ENISA melden.
- Nach Art. 10 Abs. 6 müssen ab dem Verkauf Sicherheitsupdates für den gesamten Lebenszyklus eines digitalen Produkts zur Verfügung gestellt werden, damit Schwachstellen wirksam beseitigt werden. Dies gilt für einen Mindestzeitraum für 5 Jahre.
- Produkte mit digitalen Elementen benötigen klare und verständliche Gebrauchsanweisungen.
Diese neuen Regelungen kommen sowohl Unternehmen als auch Verbrauchern durch ein gesteigertes Sicherheitsniveau, bessere Informationen über Produkte und durch geringere Schäden durch Cybersicherheitsvorfälle zugute. Das soll auch durch einen Prozess zur Offenlegung von IT-Schwachstellen (sog. Vulnerability Disclosure Policy ) zum Austausch mit ethischen Hackern erreicht werden.
Die Art. 41 ff. CRA normieren von den Mitgliedstaaten zu benennende Marktaufsichtsbehörden und Maßnahmen zur Durchsetzung der genannten Pflichten.
Daneben sollen zukünftig auch Anreize für die Meldung von Schwachstellen geschaffen werden können, um Einzelpersonen oder Unternehmen für ihre Bemühungen eine Anerkennung zukommen zu lassen (sog. Bug-Bounty-Programme).
Der Cyber-Resilience-Act wird europaweit bisher unterschiedliche Standards vereinheitlichen. Er soll neben der NIS2-Richtlinie und dem Cybersecurity Act durch umfassende Ergänzung von Cybersicherheitsanforderungen für digitale Elemente den Kreis der EU Cybersicherheitsarchitektur schließen.[1] Die Wirtschaftsverbände haben größtenteils Zustimmung signalisiert, wenn auch vorgesehene Dokumentationspflichten als zu umfangreich und als bürokratischer Aufwand für die Unternehmen kritisiert werden. Auch der nach Art. 57 des CRA nur 24 Monate dauernde Umsetzungszeitraum könnte für Firmen, die umfassende Anpassungen in ihren Produktionsprozessen angehen müssen, zu kurz bemessen sein. Für Hersteller, die ihre Produkte nicht ausreichend gegen Angriffe aus dem Netz sichern, drohen nach Art. 53 CRA Strafen von bis zu 15 Millionen Euro oder 2,5 % des jährlichen Umsatzes.
Bis der Cyber-Resilience-Act in Kraft tritt, wird es allerdings noch länger dauern. Nach dem Vorschlag der Kommission müssen nun das europäische Parlament und die Mitgliedsstaaten zustimmen.
Gesetzgebungsverfahren auf EU-Ebene benötigen in der Regel Jahre, nicht Monate. Im Anschluss daran ist eine Umsetzungsfrist von zwei Jahren vorgesehen.
[1] Ziegler, Digitale Produktsicherheit: Der Vorschlag des Cyber Resilience Acts der EU-Kommission, jurisPR-ITR, 02/2023, S. 1.