EU Cyber Resilience Act

Haufe Online Redaktion

Die Gesetzesinitiative der EU-Kommission zur Einführung des EU-Cyberresilience-Act soll EU-weit Hersteller und Händler dazu zwingen, künftig nur noch IT-Produkte mit hohen Standards für Cybersicherheit auf den Markt zu bringen.

Mit dem neuen Gesetz will die EU sicherstellen, dass Schwachstellen bei der Cybersicherheit digitaler Produkte, die innerhalb der EU in den Verkehr gebracht werden, auf das unvermeidbare Minimum reduziert werden. Während des gesamten Lebenszyklus eines Produktes soll die Verantwortung der Hersteller für die Cybersicherheit ihres Produkts nicht enden. Verbraucher sollen darüber hinaus transparent über mögliche Sicherheitsrisiken informiert werden.

Erstes EU-Gesetz zur Cyberresilienz (Cyber Resilience Act)

Der Cyber Resilience Act ist die erste EU-weite Rechtsvorschrift zur Cyberresilienz von Produkten mit digitalen Elementen. Die Erforderlichkeit begründet die Kommission mit den weltweit zunehmenden enormen Sicherheitsrisiken im IT-Bereich. So wird laut EU alle 11 Sekunden ein Ransomware-Angriff registriert. Weltweit wurden durch diese Angriffe im Jahr 2021 geschätzte Kosten von 20 Mrd. EUR verursacht, die weltweiten jährlichen Kosten zur Bekämpfung der Cyberkriminalität wurden 2021 auf 5,5 Bio. EUR geschätzt.

Digitale Dienste fallen nicht unter den Cyber Resilience Act

Das neue Gesetz soll für jegliche Produkte mit digitalen Elementen (Hard- und Software und auch für Funkanlagen) gelten die im europäischen Binnenmarkt veräußert werden, nicht aber für Software, die als Dienstleistung bereitgestellt wird. Dienstleister wie Cloud-Anbieter oder die Erbringer von Gesundheitsdienstleistungen fallen unter die NIS-2-Richtlinie, auf die sich der Rat bereits geeinigt hat und die ähnliche Sicherheitsanforderungen formuliert wie der beabsichtigte Cyber Resilience Act. Damit dient das neue Gesetz im Ergebnis auch der Harmonisierung der Sicherheitsanforderungen an Verkaufsprodukte und an digitale Dienste.

Cyber Resilience Act: Neue Pflichten für Hersteller und Vertreiber von Produkten mit digitalen Elementen

Mit dem Cyber Resilience Act kommen gesteigerte Sicherheitspflichten auf die Hersteller, aber auch auf die Vertreiber, Importeure und Händler von IT-Produkten zu. Besonderen Nachholbedarf sieht die EU-Kommission bei den bisher von den Herstellern in zu geringem

Umfang gewährten Sicherheitsupdates sowie einer lückenhaften und nicht immer transparenten Unterrichtung der Verbraucher. Nach dem Gesetzentwurf muss künftig

die Cybersicherheit in der Planungs-, der Entwurfs-, der Entwicklungs-, Produktions-, Liefer- und Wartungsphase berücksichtigt werden.
Flankierend wird eine Dokumentationspflicht für Cybersicherheitsrisiken eingeführt,
eine Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle,
eine Überwachungs- und Beseitigungspflicht von Schwachstellen während der erwarteten Produktlebensdauer (maximal 5 Jahre),
eine Pflicht für klare und verständliche Gebrauchsanweisungen,
die Verpflichtung zur Zurverfügungstellung von Sicherheitsupdates für mindestens 5 Jahre.

3 unterschiedliche Sicherheitskategorien im Cyber Resilience Act

Das Gesetz teilt die Produkte mit digitalen Elementen in 3 Kategorien ein, nämlich die Standardkategorie, die kritische Klasse I und die kritische Klasse II. Zur Standardkategorie gehören nach derzeitiger Schätzung ca. 90 % der Produkte, darunter unter anderem Produkte der Textverarbeitung, der Fotoverarbeitung, intelligente Lautsprecher, Festplatten, Spiele u. Ä

Kritische Produktklasse

Die ca. 10 % der Produkte, die zur kritischen Klasse gehören, werden unterteilt in die kritischen Klassen I und II. Kriterien für die Einstufung sind die Funktionalität, die beabsichtigte Art der Verwendung (z.B. industrielle Steuerungssysteme) sowie weitere Kriterien wie das Ausmaß der Auswirkungen von möglichen Sicherheitsproblemen. Zur kritischen Klasse I gehören unter anderem Passwortmanager, Netzschnittstellen, Firewalls, Mikrocontroller. In die kritische Klasse II werden Betriebssysteme, industrielle Firewalls, CPUs u. Ä. eingestuft.

Neues Konformitätsbewertungsverfahren nach dem Cyber Resilience Act

Die Hersteller sollen zum Nachweis der Erfüllung der Sicherheitsanforderungen einem Konformitätsbewertungsverfahren unterzogen werden. Dabei können je nach Einteilung in die unterschiedlichen Sicherheitsklassen die Konformitätsbewertung durch eine Selbstbewertung der Hersteller oder durch eine Drittbewertung erfolgen. Die diesem Verfahren vorausgehende Einteilung in die unterschiedlichen Sicherheitsklassen soll auf der Grundlage einer von den Herstellern abzugebenden (überprüfbaren) Selbsterklärung vorgenommen werden. Mit einer anzubringenden CE- Kennzeichnung soll die Konformität der Produkte mit digitalen Elementen mit dem Cyberresilienzgesetz bestätigt werden.

Konformitätskontrolle bleibt Aufgabe der Mitgliedstaaten

Die Konformitätskontrolle soll Aufgabe der Mitgliedstaaten werden. Diese müssen Marktüberwachungsbehörden benennen, die sich um die Durchsetzung der Verpflichtungen nach dem neuen Gesetz kümmern. Diese Marktüberwachungsbehörden sollen bei Feststellung einer Nichtkonformität abgestufte Möglichkeiten des Eingreifens haben:

Stufe 1: Anordnung der Beseitigung des festgestellten Risikos und Herstellung der Konformität.
Stufe 2: Einschränkung oder Untersagung der Bereitstellung des Produkts auf dem Markt.
Stufe 3: Anordnung eines Produktrückrufs.

Darüber hinaus kann die Überwachungsbehörde bei Gesetzesverstößen Geldbußen verhängen, deren Obergrenzen im Gesetz festgelegt werden sollen.

Kontinuierliche Evaluation des Cyber Resilience Act geplant

Das von der Kommission vorgeschlagene Gesetz muss nun vom europäischen Parlament und vom Rat geprüft und für gut befunden werden. Nach der Verabschiedung haben Wirtschaftsteilnehmer und Mitgliedstaaten 2 Jahre Zeit, sich auf die neuen Anforderungen einzustellen. Die Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle soll aber schon ein Jahr nach der Verabschiedung gültig sein. Die Kommission soll die Wirksamkeit des Gesetzes kontinuierlich prüfen und über die Ergebnisse in regelmäßigen Abständen Bericht erstatten.

Unternehmensverbände begrüßen Gesetzesinitiative

Betroffene Unternehmerverbände begrüßen das Gesetzesvorhaben in weiten Teilen. Sie sehen insbesondere Vorteile in der Bewältigung von Sicherheitsvorfällen sowie in der damit verbundenen Verringerung der Gefahren für das Image von Unternehmen auf dem Gebiet der Cybersicherheit und als Folge einer Steigerung des Verbrauchervertrauens. Die Wirtschaft kritisiert allerdings die nach ihrer Auffassung zu kurze Umstellungsfrist von 24 Monaten.

Cyber Resilience Act: TÜV-Verband kritisiert fehlende unabhängige Kontrolle

Der TÜV-Verband kritisiert, dass die Einteilung in unterschiedliche Risikogruppen auf Basis reiner Hersteller-Selbsterklärungen erfolgen soll. Hier sei die konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten zwingend erforderlich. Im Übrigen sieht der Verband den von der EU-Kommission vorgelegten Regulierungsentwurf im Wesentlichen positiv, insbesondere die zeitliche Erstreckung der Sicherheitsanforderungen über den gesamten Lebenszyklus eines Produkts sowie die mit dem Gesetz verbundene europaweite Harmonisierung.

Meistgelesene beiträge

Neueste beiträge

DSGVO-Verstoß allein kein Grund für Schadensersatz

07.05.2024
Europäische Umweltagentur veröffentlicht erste Europäische Klimarisikobewertung

30.04.2024
32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024

EU Cyber Resilience Act für mehr digitale Sicherheit