Cyber Resi­li­ence Act: Vor­schlag der EU-Kommission veröffentlicht

Neue Anfor­de­run­gen für Her­stel­ler von Pro­duk­ten mit digi­ta­len Elementen

Mit der zuneh­men­den Digi­ta­li­sie­rung und der Ver­net­zung von Pro­duk­ten stei­gen glei­cher­ma­ßen auch die Bedro­hun­gen aus dem digi­ta­len Raum: So stell­te EU-Kommissionspräsidentin von der Ley­en bereits im ver­gan­ge­nen Jahr anläss­lich der Rede zur Lage der Uni­on fest, dass, wenn alles ver­netzt sei, auch alles gehackt wer­den kön­ne. Um die EU in Bezug auf Cyber­an­grif­fe resi­li­en­ter zu machen, hat­te die EU-Kommission im ver­gan­ge­nen Jahr einen “Cyber Resi­li­ence Act” (CRA) ange­kün­digt und heu­te einen ent­spre­chen­den Vor­schlag veröffentlicht.

Adres­sa­ten­kreis und Verpflichtungen

Nach der Vor­stel­lung der EU-Kommission soll die neue Ver­ord­nung Her­stel­ler von Pro­duk­ten mit digi­ta­len Ele­men­ten in die Pflicht neh­men und für die­se ver­bind­li­che Vor­ga­ben zur Cyber­si­cher­heit schaf­fen. Neben Hard­ware­pro­duk­ten, wie z.B. Sen­so­ren und Kame­ras, Smart­cards, mobi­len Gerä­ten oder Netz­werk­ge­rä­ten wie Rou­ter und Swit­ches, sol­len ins­be­son­de­re auch Soft­ware­pro­duk­te und zuge­hö­ri­ge Diens­te erfasst wer­den. Bestimm­te Pro­duk­te, wie Medi­zin­pro­duk­te, die unter sek­tor­spe­zi­fi­sche Rechts­vor­schrif­ten fal­len, sind jedoch von den Vor­ga­ben des CRA aus­ge­nom­men. Für Funk­an­la­gen ist eine Zusam­men­füh­rung mit der Anfang des Jah­res ver­ab­schie­de­ten dele­gier­ten Ver­ord­nung zur Funk­an­la­gen­richt­li­nie (RED) geplant.

Her­stel­ler von Pro­duk­ten, die in den Anwen­dungs­be­reich des CRA fal­len, müs­sen dem Vor­schlag zufol­ge künf­tig unter ande­rem die fol­gen­den Vor­ga­ben beachten:

1. Die Pro­duk­te müs­sen bereits vor Markt­ein­füh­rung grund­le­gen­de Anfor­de­run­gen an die Cyber­si­cher­heit in Bezug auf Design, Ent­wick­lung und Fer­ti­gungs­pro­zes­se erfüllen.
2. Her­stel­ler müs­sen die digi­ta­len Pro­duk­te wäh­rend des gesam­ten Lebens­zy­klus über­wa­chen und etwa­ige Schwach­stel­len durch auto­ma­ti­sche und kos­ten­lo­se Updates beheben.
3. Im Fal­le eines Vor­falls, der sich auf die Sicher­heit der Hard­ware und/oder Soft­ware des Pro­dukts aus­wir­ken kann, sind die Her­stel­ler zur Mel­dung an die EU-Cybersicherheitsbehörde ENISA verpflichtet.

Beson­de­re Anfor­de­run­gen für “kri­ti­sche Produkte”

Her­stel­ler von aus Sicht der EU-Kommission “kri­ti­schen Pro­duk­ten” müs­sen dar­über hin­aus ein beson­de­res Kon­for­mi­täts­ver­fah­ren durch­lau­fen. Hier­zu teilt der Vor­schlag des CRA bestimm­te Pro­duk­te in zwei Klas­sen ein:

• Zu Klas­se 1 zäh­len dabei unter ande­rem Iden­ti­täts­ma­nage­ment­sys­te­me, Brow­ser, Pass­wort­ma­na­ger, Antiviren-Programme, Fire­walls, vir­tu­el­le pri­va­te Netz­wer­ke (VPNs), umfas­sen­de IT-Systeme, phy­si­sche Netz­werk­schnitt­stel­len sowie Rou­ter und Chips, die in essen­zi­el­len Ein­rich­tun­gen im Sin­ne der Richt­li­nie zur Netz- und Infor­ma­ti­ons­si­cher­heit 2 (“NIS-2-Richtlinie”) ver­wen­det werden.
• Zur höhe­ren Klas­se 2 zäh­len ins­be­son­de­re Desktop- und Mobil­ge­rä­te, vir­tua­li­sier­te Betriebs­sys­te­me, Aus­stel­ler digi­ta­ler Zer­ti­fi­ka­te, Allzweck-Mikroprozessoren, Kar­ten­le­se­ge­rä­te, Robo­ter­sen­so­ren, intel­li­gen­te Zäh­ler und alle IoT-Geräte sowie Rou­ter und Fire­walls für den indus­tri­el­len Ein­satz, der als “sen­si­ble Umge­bung” gilt.

Für Pro­duk­te der Klas­se 2 soll nach dem Vor­schlag der EU-Kommission zudem eine Bewer­tung durch Drit­te erfor­der­lich sein.

Markt­über­wa­chungs­stel­len und Sanktionen

Um eine Über­prü­fung der Ein­hal­tung der Vor­ga­ben des CRA zu gewähr­leis­ten, wer­den die Mit­glied­staa­ten zur Ein­rich­tung von Markt­über­wa­chungs­stel­len ver­pflich­tet, wel­che auch EU-weite koor­di­nier­te Kon­troll­maß­nah­men durch­füh­ren kön­nen sol­len. Im Fal­le eines Ver­sto­ßes dro­hen dann unter ande­rem der Rück­ruf der ent­spre­chen­den Pro­duk­te sowie Buß­gel­der in Höhe von bis zu 15 Mio. Euro bzw. 2,5 Pro­zent des Jah­res­um­sat­zes, je nach­dem wel­cher Wert höher ist.

Vor­aus­sicht­li­cher Zeitplan

Im Anschluss an den heu­te ver­öf­fent­lich­ten Vor­schlag der EU-Kommission wer­den sich nun­mehr der Euro­päi­sche Rat sowie das Euro­päi­sche Par­la­ment mit dem Geset­zes­vor­ha­ben befas­sen. Der Vor­schlag der Kom­mis­si­on sieht eine Gel­tung der neu­en Vor­ga­ben 24 Mona­te nach Inkraft­tre­ten der Ver­ord­nung vor, wobei jedoch ein­zel­ne Ele­men­te, wie z.B. die Mel­de­pflicht bei Sicher­heits­vor­fäl­len, bereits nach 12 Mona­ten gel­ten sollen.

Prak­ti­sche Auswirkungen

Der CRA soll für alle digi­ta­len Pro­duk­te auf dem euro­päi­schen Bin­nen­markt gel­ten. Um nicht den Anschluss zu ver­lie­ren und von den knap­pen Umset­zungs­fris­ten über­rum­pelt zu wer­den, soll­ten Her­stel­ler bereits jetzt prü­fen, wel­che Pro­dukt­an­for­de­run­gen an Cyber­si­cher­heit sie zukünf­tig ein­hal­ten müs­sen. Ins­be­son­de­re für Pro­duk­te, die bis­her nicht zu Sicher­heits­ak­tua­li­sie­run­gen aus der Fer­ne (OTA-Updates) in der Lage sind, soll­te tech­nisch ein ent­spre­chen­der Kanal geschaf­fen wer­den. Updata­bi­li­ty wird auch im Hin­blick auf mög­li­che Pro­dukt­war­nun­gen wich­ti­ger als jemals zuvor.

Dar­über hin­aus ist bemer­kens­wert, dass die EU-Kommission sich vom Kon­zept der frei­wil­li­gen Selbst­ver­pflich­tung der Her­stel­ler ver­ab­schie­det hat. Die Zer­ti­fi­zie­rung nach dem Cyber Secu­ri­ty Act dürf­te daher eben­so an Bedeu­tung ver­lie­ren wie das frei­wil­li­ge IT-Sicherheitskennzeichen des BSI. Unab­hän­gig von der kon­kre­ten Aus­ge­stal­tung des CRA stellt sich außer­dem die Fra­ge der Durch­set­zung. Dass stren­ge gesetz­li­che Vor­ga­ben ohne auf­sichts­be­hörd­li­che Kon­trol­le eher ein Papier­ti­ger sind, zeigt die DSGVO. Wäh­rend auf der einen Sei­te hohe Buß­gel­der vor­ge­se­hen sind, bemän­geln die Daten­schutz­auf­sichts­be­hör­den euro­pa­weit, dass sie zur Rechts­durch­set­zung weder finan­zi­ell noch per­so­nell aus­rei­chend aus­ge­stat­tet sind.

reusch­law One­pager zum Download

reusch­law One­pager Cybersecurity