Eine neue Gesetzesinitiative der EU-Kommission zur Einführung des „Cyber Resilience Act“ soll EU-weit sowohl Hersteller als auch Händler dazu zwingen, künftig nur noch IT-Produkte mit hohen Standards für Cybersicherheit zu produzieren und auf den Markt zu bringen. Damit reagiert die EU auf zunehmende Angriffe und Bedrohungen.

Laut der europäischen Union gibt es alle 11 Sekunden einen Ransomware-Angriff. Betroffen von solchen Angriffen sind nicht nur Unternehmen, sondern zunehmend auch Privatpersonen. Weltweit wurden durch solche Angriffe im Jahr 2021 rund 20 Milliarden Euro an Kosten verursacht. Die Summe zur weltweiten jährlichen Bekämpfung der Cyberkriminalität beläuft sich inzwischen auf die unglaubliche Summe von 5,5 Billiarden Euro.

Flickenteppich bei Cybersicherheit soll EU-weit vereinheitlicht werden

Anhand dieser Zahlen zeigt sich, dass auf EU-Ebene gehandelt werden muss. Die bestehenden Vorschriften gelten zwar bereits für bestimmte Produkte mit digitalen Elementen, aber für die meisten Hardware- und Softwareprodukte gibt es derzeit keine einheitlichen EU-Rechtsvorschriften, die sich mit ihrer Cybersicherheit befassen. Bereits innerhalb der EU gibt es keine Standards, jeder Mitgliedstaat schafft derzeit noch seine eigenen Bedingungen. Die damit einhergehende Rechtsunsicherheit schafft Probleme für EU-weit tätige Unternehmen. Insbesondere der derzeitige EU-Rechtsrahmen befasst sich nicht mit der Cybersicherheit von nicht eingebetteter Software, auch wenn Angriffe auf die Cybersicherheit zunehmend auf Schwachstellen gerade in diesen Produkten abzielen und wie aufgezeigt erhebliche gesellschaftliche und wirtschaftliche Kosten verursachen.

WBS steht Ihnen bei rechtlichen Fragen jederzeit zur Verfügung

Unsere Experten beraten Sie jederzeit gerne umfassend in allen IT-rechtlichen und datenschutzrechtlichen Fragestellungen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Der Entwurf des neuen Cyber Resilience Act, der Mitte Oktober 2022 vorgestellt wurde, ist nun die erste EU-weite Rechtsvorschrift zur Cyberresilienz von Produkten mit digitalen Elementen. Dabei geht es primär darum, Sicherheit nun auch im privaten Umfeld, in europäischen Unternehmen und bei allen vernetzten Produkten zu gewährleisten Das Gesetz ist damit ein weiterer Baustein von mehreren Regulierungsinitiativen der EU-Kommission, mit denen man die Gesellschaft vor den negativen Auswirkungen der fortschreitenden digitalen Technologie, der vernetzten Wirtschaft und den geopolitischen Interessen schützen will.

Cyber Resilience Act bringt überfällige Sicherheitsanforderungen

Das neue Gesetz soll dabei für alle Produkte mit digitalen Elementen gelten, welche auf dem europäischen Binnenmarkt veräußert werden. Ausgenommen ist Software, die als Dienstleistung bereitgestellt wird. Cloud-Anbieter sowie Erbringer von Gesundheitsdienstleistungen und ähnliche Dienstleister fallen zudem bereits unter die NIS2-Richtlinie, auf die man sich bereits geeinigt hat und welche ähnliche Sicherheitsanforderungen wie der Cyber Resilience Act formuliert.

Klar ist: Mit dem neuen Gesetz kommen erhöhte Sicherheitspflichten auf die Hersteller, Vertreiber, Importeure und Händler von IT-Hard- und Software zu. Sichergestellt werden soll, dass bei digitalen Produkten, die auf den europäischen Markt kommen, die Sicherheits-Schwachstellen auf ein Minimum reduziert werden. Mittels „Security by Design“ soll die Sicherheit digitaler Komponenten, etwa der IoT-Geräte (IoT: Internet of Things), von Anfang an verankert werden können. Besonderen Handlungsbedarf sieht die EU bei Produkt-Sicherheitsupdates und einer transparenten Unterrichtung der Verbraucher. Die Sicherheitsverantwortung soll daher künftig die gesamte Lebensdauer des Produktes über beim Hersteller liegen. So sollen kontinuierliche Maßnahmen, wie regelmäßige Updates, gewährleistet werden. Über eventuell vorherrschende Sicherheitsrisiken sollen Verbraucher transparent informiert werden, damit diese einen realistischen Einblick in die Sicherheitslage erhalten.

Nach dem Gesetzentwurf muss genauer gesagt künftig die Cybersicherheit in der Planungs-, der Entwurfs-, der Entwicklungs-, Produktions-, Liefer- und Wartungsphase berücksichtigt werden. Daneben wird endlich sie überfällige Dokumentationspflicht für Cybersicherheitsrisiken eingeführt sowie eine Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle. Auch eine Überwachungs- und Beseitigungspflicht von Schwachstellen während der erwarteten Produktlebensdauer (maximal 5 Jahre) soll eingeführt werden. Auf eine Pflicht für klare und verständliche Gebrauchsanweisungen sowie die Verpflichtung zur Verfügungstellung von Sicherheitsupdates für mindestens 5 Jahre wurde ebenfalls lange hingewirkt und ist insbesondere aus Verbrauchersicht begrüßenswert.

Produkte werden in drei Sicherheits-Klassen unterteilt

Der Cyber Resilience Act unterteilt künftig die Produkte in drei Kategorien. Diese können auch im Factsheet grafisch nachvollzogen werden. Unter die Standardklasse werden sich künftig rund 90% der Produkte klassifizieren lassen. Als Beispiele werden hier Produkte zur Textverarbeitung, zur Fotoverarbeitung sowie intelligente Lautsprecher, Festplatten, und Computerspiele genannt. Die restlichen 10% der Produkte werden sodann in die kritischen Kategorien der Klasse I und Klasse II unterteilt. Zur genauen Einordnung wird die EU künftig Kriterien nutzen, anhand derer die Einordnung gelingen soll. Hierzu zählen die Funktionalität (z.B. kritische Software), die beabsichtigte Art der Verwendung (z.B. industrielle Steuerungssysteme) sowie weitere Kriterien wie beispielsweise das Ausmaß der Auswirkungen von möglichen Sicherheitsproblemen. Zur kritischen Klasse I zählen unter anderem Passwortmanager, Netzschnittstellen, Firewalls und Mikrocontroller, während in die kritische Klasse II Betriebssysteme, industrielle Firewalls, CPUs etc. eingestuft werden.

Konformitätsbewertung durch Selbstbewertung und/oder Bewertung durch Dritte

Die Hersteller sollen zum Nachweis der Erfüllung der Sicherheitsanforderungen einem Konformitätsbewertungsverfahren unterzogen werden. Je nach Klassifizierung stehen den Herstellern unterschiedliche Optionen hierfür zur Verfügung. In der Regel sollte die Konformitätsbewertung von Produkten mit digitalen Elementen vom Hersteller in eigener Verantwortung durchgeführt werden. Neben der Selbstbewertung kann dies auch durch eine Bewertung eines Dritten erfolgen. In Anbetracht des noch größeren Cybersicherheitsrisikos, das mit der Verwendung von als kritisch eingestuften Produkten der Klasse II eingestuft sind, sollte die Konformitätsbewertung in der kritischen Klasse II immer von einer dritten Partei durchgeführt werden.

Die Kontrolle der Bewertungsverfahren soll den EU-Mitgliedsstaaten auferlegt werden. Die Mitgliedstaaten müssen Marktüberwachungsbehörden benennen, die sich sodann um die Durchsetzung der Verpflichtungen nach dem neuen Gesetz kümmern. Sollten dabei Mängel festgestellt werden, so kann zunächst die Beseitigung des festgestellten Risikos angeordnet werden. Sodann kann die Bereitstellung des jeweiligen Produkts eingeschränkt oder gar ganz untersagt werden. Schließlich ist es Behörden möglich anzuordnen, dass Produkt gänzlich vom Markt zurückzurufen. Auch Geldbußen in Höhe von bis zu 15 Mio. Euro bzw. 2,5 Prozent des Jahresumsatzes, je nachdem welcher Wert höher ist, sollen verhängt werden können.

Ordentliches Gesetzgebungsverfahren nimmt nun seinen Lauf

Die von der Kommission vorgeschlagenen Gesetze werden vom Europäischen Parlament und vom Ministerrat gemeinsam angenommen. Der Prozess kann bis zu drei Lesungen umfassen. Bis der Cyber Resilience Act also Wirklichkeit wird, kann noch einige Zeit vergehen. Der Kommissionsvorschlag wird nun zunächst dem Parlament und dem Rat zugestellt. Der Vorschlag der Kommission sieht eine Geltung der neuen Vorgaben 24 Monate nach Inkrafttreten der Verordnung vor, wobei jedoch einzelne Elemente, wie z.B. die Meldepflicht bei Sicherheitsvorfällen, bereits nach 12 Monaten gelten sollen.

tsp