Cybersecurity-Gesetz: EU diskutiert Geltungsbereich und Herstellerpflichten
Die Abgeordneten des Europäischen Parlaments feilen an den Verpflichtungen, die ein neues Gesetz zur Cybersicherheit den Produktherstellern auferlegen wird, und daran, wie es auf Open-Source-Software angewendet werden soll.
Die Abgeordneten des Europäischen Parlaments feilen an den Verpflichtungen, die ein neues Gesetz zur Cybersicherheit den Produktherstellern auferlegen wird, und daran, wie es auf Open-Source-Software angewendet werden soll.
Der sogenannte Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung von Sicherheitsverpflichtungen für vernetzte Geräte. Eine dritte vollständige Überarbeitung des Textes wurde am Donnerstag (22. Juni) vom Büro des Berichterstatters des Europäischen Parlaments, dem zentristischen Europaabgeordneten Nicola Danti, in Umlauf gebracht und von EURACTIV eingesehen.
Die Abgeordneten der EU arbeiten an dem Dossier, wobei zwei technische Sitzungen für Dienstag und Freitag dieser Woche angesetzt sind. Eine endgültige politische Einigung zwischen den wichtigsten Fraktionen des Parlaments wird für kommenden Mittwoch (5. Juli) erwartet.
Geltungsbereich
Im Hinblick auf den Geltungsbereich der Verordnung wurde viel darüber diskutiert, inwieweit Open-Source-Software abgedeckt werden sollte, wobei der Text klarstellt, dass dies nur in bestimmten Fällen geschehen würde.
Konkret betrifft dies nur Open-Source-Software, die im Rahmen einer kommerziellen Tätigkeit auf dem Markt bereitgestellt wird, wobei die Bewertung für jedes einzelne Produkt erfolgt und sowohl das Entwicklungsmodell als auch die Lieferphase des Open-Source-Produkts berücksichtigt.
Als Beispiel für ein nichtkommerzielles Umfeld wird ein vollständig dezentralisiertes Modell angeführt, bei dem keine einzelne kommerzielle Einheit die Kontrolle darüber ausübt, was in die Codebasis des Projekts aufgenommen wird.
EU-Abgeordnete erwägen Sicherheits-Verpflichtungen für Online-Marktplätze
Am Dienstag (13. Juni) werden im Europäischen Parlament unter anderem Anforderungen für Online-Marktplätze, der Anwendungsbereich…
5 Minuten
Meldepflichten
Der Cyber Resilience Act verpflichtet die Hersteller, die EU-Cybersicherheitsagentur ENISA zu benachrichtigen, wenn sie von einer aktiv ausgenutzten Schwachstelle erfahren.
Der neue Wortlaut besagt, dass diese Meldepflicht nur dann gilt, wenn ein rechtswidriger oder böswilliger Akteur das Hacking durchführt. Mit anderen Worten: Wenn das Hacking von einer öffentlichen Behörde wie einer Strafverfolgungsbehörde ausgeht, besteht keine Meldepflicht.
Das Meldeverfahren würde mehrere Schritte umfassen, von einer Frühwarnung innerhalb eines Tages nach dem Ereignis bis hin zu einer ausführlicheren Meldung der Schwachstelle drei Tage später. Allerdings sind KMUs von der Frühwarnung ausgenommen, wenn sie nicht über ausreichende Kapazitäten verfügen.
Support-Dauer
Die EU-Abgeordneten rücken von dem Konzept der ‚erwarteten Produktlebensdauer‘ zugunsten einer ‚kürzeren Support-Dauer‘ ab, in dem die Hersteller den Umgang mit Schwachstellen sicherstellen sollen.
„Der Hersteller muss sicherstellen, dass die Support-Dauer in einem angemessenen Verhältnis zur erwarteten Produktlebensdauer steht und er muss die Art des Produkts, die Erwartungen der Nutzer, die Verfügbarkeit der Betriebsumgebung und gegebenenfalls die Support-Dauer der im Produkt integrierten Hauptkomponenten mit digitalen Elementen hinreichend berücksichtigt“, heißt es in dem Text.
Die Marktaufsichtsbehörden sollen sicherstellen, dass die Hersteller diese Kriterien bei der Festlegung der Support-Dauer in angemessener Weise anwenden.
Bei Support-Zeiträumen von weniger als fünf Jahren können die Hersteller Unternehmen, die einen Service zur Behebung von Sicherheitslücken anbieten, Zugang zum Quellcode gewähren. Die Anforderung, dass dieser Zugang kostenlos gewährt werden muss, wurde jedoch gestrichen.
EU beginnt mit Verhandlungen über Cybersicherheitsgesetze
Die Pflichten der Hersteller, die Berichterstattung, die Einhaltung der Vorschriften und die Durchsetzung sind die…
5 Minuten
Hochrisikolieferanten
In früheren Fassungen des Textes wurde das Konzept der Hochrisikolieferanten eingeführt, also Unternehmen, die aufgrund nichttechnischer Faktoren als unzuverlässig gelten. Dies ist beispielsweise bei chinesischen Lieferanten wie Huawei und ZTE der Fall.
Die Verpflichtungen für Importeure von angeschlossenen Geräten wurden dahingehend geändert, dass sie, wenn sie Grund zu der Annahme haben, dass ein Produkt ein solches nicht-technisches Risiko darstellen könnte, dessen Rücknahme in Betracht ziehen und die nationalen Behörden und die Kommission darüber informieren müssen.
Eine ähnliche Verpflichtung für Händler wurde „unter Berücksichtigung der Sitzung der Schattenberichterstatter“ gestrichen, heißt es in einer Anmerkung am Rande des Textes. Ein Verweis darauf, dass koordinierte Kontrollmaßnahmen vorrangig bei Verkäufern mit hohem Risiko durchgeführt werden sollten, wurde ebenfalls gestrichen.
Wenn nationale Behörden oder die EU-Kommission hinreichende Gründe für die Annahme haben, dass ein Produkt aus nicht-technischen Gründen eine erhebliche Bedrohung für die Cybersicherheit oder die nationale Sicherheit darstellt, sollten sie den Wirtschaftsakteuren darüber hinaus gezielte Empfehlungen zu den zu ergreifenden Abhilfemaßnahmen geben.
Konformitätsprüfung
Die Hersteller müssen nachweisen, dass sie die Cybersicherheitsanforderungen erfüllen, indem sie nach EU-Recht anerkannte technische Normen, von der Kommission herausgegebene gemeinsame Spezifikationen oder Cybersicherheits-Zertifizierungssysteme anwenden, die bereits seit einem Mindestzeitraum bestehen.
Alternativ können die Hersteller auch eine Bewertung durch Dritte mittels zertifizierter Prüfer, den sogenannten notifizierten Stellen, verlangen. Die EU-Länder haben bis zu einem Jahr nach Inkrafttreten der Verordnung Zeit, um sicherzustellen, dass es eine ausreichende Anzahl von notifizierten Stellen gibt, um Engpässe zu vermeiden.
EU-Kommission legt Cyberresilienz-Gesetz für vernetzte Geräte vor
Die EU-Kommission hat am Donnerstag (15. September) ihren Vorschlag für ein Cyberresilienz-Gesetz vorgelegt, der darauf…
5 Minuten
Leitfaden
Da die Verordnung verschiedene Bereiche berührt, wurde die Kommission beauftragt, Leitlinien zu Fragen wie dem Geltungsbereich, insbesondere in Bezug auf die Datenfernverarbeitung, die Klassifizierung kritischer Produkte und das Zusammenspiel mit anderen EU-Rechtsvorschriften zu erstellen.
Außerdem sollen Leitlinien zur Durchführung der Risikobewertung, zur angemessenen Festlegung der Support-Dauer und für die Mitgliedstaaten zur Nichtverfolgung von Informationssicherheitsforschern, so genannten ethischen Hackern, erstellt werden. Der letztgenannte Teil ist jedoch als „noch zu erledigen“ gekennzeichnet.
Hochkritisches Produkt
Für Produktkategorien, die als „hochkritisch“ eingestuft werden, wird die EU-Kommission ermächtigt, über delegierte Rechtsakte den Erhalt eines gemäß dem Cybersicherheitsgesetz ausgestellten Cybersicherheitszertifikats mit dem Zuverlässigkeitsgrad ‚hoch‘ zu verlangen.
Die Verpflichtung zur Erlangung des Zertifikats würde innerhalb eines Jahres nach Verabschiedung der sekundären Rechtsvorschriften gelten.
Expertengruppe
Der Berichterstatter stellte die Idee vor, eine Expertengruppe für die Widerstandsfähigkeit gegenüber Cyberangriffen einzurichten, die die Umsetzung des Cybersicherheitsgesetzes berät. Die Zusammensetzung der Gruppe wurde dahingehend überarbeitet, dass das Europäische Kompetenzzentrum für Cybersicherheit eingebunden wird.
[Bearbeitet von Nathalie Weatherald]
