Regulierung : EU-Cyberresilienzgesetz: Die Folgen für die Industrie

Der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton erklärte: „Im Bereich der Cybersicherheit ist Europa nur so stark wie sein schwächstes Glied – z. B. ein gefährdeter Mitgliedstaat oder ein unsicheres Produkt in der Lieferkette. Computer, Handys, Haushaltsgeräte, virtuelle Hilfsgeräte, Autos, Spielzeug usw. – alle diese hunderte Millionen von vernetzten Produkten sind eine potenzielle Schwachstelle, über die Cyberangriffe erfolgen können. Für die meisten Hardware- und Softwareprodukte gelten jedoch heute noch keine Cybersicherheitsanforderungen. Mit der Einführung des Konzepts der „integrierten Cybersicherheit“ trägt das Cyberresilienzgesetz dazu bei, die Wirtschaft in Europa zu schützen und die Sicherheit aller zu gewährleisten.“

In Bezug auf die Informationen und Anleitungen, die den Endnutzern zur Verfügung gestellt werden, ist im Cyberresilienzgesetz vorgesehen, dass die Hersteller im Hinblick auf Cybersicherheitsaspekte transparent sein und ihre Kundinnen und Kunden angemessen darüber informieren müssen. Zentrale Elemente des Vorschlags sind die Abdeckung des gesamten Lebenszyklus der Produkte, insbesondere die Verpflichtung der Hersteller und Entwickler, Informationen über das Ende der Lebensdauer der Produkte und die gebotene sicherheitsbezogene Unterstützung bereitzustellen, sowie Verpflichtungen zur Bereitstellung von Sicherheitsupdates und -unterstützung über einen angemessenen Zeitraum.

Solche Verpflichtungen sollen den Wirtschaftsteilnehmern – angefangen von Herstellern bis hin zu Händlern und Importeuren – in Bezug auf das Inverkehrbringen von Produkten mit digitalen Elementen in einem angemessenen Verhältnis zu ihrer Rolle und Verantwortung in der Lieferkette auferlegt werden. Auf der Grundlage des neuen EU-Rechtsrahmens für Produktvorschriften würden die Hersteller einem Konformitätsbewertungsverfahren unterzogen, um nachzuweisen, dass die für ein Produkt festgelegten Anforderungen eingehalten wurden. Dies könnte je nachdem, als wie kritisch das betreffende Produkt anzusehen ist, durch eine Selbstbewertung oder eine Konformitätsbewertung durch Dritte erfolgen. Wurde die Konformität eines Produkts mit den geltenden Anforderungen nachgewiesen, würden die Hersteller und Entwickler eine EU-Konformitätserklärung ausstellen und das CE-Zeichen anbringen können. Mit der CE-Kennzeichnung wird die Konformität von Produkten mit digitalen Elementen mit dem Cyberresilienzgesetz bestätigt, sodass sie im Binnenmarkt frei verkauft und benutzt werden können.

Laut Breton sind bei Nichteinhaltung Strafen von 2,5 bis 5 Prozent des Jahresumsatzes des Unternehmens möglich. Das Gesetz soll aber vor allem ein schnelles Eingreifen ermöglichen. So werde man Produkte, die der Richtlinie nicht entsprechen, sofort vom Markt nehmen können. "Die EU ist somit ein Vorreiter und schafft einen globalen Standard." Die Umsetzung soll eine eigens geschaffene Agentur überwachen, die ihren Sitz in Athen haben wird.

Die heute vorgeschlagenen Maßnahmen stützen sich auf den neuen Rechtsrahmen für EU-Produktvorschriften und werden Folgendes enthalten:

• Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um ihre Cybersicherheit zu gewährleisten.
  
  
• grundlegende Anforderungen an die Gestaltung, Entwicklung und Herstellung von Produkten mit digitalen Elementen und Verpflichtungen der Wirtschaftsteilnehmer in Bezug auf diese Produkte.
  
  
• grundlegende Anforderungen an die von den Herstellern anzuwendenden Verfahren zur Behebung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus zu gewährleisten, sowie Verpflichtungen der Wirtschaftsteilnehmer hinsichtlich dieser Verfahren. Zudem müssen die Hersteller aktiv ausgenutzte Schwachstellen und Vorfälle melden.

Mit den neuen Vorschriften erhalten die Hersteller mehr Verantwortung, da sie dafür sorgen müssen, dass Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, mit den Sicherheitsanforderungen übereinstimmen. Dies kommt Verbrauchern, Bürgerinnen und Bürgern sowie Unternehmen, die digitale Produkte verwenden, zugute, weil die Sicherheitsmerkmale transparenter werden, das Vertrauen in Produkte mit digitalen Elementen gestärkt wird und Grundrechte, wie das Recht auf Privatsphäre und Datenschutz, besser geschützt werden.

Die vorgeschlagene Verordnung wird für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Es gibt einige Ausnahmen für Produkte, die bereits unter die bestehenden EU-Vorschriften für die Cybersicherheit fallen, wie Medizinprodukte, Luftfahrtprodukte oder Pkw.

Es ist nun Sache des Europäischen Parlaments und des Rates, das vorgeschlagene Cyberresilienzgesetz zu prüfen. Sobald der Vorschlag angenommen ist und in Kraft tritt, haben die Wirtschaftsteilnehmer und die Mitgliedstaaten 24 Monate Zeit, um sich auf die neuen Anforderungen einzustellen. Eine Ausnahme von dieser Regel ist die Meldepflicht der Hersteller in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle, die ab einem Jahr nach Inkrafttreten gelten soll, da sie weniger organisatorische Anpassungen erfordert als die anderen neuen Verpflichtungen.