EU-Gremien einig: Sicherheit vernetzter Geräte soll zertifiziert werden

EU-Verhandlungsführer machen den Weg frei für eine Verordnung zur Cybersicherheit, mit der eine Art europäisches Gütesiegel für vernetzte Produkte kommt.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen
EU-Gremien einig: Sicherheit vernetzter Geräte soll zertifiziert werden

(Bild: ec.europa.eu)

Lesezeit: 3 Min.

Vertreter des Europäischen Parlaments, des Ministerrats und der Kommission haben sich am Montagabend auf einen neuen "Cybersecurity Act" verständigt. Mit der nun prinzipiell vereinbarten Verordnung soll erstmals ein EU-weites Zertifizierungsschema für die IT-Sicherheit vernetzter Geräte, Systeme und Dienste kommen. Um ein Gütesiegel zu erhalten, müssen die Hersteller Mindeststandards rund um die Cybersicherheit der Produkte und Angebote einhalten, geht aus einer Mitteilung der EU-Kommission hervor.

Die Zertifikate sollen Verbrauchern anzeigen, dass etwa vernetzte Kühlschränke, Autos oder Fernseher zur Zeit des Prüfprozesses keine bekannten Schwachstellen enthielten und die Geräte internationale Standards und technische Spezifikationen einhalten. Hersteller müssen dafür die Vertraulichkeit, Integrität, Verfügbarkeit und den Datenschutz der eingebauten Online-Services nachweisen. Sie sollen auch zeigen, dass eine Wartung nur durch autorisiertes Personal möglich und Prozesse zur raschen Reaktion auf Angriffsflächen eingerichtet sind.

Die Anbieter müssen Risiken rund um "Cybervorfälle" minimieren und eine Zeitspanne angeben, in denen sie Sicherheitsupdates und Support liefern. Die Teilnahme an dem Zertifizierungsverfahren wird freiwillig sein. Die EU-Gremien setzen also darauf, dass Hersteller von Produkten für das Internet der Dinge mit einem Gütesiegel werben können. Sie unterstreichen, dass Zertifizierungen im Bereich kritischer Infrastrukturen wie der Strom- oder Wasserversorgung sowie im Bankensektor "besonders wichtig" seien.

Das EU-Parlament hatte hier im Gegensatz zu den Mitgliedsstaaten zunächst für eine klare Pflicht geworben, das Prüfverfahren zu durchlaufen. Entgegengekommen sind die Verhandlungsführer der Wirtschaft auch mit der Option, dass Firmen ihre Produkte in Eigenregie zertifizieren können, um Zeit zu sparen und kostspielige Tests in externen Labors zu vermeiden.

Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) soll die Bemühungen koordinieren, das Zertifizierungsverfahren einzurichten. Sie soll zudem ein dauerhaftes Mandat erhalten, um etwa die Mitgliedstaaten bei der Umsetzung der bereits bestehenden Richtlinie zur IT- und Netzwerksicherheit zu unterstützen oder jährliche Cybersecurity-Übungen durchführen zu können.

Der Entwurf muss noch vom Plenum des EU-Parlaments verabschiedet und vom Rat bestätigt werden, was aber als Formsache gilt. Im Anschluss werden die Regeln 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Union direkt in allen Mitgliedsstaaten in Kraft treten.

Mit der Verordnung reagiere die EU auf die Alarmglocken, die Angriffswellen über Trojaner wie WannaCry oder NotPetya zum Schrillen gebracht hätten, unterstrich die für die digitale Wirtschaft und Gesellschaft zuständige Kommissarin Mariya Gabriel. Die parlamentarische Berichterstatterin Angelika Niebler (CDU) sprach von einem "Meilenstein für Europa auf dem Weg, ein Global Player bei der Cybersicherheit zu werden". Das Vertrauen der Nutzer in IT-Lösungen werde gestärkt.

Verbraucherschützer hatten dagegen moniert, dass die Zertifizierung freiwillig bleiben solle. Dies sei eine "vertane Chance". Ohne verbindliche Anforderungen könnten Hersteller weiter vernetzte Produkte verkaufen, denen grundlegende Sicherheitsstandards fehlen. Hierzulande fordert der Chaos Computer Clubs (CCC) ein leicht erkennbares "Mindesthaltbarkeitsdatum" für Geräte im Internet der Dinge und lehnt daher die Routerrichtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI) ab. (anw)