Cyber Resilience Act: "Cybersicherheit geht die ganze Gesellschaft an"

Inhaltsverzeichnis

Verbraucher und Unternehmen sollen in der EU besser vor Produkten mit unzureichenden IT-Sicherheitsfunktionen geschützt werden. Die EU-Kommission hat dazu am Donnerstag ihren bereits vorab bekannt gewordenen Entwurf für ein Cyberresilienzgesetz präsentiert. Dabei gehe es darum, Sicherheit nun auch "im privaten Umfeld, in unseren Unternehmen und bei allen vernetzten Produkten" zu gewährleisten, betonte der für die Förderung der europäischen Lebensweise zuständige Kommissionsvizepräsident Margaritis Schinas. "Cybersicherheit ist nicht nur ein Thema für die Industrie, sondern für die ganze Gesellschaft."

Mit dem Cyber Resilience Act will die Brüsseler Regierungsinstitution grundlegende Anforderungen an die Gestaltung, Entwicklung und Herstellung von Produkten "mit digitalen Elementen" wie Hard- und Software einführen. Die Wirtschaftsteilnehmer sollen verpflichtet werden, die Cybersicherheit für den gesamten Produktlebenszyklus aufrecht zu erhalten. Dazu gehört etwa die Auflage, ein Schwachstellen-Management einzuführen. Ergänzend kommen Vorschriften für die Marktüberwachung und Durchsetzung dazu.

"Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind", erklärte die für Digitales zuständige Kommissionsvizepräsidentin Margrethe Vestager. Hunderte Millionen vernetzter Produkte seien "eine potenzielle Schwachstelle, über die Cyberangriffe erfolgen können", ergänzte Binnenmarktkommissar Thierry Breton. Er bezog sich dabei etwa auf Computer, Handys, Haushaltsgeräte, virtuelle Helfer-Apps, Autos oder Spielzeug. Mit dem Konzept der "integrierten Cybersicherheit" wolle die Kommission gegensteuern.

Security by design

Der Bundesverband der Verbraucherzentralen (vzbv) hat die Initiative bereits sehnsüchtig erwartet: Die bislang fehlende Verpflichtung der Hersteller zur Gewährleistung von IT-Sicherheit habe die Nutzer im digitalen Alltag "unzumutbaren Risiken und Gefahren ausgesetzt", verdeutlichte dessen Vorständin Ramona Pop. "Das reicht von digitalen Türschlössern, die zu leicht gehackt werden können, über ausspähbare Babyphones bis hin zu Identitätsdiebstahl mit schwerwiegenden finanziellen Schäden für Betroffene."

Der vzbv will laut Pop nun genau prüfen, inwiefern der Vorschlag ausreicht, "damit nur verlässliche und dauerhaft sichere Dienste und digitale Produkte auf dem europäischen Markt zugelassen werden". Die Verantwortung für die Sicherheit von Geräten dürfe nicht länger auf Verbraucher abgewälzt werden. Die Auflage sei daher richtig, die Cybersicherheit bereits bei der Entwicklung von Hard- und Software einzubeziehen – und zwar mit Blick auf den gesamten Lebenszyklus des Produktes. Selbstregulierungsansätze hatten die Situation bislang nicht verbessert. Die Einhaltung der Auflagen müsse daher von autorisierten unabhängigen Stellen zertifiziert und geprüft werden.

Der "gerade zur richtigen Zeit" kommende Verordnungsentwurf könne "einen wichtigen Beitrag zur Stärkung der Sicherheit vernetzter Geräte leisten", erkannte Achim Berg, Präsident des Digitalverbands Bitkom, an. "Ein wirksamer Schutz vor Cyberkriminellen ist Voraussetzung dafür, dass die Geräte und Technologien im vernetzten Zuhause auf ein neues Sicherheitsniveau gebracht werden." Krisenfestigkeit sei "wohl selten so wichtig wie heute" gewesen.

Mit dem Cyberresilienzgesetz werde "Security by Design" rechtlich vorgegeben, erläuterte Berg. Updates müssten für die gesamte Laufzeit eines Produkts garantiert werden. Das schaffe mehr Sicherheit für die Nutzer, erhöhe aber auch den bürokratischen Aufwand für die Unternehmen. Auf diese kämen etwa "umfangreiche Dokumentationspflichten" zu. Kritisch bewerte der Bitkom daher die Umsetzungsfrist von 24 Monaten nach Inkrafttreten der Regeln, die angesichts der deutlich längeren Entwicklungszyklen viele Firmen vor große Herausforderungen stelle.

Elektro- und Digitalindustrie noch nicht ganz zufrieden

Die Kommission gehe mit der Verordnung zur Cyberwiderstandsfähigkeit eine "notwendige Aufgabe" an, räumt der Verband der Elektro- und Digitalindustrie ZVEI ein. Selbst wenn die Branche damit stark belastet werde, sei ein harmonisiertes Spielfeld in diesem Bereich nötig. Die Definition kritischer und besonders kritischer Produkte, zu denen auch Mikrocontroller, industrielle Automatisierungs- und Steuerungssysteme oder Teile des in Fabriken eingesetzten Internets der Dinge gehörten, sei indes zu weit gefasst.

Hier könnte es künftig aufgrund der verschärften Vorgaben zu "großen Verzögerungen in der EU beim Einsatz digitaler Produkte und Komponenten kommen", warnte Wolfgang Weber, Vorsitzender der ZVEI-Geschäftsführung. Positiv sei dagegen, dass der Entwurf an etablierte Prozesse etwa zur Konformitätsbewertung anknüpfe und die Rolle der europäischen Normung stärke. Er hält die vorgesehene Übergangsfrist von zwei Jahren ebenfalls für deutlich zu kurz.

Bedrohung für freie Software

Als überfällig bezeichnete es der EU-Abgeordnete Patrick Breyer (Piratenpartei), kommerzielle Hersteller endlich in die Pflicht zu nehmen. Auf den ersten Blick greife der Aufschlag "aber einerseits zu kurz und geht andererseits zu weit": Es fehlt eine klare Pflicht für Produzenten, "bekannte Sicherheitslücken unverzüglich zu beheben". Für selbst verschuldete Schwachstellen müssten kommerzielle Hersteller zudem haftbar gemacht werden.

Andererseits sei die Entwicklung freier Software bedroht, weil an ehrenamtliche Programmierer dieselben Anforderungen gestellt würden wie an Firmen, moniert Breyer. Die Initiative sei unausgereift und müsse überarbeitet werden. René Repasi, verbraucherpolitischer Sprecher der Europa-SPD, vermisst eine eindeutige umfassende "Updateverpflichtung für Hersteller". Sicherheit von verbundenen Produkten oder Software müsse es nicht nur bei der Markteinführung, "sondern während der ganzen Gebrauchsdauer eines Artikels geben".

(emw)