Seite 2: Hochrisikoprodukte in zwei Klassen aufgeteilt

Inhaltsverzeichnis

Über diese Basisauflagen hinaus hat die Kommission mehrere besonders kritische Hochrisikobereiche aufgelistet. Die entsprechenden Produkte teilt sie in zwei Klassen ein, für die vor allem ein unterschiedliches Konformitätsverfahren eingeführt werden soll. Zur Kategorie I gehören Identitätsmanagementsysteme, Browser, Passwortmanager, Antiviren-Programme, Firewalls, virtuelle private Netzwerke (VPNs), Netzwerkmanagement, umfassende IT-Systeme, physische Netzwerkschnittstellen, Router und Chips, die in essenziellen Einrichtungen verwendet werden.

Darüber hinaus umfasst diese Kategorie Betriebssysteme, Mikroprozessoren und das Internet of Things (IoT) in Unternehmen, die nicht als besonders empfindlich gelten. Die höhere Risikoklasse II beinhaltet Desktop- und Mobilgeräte, virtualisierte Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, Robotersensoren, intelligente Messgeräte und IoT-Geräte, Router und Firewalls für den industriellen Einsatz, der als "sensible Umgebung" gilt.

Die Kommission will sich hier selbst ermächtigen, sekundäre Rechtsvorschriften zu erlassen, um die Liste der kritischen Produkte der Klassen I und II zu aktualisieren und die Zertifizierung hochkritischer Produkte vorzuschreiben.

Prüfungsvorgaben

Hersteller sollen generell Konformitätseinschätzungen ihrer Produkte über ein internes Verfahren oder eine Prüfung durch anerkannte Stellen durchführen. Wenn der Produzent auf harmonisierte Standards setzt oder bereits ein Zertifikat im Rahmen eines europäischen Zertifizierungssystems für Cybersicherheit erhalten hat, soll davon ausgegangen werden, dass die entsprechende Hard- oder Software mit der Verordnung übereinstimmt.

Importeure und Händler werden verpflichtet sein, die Einhaltung der einschlägigen Verfahren durch den Hersteller und die CE-Kennzeichnung des Geräts zu überprüfen. Hersteller von kritischen Produkten der Klassen I und II müssen ein spezielles Verfahren für die Einhaltung der Vorschriften beachten. In der Hochrisikokategorie soll eine Bewertung durch Dritte nötig sein.

Marktüberwachungsstellen, Rückruf und Sanktionen

Die Mitgliedstaaten müssen laut dem Papier Marktüberwachungsstellen einrichten. Hierzulande käme dafür etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Frage. Diese Einrichtungen könnten gleichzeitig koordinierte Kontrollmaßnahmen ("Sweeps") durchführen. Bei Produkten, die ein erhebliches Cybersicherheitsrisiko darstellen und voraussichtlich nicht mit dieser Verordnung konform sind, oder bei solchen, die andere erhebliche Risiken etwa für die Gesundheit oder Sicherheit von Personen, für die Grundrechte oder für die Erbringung von Dienstleistungen durch essenzielle Einrichtungen bergen, kann die Kommission die Enisa auffordern, eine Bewertung vorzunehmen.

Zweiter Schritt könnte auf dieser Basis "die Anordnung der Rücknahme vom Markt oder des Rückrufs der betreffenden Produkte innerhalb einer angemessenen, der Art des Risikos entsprechenden Frist" sein. Hersteller, Importeure oder Händler, die die grundlegenden Anforderungen nicht einhalten, drohen als Sanktion Geldbußen bis zu 15 Millionen Euro oder 2,5 Prozent des Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Begründung der EU-Kommission

Den Verordnungsvorschlag begründet die Kommission damit, dass Hardware- und Softwareprodukte "zunehmend Gegenstand erfolgreicher Cyberangriffe" seien. Diese Entwicklung habe bis 2021 zu geschätzten jährlichen Kosten der Cyberkriminalität in Höhe von 5,5 Billionen Euro geführt. In einem vernetzten Umfeld könne ein Cybersicherheitsvorfall bei einem Produkt ein ganzes Unternehmen oder eine ganze Lieferkette in Mitleidenschaft ziehen und sich oft innerhalb weniger Minuten über die Grenzen des Binnenmarktes hinweg ausbreiten, verweist die Exekutivinstanz etwa auf die Fälle WannaCry und Kaseya. Wirtschaftliche und soziale Aktivitäten würden so unterbrochen oder sogar Leben bedroht.

Kommissionspräsidentin Ursula von der Leyen (CDU) hatte das Gesetz zur Cyber-Widerstandsfähigkeit im September 2021 in ihrer Rede zur Lage der Union angekündigt. Der Entwurf soll nun voraussichtlich am Dienstag im Rahmen ihrer neuen Jahresansprache veröffentlicht werden.

(bme)