Cyberresilienz: EU-Kommission sagt Sicherheitslücken den Kampf an
Hersteller von Produkten "mit digitalen Elementen" müssen die Cybersicherheit während des vollen Lebenszyklus etwa per Schwachstellenmanagement garantieren.
(Bild: PopTika/Shutterstock.com)
Mit einem Gesetz "zur Cyber-Widerstandsfähigkeit" will die EU-Kommission größere Cybersicherheitsdebakel künftig verhindern. Produkte "mit digitalen Elementen" wie Hard- und Software sollen "mit weniger Schwachstellen auf den Markt kommen", gibt die Brüsseler Regierungsinstitution in dem heise online vorliegenden Entwurf als Ziel aus. Hersteller müssten die Cybersicherheit künftig "während des gesamten Lebenszyklus eines Produkts ernst nehmen".
Geltungsbereich des "Cyber Resilience Act"
Der vorgesehene Geltungsbereich des "Cyber Resilience Act" ist weit gefasst. Unter Artikeln mit digitalen Elementen versteht die Kommission "jedes Software- oder Hardware-Produkt und seine Ferndatenverarbeitungslösungen" einschließlich zugehöriger Komponenten, "die getrennt in Verkehr gebracht werden sollen". Ein Schwerpunkt dürfte so auf dem Internet der Dinge liegen oder auf "Plaste-Routern", die aufgrund vieler eingebauter Sicherheitslücken bislang häufig einfach angreifbar sind.
Außen vor bleiben sollen Produkte, "die ausschließlich für die nationale Sicherheit oder für militärische Zwecke entwickelt wurden", oder die speziell für die Verarbeitung von Verschlusssachen bestimmt sind.
Cybersicherheitsanforderungen für gesamten Lebenszyklus
Die Hersteller der erfassten Artikel müssen laut dem Entwurf künftig grundlegende Cybersicherheitsanforderungen für das Design, die Entwicklung und den Fertigungsprozess erfüllen, bevor sie ein Gerät auf den Markt bringen dürfen. Sie sollen angehalten werden, Schwachstellen während des gesamten Lebenszyklus des Geräts zu überwachen und durch automatische und kostenlose Updates zu beheben.
Ferner sollen die Produzenten der EU-Cybersicherheitsbehörde Enisa jeden Vorfall melden, der sich auf die Sicherheit einer Hard- und Software auswirkt. Vorgesehen ist eine Pflicht, eine "koordinierte Politik zur Offenlegung von Schwachstellen" einzuführen, um die Meldung von Sicherheitslücken durch Einzelpersonen oder Unternehmen zu erleichtern. Prinzipielle Meldeauflagen sieht auch die geplante Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS2) vor. Eine Pflicht für staatliche Stellen, gefundene Schwachstellen zu melden, enthält der Entwurf nicht.
Verbot zur Markteinführung von Produkten mit bekannten Schwachstellen
Für alle einschlägigen Wirtschaftsakteure von den Herstellern bis hin zu den Händlern und Importeuren sollen Auflagen für das Inverkehrbringen von Produkten mit digitalen Elementen festgelegt werden, "die ihrer Rolle und Verantwortung in der Lieferkette angemessen sind", unterstreicht die Kommission. Die Liste der grundlegenden Anforderungen, die in einem Anhang zu dem selbst schon über 80 Seiten ausmachenden Entwurf ausgeführt werden, umfasst ein "angemessenes" Niveau der Cybersicherheit und das Verbot, Produkte mit bekannten Schwachstellen auf den Markt zu bringen
Weiter zu gewährleisten sein sollen etwa Security by Design, also der Einbau von Cybersicherheit direkt in die Produkte, sowie der Schutz vor unbefugtem Zugriff. Angriffsflächen müssten begrenzt, die Auswirkungen von Zwischenfällen minimiert werden. Die erfassten Artikel sollen die Vertraulichkeit der Daten sicherstellen, etwa durch Verschlüsselung. Pflicht werden soll der Schutz der Integrität und Verarbeitung von Informationen und Messwerten, die für das Funktionieren des Produkts unbedingt erforderlich sind.
Hochrisikoprodukte in zwei Klassen aufgeteilt
Über diese Basisauflagen hinaus hat die Kommission mehrere besonders kritische Hochrisikobereiche aufgelistet. Die entsprechenden Produkte teilt sie in zwei Klassen ein, für die vor allem ein unterschiedliches Konformitätsverfahren eingeführt werden soll. Zur Kategorie I gehören Identitätsmanagementsysteme, Browser, Passwortmanager, Antiviren-Programme, Firewalls, virtuelle private Netzwerke (VPNs), Netzwerkmanagement, umfassende IT-Systeme, physische Netzwerkschnittstellen, Router und Chips, die in essenziellen Einrichtungen verwendet werden.
Darüber hinaus umfasst diese Kategorie Betriebssysteme, Mikroprozessoren und das Internet of Things (IoT) in Unternehmen, die nicht als besonders empfindlich gelten. Die höhere Risikoklasse II beinhaltet Desktop- und Mobilgeräte, virtualisierte Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, Robotersensoren, intelligente Messgeräte und IoT-Geräte, Router und Firewalls für den industriellen Einsatz, der als "sensible Umgebung" gilt.
Die Kommission will sich hier selbst ermächtigen, sekundäre Rechtsvorschriften zu erlassen, um die Liste der kritischen Produkte der Klassen I und II zu aktualisieren und die Zertifizierung hochkritischer Produkte vorzuschreiben.
Prüfungsvorgaben
Hersteller sollen generell Konformitätseinschätzungen ihrer Produkte über ein internes Verfahren oder eine Prüfung durch anerkannte Stellen durchführen. Wenn der Produzent auf harmonisierte Standards setzt oder bereits ein Zertifikat im Rahmen eines europäischen Zertifizierungssystems für Cybersicherheit erhalten hat, soll davon ausgegangen werden, dass die entsprechende Hard- oder Software mit der Verordnung übereinstimmt.
Importeure und Händler werden verpflichtet sein, die Einhaltung der einschlägigen Verfahren durch den Hersteller und die CE-Kennzeichnung des Geräts zu überprüfen. Hersteller von kritischen Produkten der Klassen I und II müssen ein spezielles Verfahren für die Einhaltung der Vorschriften beachten. In der Hochrisikokategorie soll eine Bewertung durch Dritte nötig sein.
Marktüberwachungsstellen, Rückruf und Sanktionen
Die Mitgliedstaaten müssen laut dem Papier Marktüberwachungsstellen einrichten. Hierzulande käme dafür etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Frage. Diese Einrichtungen könnten gleichzeitig koordinierte Kontrollmaßnahmen ("Sweeps") durchführen. Bei Produkten, die ein erhebliches Cybersicherheitsrisiko darstellen und voraussichtlich nicht mit dieser Verordnung konform sind, oder bei solchen, die andere erhebliche Risiken etwa für die Gesundheit oder Sicherheit von Personen, für die Grundrechte oder für die Erbringung von Dienstleistungen durch essenzielle Einrichtungen bergen, kann die Kommission die Enisa auffordern, eine Bewertung vorzunehmen.
Zweiter Schritt könnte auf dieser Basis "die Anordnung der Rücknahme vom Markt oder des Rückrufs der betreffenden Produkte innerhalb einer angemessenen, der Art des Risikos entsprechenden Frist" sein. Hersteller, Importeure oder Händler, die die grundlegenden Anforderungen nicht einhalten, drohen als Sanktion Geldbußen bis zu 15 Millionen Euro oder 2,5 Prozent des Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Begründung der EU-Kommission
Den Verordnungsvorschlag begründet die Kommission damit, dass Hardware- und Softwareprodukte "zunehmend Gegenstand erfolgreicher Cyberangriffe" seien. Diese Entwicklung habe bis 2021 zu geschätzten jährlichen Kosten der Cyberkriminalität in Höhe von 5,5 Billionen Euro geführt. In einem vernetzten Umfeld könne ein Cybersicherheitsvorfall bei einem Produkt ein ganzes Unternehmen oder eine ganze Lieferkette in Mitleidenschaft ziehen und sich oft innerhalb weniger Minuten über die Grenzen des Binnenmarktes hinweg ausbreiten, verweist die Exekutivinstanz etwa auf die Fälle WannaCry und Kaseya. Wirtschaftliche und soziale Aktivitäten würden so unterbrochen oder sogar Leben bedroht.
Kommissionspräsidentin Ursula von der Leyen (CDU) hatte das Gesetz zur Cyber-Widerstandsfähigkeit im September 2021 in ihrer Rede zur Lage der Union angekündigt. Der Entwurf soll nun voraussichtlich am Dienstag im Rahmen ihrer neuen Jahresansprache veröffentlicht werden.
(bme)
