Europäisches Gesetz zur Cyberwiderstandsfähigkeit
Cybersicherheitsvorschriften auch für den Arbeitsschutz relevant.
SW – 04/2022
In einer
vernetzten Welt ist Cybersicherheit auch für den Arbeitsschutz von
grundlegender Bedeutung. Sicherheitsfunktionen an Maschinen und Anlagen können
zufällig oder absichtlich manipuliert werden und nicht nur zu Schäden, sondern zu
erheblichen Gefahren für Arbeitnehmerinnen und Arbeitnehmer führen.
Ein Hauptgrund
für „erfolgreiche“ Hackerangriffe sind unzureichende Sicherheitsvorkehrungen.
Dem möchte die Europäische Kommission mit einer Initiative über horizontale
Cybersicherheitsanforderungen – also Anforderungen, die sich nicht nur auf
einen Produktbereich beschränken – begegnen.
In Vorbereitung auf die Folgenabschätzung
zur Initiative haben Interessenträger die Möglichkeit, zu Problemen
und verschiedenen Lösungsansätzen Stellung zu nehmen. Gleichzeitig hat die Europäische Kommission eine
öffentliche Konsultation mit spezifischen Fragen zum Thema „Cybersicherheit
digitaler Produkte und Nebendienstleistungen“ eingeleitet.
Geltender Rechtsrahmen
Der geltende
Rechtsrahmen der EU für digitale Produkte umfasst neben allgemeinen
Vorschriften zur Produkthaftung verschiedene Rechtsvorschriften für Produkte, wie
zum Beispiel die Medizinprodukteverordnung oder die Maschinenrichtlinie, die
sich teilweise mit der Cybersicherheit befassen. Der bestehende Rechtsrahmen
deckt jedoch nicht alle Arten von digitalen Produkten ab.
Dies betrifft neben
einer Vielzahl von Hardware auch nicht eingebettete Softwareprodukte. Ebenso bleiben
spezifische Cybersicherheitsanforderungen unberücksichtigt, die den gesamten
Lebenszyklus eines Produkts abdecken. Anforderungen für den Lebenszyklus seien,
so die Europäische Kommission, bei digitalen Produkten und
Nebendienstleistungen jedoch von entscheidender Bedeutung.
Offen ist, wie
die Europäische Kommission die Verbesserung der Cybersicherheit von Produkten
und Dienstleistungen sicherstellen möchte. Neben rechtlich unverbindlichen
Initiativen, wie der Einführung freiwilliger Maßnahmen, Leitlinien und
Empfehlungen, stellt sie verschiedene Optionen rechtlich verbindlicher
Regelungen zur Diskussion. Eine Möglichkeit seien „Ad-hoc“-Regulierungsmaßnahmen,
bei denen bestehende Rechtsvorschriften bedarfsweise ergänzt oder geändert
würden.
Gesetz mit horizontalen Cybersicherheitsanforderungen
Auch ein kombinierter
Ansatz aus verbindlichen und unverbindlichen Vorschriften sei denkbar. Als
weitere Alternative wird eine horizontale Regulierung von
Cybersicherheitsanforderungen für einen breiten Anwendungsbereich materieller
und immaterieller digitaler Produkte und zugehöriger Dienste, einschließlich
nicht eingebetteter Software, genannt.
Hintergrund: Cyberkriminalität
Nach
Einschätzung der Europäischen Kommission verursachten die Auswirkungen von
Cyberkriminalität im Jahr 2020 Kosten für die Weltwirtschaft in Höhe von 5,5
Billionen Euro und verdoppelten sich damit gegenüber 2015. Beängstigend sind
nicht allein die Kosten, sondern die Bandbreite der Angriffsmöglichkeiten, die von
Insulinpumpen und Herzschrittmachern bis zu Industriekränen und Hochöfen in
Stahlwerken reichen können.
Bereits in
ihrer Rede zur Lage der Union 2021 hatte Kommissionspräsidentin Ursula von der
Leyen eine führende Rolle der EU bei der Cybersicherheit gefordert und ein
europäisches Gesetz zur Cyberwiderstandsfähigkeit angekündigt. Die Ergebnisse
der Konsultationen sollen in das weitere Verfahren einfließen.
Ein Vorschlag
der Europäischen Kommission, voraussichtlich einer Verordnung, ist für das
dritte Quartal 2022 geplant. Weitere Informationen zu den Konsultationen, an
denen eine Beteiligung bis zum 25. Mai 2022 möglich ist, finden Sie unter
folgendem Link.