iStockphoto-robertiez

Europäisches Gesetz zur Cyberwiderstandsfähigkeit

Cybersicherheitsvorschriften auch für den Arbeitsschutz relevant.

SW – 04/2022

In einer vernetzten Welt ist Cybersicherheit auch für den Arbeitsschutz von grundlegender Bedeutung. Sicherheitsfunktionen an Maschinen und Anlagen können zufällig oder absichtlich manipuliert werden und nicht nur zu Schäden, sondern zu erheblichen Gefahren für Arbeitnehmerinnen und Arbeitnehmer führen.

Ein Hauptgrund für „erfolgreiche“ Hackerangriffe sind unzureichende Sicherheitsvorkehrungen. Dem möchte die Europäische Kommission mit einer Initiative über horizontale Cybersicherheitsanforderungen – also Anforderungen, die sich nicht nur auf einen Produktbereich beschränken – begegnen.

In Vorbereitung auf die Folgenabschätzung zur Initiative haben Interessenträger die Möglichkeit, zu Problemen und verschiedenen Lösungsansätzen Stellung zu nehmen. Gleichzeitig hat die Europäische Kommission eine öffentliche Konsultation mit spezifischen Fragen zum Thema „Cybersicherheit digitaler Produkte und Nebendienstleistungen“ eingeleitet.

Geltender Rechtsrahmen

Der geltende Rechtsrahmen der EU für digitale Produkte umfasst neben allgemeinen Vorschriften zur Produkthaftung verschiedene Rechtsvorschriften für Produkte, wie zum Beispiel die Medizinprodukteverordnung oder die Maschinenrichtlinie, die sich teilweise mit der Cybersicherheit befassen. Der bestehende Rechtsrahmen deckt jedoch nicht alle Arten von digitalen Produkten ab.

Dies betrifft neben einer Vielzahl von Hardware auch nicht eingebettete Softwareprodukte. Ebenso bleiben spezifische Cybersicherheitsanforderungen unberücksichtigt, die den gesamten Lebenszyklus eines Produkts abdecken. Anforderungen für den Lebenszyklus seien, so die Europäische Kommission, bei digitalen Produkten und Nebendienstleistungen jedoch von entscheidender Bedeutung.

Offen ist, wie die Europäische Kommission die Verbesserung der Cybersicherheit von Produkten und Dienstleistungen sicherstellen möchte. Neben rechtlich unverbindlichen Initiativen, wie der Einführung freiwilliger Maßnahmen, Leitlinien und Empfehlungen, stellt sie verschiedene Optionen rechtlich verbindlicher Regelungen zur Diskussion. Eine Möglichkeit seien „Ad-hoc“-Regulierungsmaßnahmen, bei denen bestehende Rechtsvorschriften bedarfsweise ergänzt oder geändert würden.

Gesetz mit horizontalen Cybersicherheitsanforderungen

Auch ein kombinierter Ansatz aus verbindlichen und unverbindlichen Vorschriften sei denkbar. Als weitere Alternative wird eine horizontale Regulierung von Cybersicherheitsanforderungen für einen breiten Anwendungsbereich materieller und immaterieller digitaler Produkte und zugehöriger Dienste, einschließlich nicht eingebetteter Software, genannt.

Hintergrund: Cyberkriminalität

Nach Einschätzung der Europäischen Kommission verursachten die Auswirkungen von Cyberkriminalität im Jahr 2020 Kosten für die Weltwirtschaft in Höhe von 5,5 Billionen Euro und verdoppelten sich damit gegenüber 2015. Beängstigend sind nicht allein die Kosten, sondern die Bandbreite der Angriffsmöglichkeiten, die von Insulinpumpen und Herzschrittmachern bis zu Industriekränen und Hochöfen in Stahlwerken reichen können.

Bereits in ihrer Rede zur Lage der Union 2021 hatte Kommissionspräsidentin Ursula von der Leyen eine führende Rolle der EU bei der Cybersicherheit gefordert und ein europäisches Gesetz zur Cyberwiderstandsfähigkeit angekündigt. Die Ergebnisse der Konsultationen sollen in das weitere Verfahren einfließen.

Ein Vorschlag der Europäischen Kommission, voraussichtlich einer Verordnung, ist für das dritte Quartal 2022 geplant. Weitere Informationen zu den Konsultationen, an denen eine Beteiligung bis zum 25. Mai 2022 möglich ist, finden Sie unter folgendem Link.