Europäische Kommission veröffentlicht Cyberresilienzgesetz
Neue EU-Vorschriften für die Cybersicherheit von Hardware- und Softwareprodukten
CC – 09/2022
Die Europäische Kommission reagiert auf die zunehmende
Gefahr von Cyberangriffen und hat dazu am 15.09.22 ihren Vorschlag für ein
neues Cyberresilienzgesetz (Cyber Resilience Act) vorgelegt. Mit dem Verordnungsentwurf sollen verbindliche Cyber-Sicherheitsstandards für alle digitalen Hard- und
Softwareprodukte eingeführt werden. Der Rechtsakt baut auf der EU-Cybersicherheitsstrategie von 2020 auf.
In einer vernetzten Welt ist Cybersicherheit auch für den
Arbeitsschutz von grundlegender Bedeutung. Sicherheitsfunktionen an Maschinen
und Anlagen können zufällig oder absichtlich manipuliert werden und nicht zur
zu Schäden, sondern zu erheblichen Gefahren für Arbeitnehmerinnen und
Arbeitnehmer führen.
Pflichten für Hersteller
Hersteller von digital vernetzten Produkten müssen beim
Inverkehrbringen die Erfüllung von den EU- Sicherheitsanforderungen nachweisen,
unabhängig davon, ob die Produkte in der EU hergestellt werden oder nicht. Darüber
hinaus haben sie die Sorgfaltspflicht, Schwachstellen regelmäßig zu beheben und
zu melden. Die Sicherheitsanforderungen müssen während des gesamten
Lebenszyklus eines Produktes erfüllt werden. Bei Verstößen drohen Geldbußen in Höhe
von bis zu 15 Millionen Euro beziehungsweise 2,5 Prozent des gesamten
weltweiten Jahresumsatzes.
Transparenz für Verbraucher
Verbraucher sollen über die Cybersicherheit der Produkte,
die sie kaufen und verwenden, ausreichend informiert werden. Indem Hersteller
und Einzelhändler aufgefordert werden, der Cybersicherheit Priorität
einzuräumen, würden Kundinnen und Kunden sowie Unternehmen in die Lage
versetzt, besser informierte Entscheidungen zu treffen, die sich auf die
Cybersicherheit von Produkten mit CE-Kennzeichnung beziehen, so der Plan der
Europäischen Kommission.
Vernetzte Produkte, zwei Risikokategorien
Die vorgeschlagene Verordnung wird für alle Produkte gelten,
die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind,
beispielsweise Babyphone, Kühlschränke oder Fitnessarmbänder. Es gibt einige
Ausnahmen , die bereits unter die bestehenden EU-Vorschriften für die
Cybersicherheit fallen, wie Medizinprodukte, Luftfahrtprodukte und Autos. Die
Europäische Kommission führt zwei Kategorien kritischer Produkte ein. Bei Produkten
mit geringem Risiko muss eine Selbstbewertung vorgenommen werden. Bei Kritischen
sollen Dritte eine Konformitätsbewertung durchführen. Fällt
diese positiv aus, würden die Hersteller und Entwickler eine
EU-Konformitätserklärung ausstellen und diese mit dem CE-Kennzeichen nachweisen
können.
Nächste Schritte
Nach dem Legislativentwurf der Europäischen Kommission
werden nun das Europäische Parlament und die Mitgliedstaaten im Rat die Inhalte
beraten. Nach der Verabschiedung der Verordnung haben Unternehmen und
Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen
einzustellen. Ihrer Meldepflicht zu Sicherheitslücken sollen die Hersteller
bereits nach einem Jahr ab dem Inkrafttreten nachkommen.