Neue EU-Vorschriften für die Cybersicherheit von Hardware- und Softwareprodukten

CC – 09/2022

Die Europäische Kommission reagiert auf die zunehmende Gefahr von Cyberangriffen und hat dazu am 15.09.22 ihren Vorschlag für ein neues Cyberresilienzgesetz (Cyber Resilience Act) vorgelegt. Mit dem Verordnungsentwurf sollen verbindliche Cyber-Sicherheitsstandards für alle digitalen Hard- und Softwareprodukte eingeführt werden. Der Rechtsakt baut auf der EU-Cybersicherheitsstrategie von 2020 auf.

In einer vernetzten Welt ist Cybersicherheit auch für den Arbeitsschutz von grundlegender Bedeutung. Sicherheitsfunktionen an Maschinen und Anlagen können zufällig oder absichtlich manipuliert werden und nicht zur zu Schäden, sondern zu erheblichen Gefahren für Arbeitnehmerinnen und Arbeitnehmer führen.

Pflichten für Hersteller

Hersteller von digital vernetzten Produkten müssen beim Inverkehrbringen die Erfüllung von den EU- Sicherheitsanforderungen nachweisen, unabhängig davon, ob die Produkte in der EU hergestellt werden oder nicht. Darüber hinaus haben sie die Sorgfaltspflicht, Schwachstellen regelmäßig zu beheben und zu melden. Die Sicherheitsanforderungen müssen während des gesamten Lebenszyklus eines Produktes erfüllt werden. Bei Verstößen drohen Geldbußen in Höhe von bis zu 15 Millionen Euro beziehungsweise 2,5 Prozent des gesamten weltweiten Jahresumsatzes.

Transparenz für Verbraucher

Verbraucher sollen über die Cybersicherheit der Produkte, die sie kaufen und verwenden, ausreichend informiert werden. Indem Hersteller und Einzelhändler aufgefordert werden, der Cybersicherheit Priorität einzuräumen, würden Kundinnen und Kunden sowie Unternehmen in die Lage versetzt, besser informierte Entscheidungen zu treffen, die sich auf die Cybersicherheit von Produkten mit CE-Kennzeichnung beziehen, so der Plan der Europäischen Kommission.

Vernetzte Produkte, zwei Risikokategorien

Die vorgeschlagene Verordnung wird für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind, beispielsweise Babyphone, Kühlschränke oder Fitnessarmbänder. Es gibt einige Ausnahmen , die bereits unter die bestehenden EU-Vorschriften für die Cybersicherheit fallen, wie Medizinprodukte, Luftfahrtprodukte und Autos. Die Europäische Kommission führt zwei Kategorien kritischer Produkte ein. Bei Produkten mit geringem Risiko muss eine Selbstbewertung vorgenommen werden. Bei Kritischen sollen Dritte eine Konformitätsbewertung durchführen. Fällt diese positiv aus, würden die Hersteller und Entwickler eine EU-Konformitätserklärung ausstellen und diese mit dem CE-Kennzeichen nachweisen können.

Nächste Schritte

Nach dem Legislativentwurf der Europäischen Kommission werden nun das Europäische Parlament und die Mitgliedstaaten im Rat die Inhalte beraten. Nach der Verabschiedung der Verordnung haben Unternehmen und Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Ihrer Meldepflicht zu Sicherheitslücken sollen die Hersteller bereits nach einem Jahr ab dem Inkrafttreten nachkommen.