Mitglieder des Europäischen Parlaments (MdEP) sind dabei, die Verpflichtungen, die eine neue Gesetzgebung zur Cybersicherheit den Produktherstellern auferlegen wird, und deren Anwendung auf Open-Source-Software zu verfeinern.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung von Sicherheitsverpflichtungen für vernetzte Geräte. Das Büro des Berichterstatters des Europäischen Parlaments, der zentristischen Europaabgeordneten Nicola Danti, verteilte am Donnerstag (22. Juni) eine dritte vollständige Überarbeitung des Textes, die EURACTIV vorliegt.
Die EU-Gesetzgeber nähern sich der Angelegenheit und zwei technische Treffen sind für Dienstag und Freitag dieser Woche geplant. Eine endgültige politische Einigung zwischen den wichtigsten Fraktionen des Repräsentantenhauses wird voraussichtlich am kommenden Mittwoch (5. Juli) erzielt.
Umfang
Was den Geltungsbereich der Verordnung angeht, war ein viel diskutiertes Thema die Frage, in welchem Umfang Open-Source-Software abgedeckt sein sollte, wobei der Text klarstellte, dass dies nur in bestimmten Fällen der Fall sein würde.
Insbesondere ist nur Open-Source-Software abgedeckt, die im Rahmen einer kommerziellen Tätigkeit auf dem Markt verfügbar gemacht wird. Die Beurteilung erfolgt auf Produktbasis, wobei sowohl das Entwicklungsmodell als auch die Bereitstellungsphase des Open-Source-Produkts berücksichtigt werden.
Als Beispiel für eine nichtkommerzielle Umgebung wird ein vollständig dezentralisiertes Modell angeführt, bei dem keine einzelne kommerzielle Einheit die Kontrolle darüber ausübt, was in der Codebasis des Projekts akzeptiert wird.
Meldepflichten
Der Cyber Resilience Act schreibt vor, dass Hersteller die ENISA, die EU-Behörde für Cybersicherheit, benachrichtigen müssen, wenn ihnen eine aktiv ausgenutzte Schwachstelle bekannt wird.
Der neue Wortlaut weist darauf hin, dass eine solche Meldepflicht nur dann gilt, wenn ein rechtswidriger oder böswilliger Akteur den Hackerangriff durchführt. Mit anderen Worten: Wenn der Hackerangriff von einer öffentlichen Behörde wie einer Strafverfolgungsbehörde stammt, besteht keine Meldepflicht.
Der Benachrichtigungsprozess würde mehrere Schritte umfassen, von einer Frühwarnung innerhalb eines Tages nach dem Ereignis bis zu einer detaillierteren Schwachstellenbenachrichtigung drei Tage danach. Allerdings sind KMU von der Frühwarnung ausgenommen, wenn sie nicht über genügend Kapazitäten verfügen.
Supportzeitraum
Die Abgeordneten weichen vom Konzept der „Produktlebensdauer erwarten“ ab und setzen auf einen „kürzeren Supportzeitraum“, in dem Hersteller die Behebung von Schwachstellen sicherstellen sollten.
„Der Hersteller stellt sicher, dass der Supportzeitraum in einem angemessenen Verhältnis zur erwarteten Produktlebensdauer steht und berücksichtigt dabei gebührend die Art des Produkts, die Erwartungen der Benutzer, die Verfügbarkeit der Betriebsumgebung und gegebenenfalls den Supportzeitraum des Hauptprodukts.“ „In das Produkt integrierte Komponenten mit digitalen Elementen“, heißt es im Text.
Die Aufgabe der Marktüberwachungsbehörden besteht darin, sicherzustellen, dass die Hersteller diese Kriterien bei der Festlegung des Förderzeitraums angemessen berücksichtigen.
Für Supportzeiträume von weniger als fünf Jahren gewähren die Hersteller möglicherweise Zugriff auf den Quellcode für Unternehmen, die möglicherweise einen Service zur Bearbeitung von Schwachstellen anbieten. Allerdings wurde die Anforderung, dass dieser Zugang kostenlos gewährt werden muss, gestrichen.
Anbieter mit hohem Risiko
In früheren Fassungen des Textes wurde das Konzept von Hochrisikoanbietern eingeführt, d. h. Unternehmen, die aufgrund nichttechnischer Faktoren als nicht zuverlässig gelten, wie dies bei chinesischen Anbietern wie Huawei und ZTE der Fall ist.
Die Pflichten für Importeure vernetzter Geräte wurden dahingehend geändert, dass sie, wenn sie Grund zu der Annahme haben, dass ein Produkt ein solches nichttechnisches Risiko darstellen könnte, die Rücknahme des Produkts in Betracht ziehen und die nationalen Behörden und die Kommission darüber informieren müssen.
Eine ähnliche Verpflichtung für Händler wurde „unter Berücksichtigung der Sitzung der Schattenberichterstatter“ gestrichen, heißt es in einer Anmerkung am Rand des Textes. Ein Hinweis, dass koordinierte Kontrollmaßnahmen Hochrisikoanbietern Vorrang einräumen sollten, wurde ebenfalls gestrichen.
Darüber hinaus sollten nationale Behörden oder die Kommission, wenn sie hinreichende Gründe zu der Annahme haben, dass ein Produkt eine erhebliche Cybersicherheitsbedrohung oder eine nationale Sicherheitsbedrohung aus nichttechnischen Gründen darstellt, den Wirtschaftsakteuren gezielte Empfehlungen zu den zu ergreifenden Korrekturmaßnahmen aussprechen.
Konformitätsbewertung
Hersteller müssen nachweisen, dass sie die Cybersicherheitsanforderungen erfüllen, indem sie nach EU-Recht anerkannte technische Standards, von der Kommission herausgegebene gemeinsame Spezifikationen oder seit einem Mindestzeitraum bestehende Cybersicherheitszertifizierungssysteme anwenden.
Alternativ würden die Hersteller eine unabhängige Bewertung durch zertifizierte Auditoren, die Benannten Stellen, verlangen. Die EU-Länder haben bis zu einem Jahr nach Inkrafttreten der Verordnung Zeit, um sicherzustellen, dass eine ausreichende Anzahl benannter Stellen vorhanden ist, um Engpässe zu vermeiden.
Orientierungshilfe
Da die Verordnung verschiedene Bereiche berührt, wurde die Kommission damit beauftragt, Leitlinien zu Themen wie dem Anwendungsbereich, insbesondere in Bezug auf die Datenfernverarbeitung, der Klassifizierung kritischer Produkte und dem Zusammenspiel mit anderen EU-Rechtsvorschriften bereitzustellen.
Außerdem sind Leitlinien zur Durchführung der Risikobewertung, zur angemessenen Festlegung des Förderzeitraums und für die Mitgliedstaaten zur Nichtverfolgung von Informationssicherheitsforschern, sogenannten ethischen Hackern, erforderlich. Dieser letzte Teil ist jedoch als „noch abzuschließen“ gekennzeichnet.
Äußerst kritisches Produkt
Für Produktkategorien, die als „sehr kritisch“ gelten, wird die Kommission die Befugnis erhalten, durch delegierte Rechtsakte die Erlangung eines gemäß dem Cybersecurity Act ausgestellten Cybersicherheitszertifikats mit dem Sicherheitsniveau „hoch“ zu fordern.
Die Pflicht zur Erlangung der Bescheinigung würde innerhalb eines Jahres nach Verabschiedung des abgeleiteten Rechts gelten.
Expertengruppe
Der Berichterstatter stellte die Idee vor, eine Expertengruppe für Cyber-Resilienz einzurichten, die die Umsetzung der Cybersicherheitsgesetzgebung beraten soll. Die Zusammensetzung der Gruppe wurde weiter überarbeitet und umfasst nun auch das Europäische Kompetenzzentrum für Cybersicherheit.
[Edited by Nathalie Weatherald]
