Anforderungen an Online-Marktplätze, der Geltungsbereich der Cybersicherheitsverordnung sowie Regelungen zu kritischen und hochkritischen Produkten sollen am Dienstag (13. Juni) im Europäischen Parlament beraten werden.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung von Cybersicherheitsanforderungen für die Hersteller von Internet-of-Things-Produkten, vernetzten Geräten, die Daten erzeugen und austauschen.
Das Büro des Europaabgeordneten, der das Dossier leitet, Nicola Danti, hat am Donnerstag eine zweite Reihe von Kompromissänderungsanträgen in Umlauf gebracht, die EURACTIV eingesehen hat.
Online-Marktplätze
Auf der politischen Sitzung am Dienstag werden die Gesetzgeber über die Einführung von Pflichten für Online-Marktplätze im Einklang mit der Allgemeinen Produktsicherheitsverordnung diskutieren, die die Einrichtung einer zentralen Anlaufstelle für die Kommunikation mit Marktüberwachungsbehörden in Fragen der Cybersicherheit vorschreiben.
Im Gegenzug könnten die Marktüberwachungsbehörden Online-Marktplätze anweisen, Angebote für vernetzte Geräte, die ein erhebliches Cybersicherheitsrisiko darstellen, zu schließen, den Zugang zu sperren oder explizite Warnungen anzuzeigen.
Diese Bestellungen müssen den im Digital Services Act aufgeführten Bedingungen entsprechen. Nach Eingang solcher Bestellungen muss der Online-Marktplatz unverzüglich, spätestens jedoch innerhalb von zwei Tagen Maßnahmen ergreifen. Solche Rücknahmeverfügungen könnten sich auch auf alle identischen Angebote beziehen.
Online-Marktplätze sind verpflichtet, Lieferanten, die wiederholt gegen die Verordnung verstoßen, vorübergehend zu sperren.
Umfang
Die Frage, inwieweit die Regelung auch Open-Source-Software umfassen soll, bedarf weiterer Diskussionen auf politischer Ebene.
In seinem Berichtsentwurf schlug Danti vor, Ersatzteile, die ausschließlich für den Reparaturprozess bestimmt sind, aus dem Anwendungsbereich auszuschließen. Der Text legt nun fest, dass der Hersteller des Originalprodukts diese Ersatzteile liefern muss, um von dieser Ausnahme zu profitieren.
Der Kompromiss beseitigt eine Ausgliederung für Produkte, die für den Verteidigungssektor entwickelt werden.
Kritische und hochkritische Produkte
Der Cyber Resilience Act enthält eine Liste kritischer Produkte, bei denen sich die Hersteller externen Audits unterziehen müssen, um die Einhaltung nachzuweisen.
Die vorherige Reihe von Änderungen sah vor, dass die Kommission diese Liste nicht vor zwei Jahren nach Inkrafttreten der Verordnung ändern darf, um Rechtsklarheit und Verantwortung zu gewährleisten. Der neue Kompromiss geht noch weiter und sieht für jede weitere Änderung zwei Jahre vor.
Ebenso sieht der Entwurf des Cybersicherheitsgesetzes vor, dass die Europäische Kommission Produktkategorien als äußerst kritisch einstufen und Zertifikate verlangen könnte, die nach dem Cybersicherheitsgesetz ausgestellt werden. Der Text schreibt jedoch vor, dass die Zertifizierungspflicht erst nach einem Jahr gelten soll.
Der jüngste Text des Parlaments schreibt vor, dass diese Produktkategorie das höchste Maß an Sicherheit im Rahmen der Zertifizierungssysteme erfüllen muss. Im Gegensatz dazu würde für kritische Produkte ein Sicherheitsniveau von „wesentlich“ ausreichen.
Erwartete Produktlebensdauer
Danti hat den Grundsatz gestrichen, dass die Hersteller Sicherheitsupdates für mindestens fünf Jahre gewährleisten sollten, und überlässt es den Herstellern, entsprechend den vernünftigen Erwartungen der Verbraucher. Allerdings wurde das Adjektiv „angemessen“ gestrichen.
„Der Hersteller kann die Behandlung von Schwachstellen, einschließlich Sicherheitsupdates, für einen längeren Zeitraum als die erwartete Produktlebensdauer bereitstellen“, stellt der Text klar und fügt hinzu, dass Verbraucher gegebenenfalls vor dem Kauf über den Zeitraum zur Behandlung von Schwachstellen informiert werden sollten.
Berichterstattung
Der Cyber Resilience Act verlangt von Herstellern, alle Vorfälle und Schwachstellen, die aktiv ausgenutzt werden, der EU-Cybersicherheitsagentur ENISA zu melden. Der Text sieht vor, dass ENISA oder das zuständige Computer-Notfallteam einen Zwischenbericht anfordern können.
Darüber hinaus wird ENISA aufgefordert, nach Möglichkeit eine zentrale Anlaufstelle für Meldepflichten im Rahmen des neuen Cybersicherheitsgesetzes und anderer EU-Rechtsvorschriften einzurichten.
Die neue Formulierung verpflichtet die Hersteller, sofern erforderlich und auf der Grundlage einer Risikoanalyse, Händler und Endbenutzer rechtzeitig über die Nichteinhaltung der Cybersicherheitsanforderungen und, sofern verfügbar, über die Maßnahmen zur Risikominderung zu informieren, die sie ergreifen können.
Anbieter mit hohem Risiko
Mit der vorherigen Reihe von Kompromissänderungsanträgen wurde der Grundsatz eingeführt, dass Marktüberwachungsbehörden nichttechnische Risikofaktoren berücksichtigen sollten. Es wird nun festgestellt, dass diese Ergänzungen einer weiteren politischen Diskussion bedürfen.
Gleichzeitig schlägt der Berichterstatter vor, in die Präambel des Textes einen Hinweis aufzunehmen, dass die Marktbehörden bei der Durchführung koordinierter Aktionen, sogenannter Sweeps, die Erkennung von Hintertüren oder anderen ausnutzbaren Schwachstellen berücksichtigen sollten.
Expertengruppe
Die Zusammensetzung der Expertengruppe für Cyber-Resilienz wurde dahingehend geändert, dass sie nun auch Vertreter europäischer Normungsgremien umfasst, während „bei Bedarf auch Vertreter anderer EU-Agenturen eingeladen werden können“.
Darüber hinaus muss die Kommission die Gruppen bei der Ausarbeitung sekundärer Rechtsvorschriften konsultieren. Im Rahmen der Untersuchungen kann die Gruppe unverbindliche Stellungnahmen abgeben.
Verteilung der Einnahmen
In seinem Berichtsentwurf schlug Danti vor, die aus der CRA resultierenden Geldbußen für die Finanzierung von Cybersicherheitsprojekten im Rahmen des Programms „Digitales Europa“ zu verwenden.
Der Verweis auf das EU-Programm wurde entfernt und den Mitgliedstaaten wurde mehr Flexibilität bei der Finanzierung von Projekten zur Verbesserung der Cyberkompetenzen, zum Aufbau von KMU-Kapazitäten, zur Verbesserung des Bewusstseins für Cyberbedrohungen oder zur Verhinderung von Cyberdiebstahl geistigen Eigentums eingeräumt.
Essentielle Anforderungen
Die Möglichkeit für Nutzer, ihre Daten sicher abzurufen und dauerhaft zu entfernen, wurde in die Liste der wesentlichen Anforderungen aufgenommen.
[Edited by Alice Taylor]
