In einer von EURACTIV eingesehenen verfeinerten Version des Cyber Resilience Act wurden die Teile zu Meldepflichten, hochkritischen Produkten und Produktlebensdauer vor der Billigung auf Botschafterebene optimiert.
Anfang dieses Monats veröffentlichte die spanische Präsidentschaft des EU-Ministerrats einen überarbeiteten Kompromiss, der am vergangenen Montag in der Horizontalen Arbeitsgruppe für Cyberfragen, einem technischen Gremium des Rates, erörtert wurde, um auf offene Fragen hinzuweisen, die angegangen werden müssen.
Diese Diskussion bildete die Grundlage für die endgültige Feinabstimmung, die sich in einem neuen Text widerspiegelte, den die spanische Ratspräsidentschaft am Donnerstag (13. Juli) vor der Sitzung des Ausschusses der Ständigen Vertreter verteilte, bei der am Mittwoch der Standpunkt des EU-Rats angenommen werden soll.
Am selben Tag soll auch der Industrieausschuss des Europäischen Parlaments, der das Dossier leitet, seine Fassung des Textes annehmen, eine Abstimmung im Plenum ist nicht zu erwarten. Die Verhandlungen zwischen den EU-Gesetzgebern sollen im September beginnen.
Meldepflichten
Mit der Cybersicherheitsverordnung wird die Pflicht für Hersteller eingeführt, die von einem Cybersicherheitsvorfall oder einer aktiv ausgenutzten Schwachstelle Kenntnis erlangen, die zuständige Behörde zu informieren.
Der Rat hat diese sensible Aufgabe von der ENISA, der EU-Behörde für Cybersicherheit, in die Hände der nationalen Computer Security Incident Response Teams (CSIRTs) übertragen. Der neue Text ermutigt die Mitgliedstaaten, eine einzige nationale Anlaufstelle für Meldepflichten einzurichten.
Das CSIRT, das die Meldung erhält, muss diese über eine einzige Meldeplattform an seine Kollegen weitergeben, es sei denn, es liegen angesichts der Sensibilität der gemeldeten Informationen berechtigte Gründe im Zusammenhang mit der Cybersicherheit vor, die Übermittlung zu verzögern.
Gemeinsam werden die CSIRTs Spezifikationen für die Anwendung dieser außergewöhnlichen Umstände sowie für die Organisation, Sicherheit und Art der über die Meldeplattform weiterzugebenden Informationen entwickeln.
ENISA wird die paneuropäische Plattform nach den Spezifikationen der CSIRTs einrichten und potenzielle Komplementaritäten mit der europäischen Schwachstellendatenbank analysieren, die im Rahmen der überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie (NIS2) eingerichtet wurde.
ENISA wird jeden Cybersicherheitsvorfall im Zusammenhang mit der Plattform unverzüglich benachrichtigen. Verweise auf die Gewährung des Zugangs für Marktüberwachungsbehörden zur Plattform wurden entfernt.
Eine zuvor hinzugefügte Formulierung, die den Herstellern Flexibilität bei der Festlegung der Meldefristen gegeben hätte, beispielsweise wenn sie eine Abhilfemaßnahme entwickeln, wurde gestrichen.
Der Hersteller muss den Benutzer außerdem über jeden Vorfall oder jede aktive Schwachstelle informieren. Gelingt dies nicht rechtzeitig, kann das benachrichtigte CSIRT eingreifen.
Hochkritische Produkte
Mit dem Cyber Resilience Act wird das Konzept hochkritischer Produkte eingeführt, für die die Europäische Kommission EU-Cybersicherheitszertifizierungssysteme vorschreiben könnte. In der neuesten Version wurde jedoch jeglicher explizite Verweis auf „hochkritische Produkte“ entfernt.
Die EU-Länder haben den Ermessensspielraum der EU-Exekutive bei dieser Aufgabe eingeschränkt und vor allem eine erste Liste äußerst kritischer Produktkategorien eingeführt, die die Kommission später ändern könnte.
Der Ratstext verlangt außerdem, dass die EU-Exekutive vor der Beantragung einer obligatorischen Zertifizierung eine Folgenabschätzung durchführen sollte, um die Angebots- und Nachfrageseite des Binnenmarkts sowie die Fähigkeit und Bereitschaft der Mitgliedstaaten zur Umsetzung der Systeme zu bewerten.
Frühere Fassungen des Textes deuteten darauf hin, dass von äußerst kritischen Produkten verlangt werden sollte, dem Sicherheitsniveau „erheblich“ oder „hoch“ gemäß dem Cybersecurity Act zu entsprechen. Dieser Verweis auf bestimmte Sicherheitsstufen wurde aus dem Text entfernt.
Darüber hinaus muss die Kommission eine Folgenabschätzung durchführen, bevor sie ein Cybersicherheitszertifikat anfordert, die Frist für die Durchführung wurde jedoch gestrichen. Die EU-Exekutive muss sich mit den relevanten Interessengruppen, einschließlich der European Cybersecurity Certification Group, beraten.
Produktlebensdauer
Die Hersteller müssen die voraussichtliche Produktlebensdauer angeben, während der Nutzer mit Sicherheitsupdates rechnen können.
Die bei dieser Berechnung zu berücksichtigenden Elemente wurden von den verbindlichen Teilen der Verordnung in die Präambel verschoben, nämlich die erwartete Verfügbarkeit der Betriebsumgebung, die Lebensdauer von Produkten mit ähnlichen Funktionalitäten und Leitlinien der Marktüberwachungsbehörden.
Weitere Punkte, die zuvor als relevant für die Bestimmung der erwarteten Produktlebensdauer aufgeführt wurden, wurden entfernt, nämlich der Verweis auf relevantes EU-Recht und die Art des Produkts, einschließlich der Lizenzbedingungen.
Marktüberwachungsbehörden sind nicht mehr berechtigt, von den Herstellern eine Begründung für die Berechnung der Produktlebensdauer zu verlangen.
Zuweisung von Verantwortung
Die Verantwortung für die Einhaltung des Cybersicherheitsgesetzes liegt beim Wirtschaftsakteur, der ein angeschlossenes Gerät erheblich verändert. Diese Verantwortung entfällt jedoch für Sicherheitspatches, die den beabsichtigten Zweck eines Produkts nicht verändern.
Es wurde ein neuer Wortlaut hinzugefügt, um klarzustellen, dass diese ausgeschlossenen Sicherheitsupdates solche umfassen, „die Funktionen oder die Leistung eines Produkts mit digitalen Elementen ändern, mit dem alleinigen Zweck, das Ausmaß des Cybersicherheitsrisikos zu verringern“.
Es wurden auch Produkte mit digitalen Elementen herausgearbeitet, die von einer öffentlichen Verwaltungseinheit ausschließlich für den eigenen Gebrauch entwickelt oder geändert wurden.
Durchsetzung
Die in der Verwaltungskooperationsgruppe versammelten EU-Marktüberwachungsbehörden werden Leitfäden herausgeben, um die Durchsetzung der Verordnung auf nationaler Ebene zu optimieren, insbesondere in Form von bewährten Verfahren und Indikatoren zur wirksamen Überprüfung der Einhaltung.
Ersatzteile
Vom Anwendungsbereich der Verordnung ausgenommen waren die Komponenten vernetzter Geräte, die ausschließlich als Ersatzteile zum Austausch identischer Komponenten hergestellt wurden. Die neue Version legt fest, dass diese Ersatzteile „den gleichen Entwicklungs- und Produktionsprozessen wie das Originalprodukt“ folgen müssen.
[Edited by Nathalie Weatherald]
