Pflichten der Hersteller, Berichterstattung, Compliance und Durchsetzung sind die Hauptbereiche des ersten Kompromisses zum neuen Cybersicherheitsgesetz, über den die EU-Gesetzgeber nächste Woche diskutieren werden.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung grundlegender Cybersicherheitsanforderungen für vernetzte Produkte. Der Berichterstatter des Europäischen Parlaments, Nicola Danti, verteilte letzte Woche den ersten Kompromissänderungsantrag.
Die anderen Fraktionen haben bis Montag (22. Mai) Zeit, ihre schriftlichen Stellungnahmen vor der ersten Fachsitzung am kommenden Mittwoch einzureichen. Der von EURACTIV eingesehene Text basiert auf Dantis Berichtsentwurf und enthält Änderungen an wichtigen Teilen des Dossiers.
Umfang
Der Geltungsbereich der Verordnung wurde erweitert, um alle Produkte mit digitalen Elementen abzudecken, die eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk haben können.
Gleichzeitig wurden vernetzte Geräte, die ausschließlich für den Verteidigungssektor entwickelt wurden, ebenso ausgeschlossen wie solche mit nationaler Sicherheit und militärischen Zwecken.
Der Text der Präambel, der wesentliche Aspekte des Vorschlags abdeckt, etwa den Umgang mit offener Software, wurde nicht in die erste Kompromissrunde aufgenommen, da EURACTIV davon ausgegangen ist, dass der Berichterstatter noch keine Entscheidung zu diesem Thema getroffen hat.
Pflichten für Hersteller
Wenn ein Hersteller ein Produkt auf den EU-Markt bringt, muss er auf der Grundlage einer Risikobewertung ermitteln, welche grundlegenden Anforderungen er für seine Produkte als relevant erachtet, und die Wahl im technischen Dokument begründen.
Die Produkthersteller müssten die erforderlichen Sicherheits- und Funktionsupdates bereitstellen, die standardmäßig automatisch ausgerollt werden sollten, sofern sich die Benutzer nicht abmelden, zumindest während der gesamten Lebensdauer des Produkts.
Die Definition einer wesentlichen Änderung wurde dahingehend geändert, dass Sicherheitsupdates zur Behebung von Schwachstellen ausgeschlossen sind.
Die Hersteller müssen die technische Dokumentation, die die Einhaltung der Cybersicherheitsgesetze belegt, für die erwartete Lebensdauer des Produkts oder zehn Jahre aufbewahren, je nachdem, welcher Zeitraum länger ist.
Meldepflichten
Der Gesetzesentwurf verpflichtet Hersteller, ENISA, die EU-Cybersicherheitsagentur, über Cybersicherheitsvorfälle und aktiv ausgenutzte Schwachstellen zu informieren. Bei letzteren handelt es sich um sensiblere Informationen, daher wurde die Behandlung auf die Grundlage beschränkt, die man kennen muss.
Durch einen Änderungsantrag von Bart Groothuis, Berichterstatter für die überarbeitete Netzwerk- und Informationsrichtlinie (NIS2), wurden die Berichtspflichten zwischen den beiden Rechtsvorschriften angeglichen und sichergestellt, dass „ein Unternehmen nur einmal mit einer Geldstrafe belegt werden kann, wenn es sich überschneidende Anforderungen nicht einhält.“
Darüber hinaus wurde ein Absatz hinzugefügt, der der ENISA oder den nationalen Computer Emergency Response Teams (CSIRTs) die Möglichkeit geben würde, einen schwerwiegenden Vorfall im öffentlichen Interesse offenzulegen.
Bei schwerwiegenden Vorfällen müssten die Hersteller die betroffenen Benutzer und nur gegebenenfalls alle Benutzer informieren und sie über Risikominderungs- und Korrekturmaßnahmen informieren, die sie umsetzen können.
Darüber hinaus müssten die Hersteller einen einzigen Ansprechpartner einrichten, um den Nutzern eine schnelle und direkte Kommunikation mit ihnen zu ermöglichen.
Zusätzliche Verpflichtungen
Für Importeure und Händler kritischer Produkte, die für Unternehmen bestimmt sind, die gemäß NIS2 als wesentlich für das Funktionieren der Gesellschaft gelten, wurde eine neue Verpflichtung eingeführt, auch nichttechnische Risikofaktoren zu berücksichtigen.
Hier handelt es sich um Anbieter mit hohem Risiko, eine Kategorie, mit der die Nutzung eines Anbieters eingeschränkt wird, der unter dem Einfluss feindlicher Mächte steht, wie es beim chinesischen Telekommunikationsgiganten Huawei der Fall war.
Compliance nachweisen
Die Möglichkeit für Hersteller, die Einhaltung der Verordnung nachzuweisen, wurde durch die Erlangung einer europäischen Cybersicherheitszertifizierung ergänzt. Die Einhaltung wird vermutet, wenn die Hersteller harmonisierte technische Standards befolgen.
Der Kompromiss schreibt vor, dass harmonisierte Standards, gemeinsame Spezifikationen und Cybersicherheitszertifizierungssysteme sechs Monate lang in Kraft sein sollten, bevor das Konformitätsbewertungsverfahren in Kraft tritt.
Die Europäische Kommission kann verbindliche gemeinsame Spezifikationen herausgeben, wenn ein Normungsauftrag nicht angenommen wurde und innerhalb einer angemessenen Zeit keine harmonisierte Norm erwartet wird.
Die Hersteller kritischer Produkte müssen sich einer externen Überprüfung durch autorisierte Auditoren, die Benannten Stellen, unterziehen. Um Engpässe zu vermeiden, soll die Kommission sicherstellen, dass innerhalb von zwei Jahren nach Inkrafttreten der Verordnung eine ausreichende Zahl benannter Stellen in der EU zur Verfügung steht.
Durchsetzung
Die Marktüberwachungsbehörden könnten die ENISA um technische Beratung zur Durchsetzung der Verordnung bitten. Insbesondere könnte die ENISA aufgefordert werden, eine unverbindliche Bewertung für Produkte abzugeben, die ein erhebliches Cybersicherheitsrisiko darstellen.
Marktüberwachungsbehörden werden außerdem aufgefordert, detaillierte Daten zu Kategorien vernetzter Produkte bereitzustellen. Die Kommission soll die Daten analysieren, um bestimmte Produktkategorien zu identifizieren, bei denen die Nichtkonformität außergewöhnlich hoch ist.
Die Berücksichtigung nichttechnischer Risikofaktoren wurde auch für nationale Behörden eingeführt und ein Verweis auf die Identifizierung potenzieller eingebetteter Hintertüren oder anderer ausgenutzter Schwachstellen im Hinblick auf koordinierte Kontrollmaßnahmen, sogenannte Sweeps, hinzugefügt.
Produktlebensdauer
Eine der wichtigsten von Danti eingeführten Änderungen bestand darin, den Herstellern die Möglichkeit zu geben, die erwartete Produktlebensdauer so festzulegen, dass sie den angemessenen Erwartungen der Verbraucher entspricht. Diese Maßnahme wurde zwar beibehalten, der Kompromiss verpflichtet die Hersteller jedoch dazu, den Verwendungszweck des Produkts und Nachhaltigkeitsaspekte zu berücksichtigen.
Kritische Produkte
Im Kompromiss heißt es, dass „die Integration einer Komponente einer höheren Kritikalitätsklasse den Grad der Kritikalität für das Produkt, in das die Komponente integriert ist, nicht ändert“.
Die Liste der kritischen Produkte wurde geändert, um Plattformen zur Authentifizierung, Autorisierung und Abrechnung in die erste Klasse kritischer Produkte und biometrische Lesegeräte in die zweite Klasse aufzunehmen.
Sandkästen
Ein neuer Artikel fordert die Einrichtung regulatorischer Sandboxen, um Herstellern, die ihre Produkte testen möchten, eine kontrollierte Umgebung zu bieten.
[Edited by Nathalie Weatherald]
