Es wird erwartet, dass die wichtigsten Fraktionen des Europäischen Parlaments bei einem politischen Treffen am Mittwoch (5. Juli) zu einer gemeinsamen Position zur neuen Cybersicherheitsverordnung gelangen.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung von Cybersicherheitsanforderungen wie verbindlichen Sicherheitspatches und Schwachstellenbehandlung für Produkte des Internets der Dinge, verbundene Geräte, die Daten sammeln und austauschen können.
Die am Dossier beteiligten EU-Gesetzgeber für den federführenden Industrieausschuss des Europäischen Parlaments treffen sich am Mittwoch, um zu besprechen, wo mit dem Thema Open Source umgegangen werden soll, sei es im Chapeau oder im Textkörper, über den Supportzeitraum des Produkts, die Meldepflichten und der Zeitplan für das Inkrafttreten.
Im Vorfeld der politischen Billigung stellte die Berichterstatterin Nicola Danti nach einem technischen Treffen am Montag eine weitgehend konsolidierte Version des Textes vor, die EURACTIV eingesehen hatte. Die Abstimmung im Ausschuss ist für den 19. Juli geplant.
Umfang
Der jüngste Kompromiss stellt klar, dass auch die in die angeschlossenen Geräte integrierten Ferndatenverarbeitungslösungen, wie etwa Cloud-Funktionalitäten für Smart-Home-Geräte, in den Geltungsbereich der Verordnung fallen.
„Andererseits sollten Websites, die nicht untrennbar mit einem Produkt mit digitalen Elementen oder Cloud-Diensten verbunden sind, die außerhalb der Verantwortung des Herstellers liegen, nicht als Datenfernverarbeitungslösungen im Sinne dieser Verordnung betrachtet werden“, heißt es im Text.
Im Gegensatz dazu ist freie und Open-Source-Software außerhalb kommerzieller Umgebungen vom Geltungsbereich ausgenommen. In kommerziellen Umgebungen können Entwickler, die bei kommerziellen Unternehmen oder deren Arbeitgebern beschäftigt sind, die Kontrolle über die Änderungen ausüben, die in der Codebasis akzeptiert werden.
Verantwortlichkeiten in der Lieferkette
Die Sorgfaltspflichten zur Gewährleistung der Einhaltung der Cybersicherheitsanforderungen lägen bei den Herstellern, die sich dafür entscheiden, Komponenten von Drittanbietern, einschließlich freier und Open-Source-Software, in ihre Produkte zu integrieren.
Wenn die Hersteller bei der Durchführung dieser Due Diligence eine Schwachstelle entdecken, sollten sie diese beheben und den Entwickler der Komponente des von ihnen angewendeten Sicherheitspatches informieren.
Der Text des Parlaments verpflichtet die Hersteller von Komponenten, dem Endprodukthersteller alle relevanten Informationen zur Einhaltung der Verordnung kostenlos zur Verfügung zu stellen.
Die Verantwortung für die Einhaltung des Cybersicherheitsgesetzes geht auf jeden Wirtschaftsakteur über, der das Produkt wesentlich verändert. Die Aufgabe der Kommission besteht darin, Hinweise dazu zu geben, was wesentliche Änderungen darstellen.
Supportzeitraum
Die Definition des Supportzeitraums wurde geändert, um den Zeitrahmen einzubeziehen, in dem von den Herstellern erwartet wird, dass sie Schwachstellen beheben.
Hersteller sollten den Supportzeitraum im Verhältnis zur erwarteten Produktlebensdauer ausgestalten und den Marktbehörden auf Anfrage die relevanten Informationen zur Verfügung stellen. Behörden sollten aktiv dafür sorgen, dass die Hersteller den Supportzeitraum korrekt festlegen.
Meldepflichten
Hersteller müssen während des gesamten Supportzeitraums jede aktiv ausgenutzte Schwachstelle melden.
Die Abgeordneten erklärten, dass diese Verpflichtungen „Fälle abdecken, in denen ein Akteur bösartigen Code auf einem Produkt mit digitalen Elementen ausführt, um eine Sicherheitslücke zu erzeugen, indem er beispielsweise Schwachstellen in Identifikations- und Authentifizierungsfunktionen ausnutzt“.
Gleichzeitig werden in gutem Glauben durchgeführte Hackerangriffe, etwa zum Testen, Untersuchen, Korrigieren oder Fördern der Sicherheit des Systems und seiner Benutzer, verhindert.
Hersteller sollten es Dritten auch ermöglichen, Schwachstellen direkt an sie oder indirekt über das nationale Computer Security Incident Response Team zu melden, wenn sie dies anonym tun möchten.
Online-Marktplätze
In einer früheren Fassung des Textes führten die Abgeordneten Verpflichtungen für Online-Marktplätze ein, die eine zentrale Anlaufstelle einrichten müssen, um mit den Marktüberwachungsbehörden in Fragen der Cybersicherheit zu kommunizieren.
Der neue Wortlaut klärt Situationen, in denen ein Online-Marktplatz lediglich als Vermittler auftritt oder einige der von ihm verkauften vernetzten Geräte herstellt. In diesem Fall würden die Anforderungen des Gesetzesentwurfs auch diese abdecken.
Anbieter mit hohem Risiko
Der Wortlaut zu Anbietern mit hohem Risiko wurde im Vergleich zu früheren Änderungen deutlich abgeschwächt. Der Begriff umfasst Anbieter wie Huawei, die aufgrund des nationalen Gesetzes Chinas, das es der Regierung erlaubt, Zugriff auf Daten zu verlangen, als Risiko eingestuft werden.
Die Marktüberwachungsbehörde und die Europäische Kommission haben die Aufgabe, Leitlinien und gezielte Empfehlungen zur Umsetzung von Korrekturmaßnahmen für Produkte des Internets der Dinge bereitzustellen, die aufgrund dieser nichttechnischen Risikofaktoren ein erhebliches Cybersicherheitsrisiko darstellen.
Unterstützung für KMU
Die Abgeordneten wollen, dass die Kommission die Bemühungen der KMU zur Einhaltung der Verordnung unterstützt, indem sie die finanzielle Unterstützung über das Programm „Digitales Europa“ und andere EU-Programme rationalisiert. Auch die EU-Länder sollen ergänzende Maßnahmen in Betracht ziehen.
Der Artikel über regulatorische Sandboxen wurde zugunsten allgemeinerer kontrollierter Testumgebungen gestrichen, die EU-Länder mit Unterstützung von ENISA, der EU-Agentur für Cybersicherheit, einrichten könnten. Hersteller von Produkten, die ein KI-System verwenden, das nach dem KI-Gesetz als risikoreich gilt, können sich den im Rahmen dieser Verordnung eingerichteten regulatorischen Sandboxen anschließen.
Zeitleiste
Der Berichterstatter verschob den Geltungszeitraum von 24 auf 40 Jahre, während die Berichtspflichten von 12 auf 20 Monate seit Inkrafttreten der Verordnung verlängert wurden. Dieser Teil könnte noch erheblichen Veränderungen auf politischer Ebene unterliegen.
[Edited by Nathalie Weatherald]
