Der tschechische EU-Ratsvorsitz hat den ersten Kompromiss zum Cyber Resilience Act vom 18. November in Umlauf gebracht und von EURACTIV erhalten, wobei der Geltungsbereich und die Freizügigkeitsklausel des Vorschlags stark überarbeitet wurden.
Der Cyber Resilience Act ist eine horizontale Gesetzgebung, die grundlegende Cybersicherheitsanforderungen für vernetzte Geräte und die damit verbundenen Dienste einführen soll. Seit der Veröffentlichung des Vorschlags im September waren die nationalen Vertreter im EU-Rat in Vorgespräche verwickelt.
Der neue Text wird am Mittwoch (23. November) in der Horizontal Working Party on Cyber Issues, einem vorbereitenden Gremium im EU-Rat, diskutiert. Im Anschluss an diese Vordiskussion werden die Mitgliedstaaten aufgefordert, schriftliche Kommentare abzugeben.
nationale Sicherheit
Der Vorsitz fügte hinzu, dass die Verordnung die Mitgliedstaaten nicht daran hindern sollte, aus Gründen der nationalen Sicherheit nationale Beschränkungen für Produkte mit digitalen Elementen aufzuerlegen, einschließlich durch ein Verbot von ihren Märkten.
„Diese Verordnung gilt unbeschadet der Verantwortlichkeiten der Mitgliedstaaten zur Wahrung der nationalen Sicherheit oder ihrer Befugnisse zur Wahrung anderer wesentlicher staatlicher Funktionen, einschließlich der Gewährleistung der territorialen Integrität des Staates und der Aufrechterhaltung von Recht und Ordnung“, fährt das Dokument fort.
Darüber hinaus wurden auch vernetzte Produkte, die ausschließlich für Verteidigungszwecke entwickelt wurden, vom Geltungsbereich der Verordnung ausgenommen. Diese Ausgliederung könnte zu Unsicherheiten in Bezug auf Dual-Use-Technologie führen, die sowohl im militärischen als auch im zivilen Bereich eingesetzt werden kann.
Der Kompromiss schränkt auch die Meldepflichten von Informationen ein, deren Offenlegung der nationalen Sicherheit, der öffentlichen Sicherheit oder den Verteidigungsinteressen eines EU-Landes zuwiderlaufen könnte.
Ebenso besagt der Kompromiss, dass der Cyber Resilience Act die Mitgliedstaaten nicht daran hindern soll, die Konformität von Produkten zu bewerten, die im Militär- oder Verteidigungsbereich, für Zwecke der nationalen Sicherheit oder zur Verarbeitung von Verschlusssachen verwendet werden.
Software
Laut einer Entwurfsversion des Fortschrittsberichts vom 18. November, die ebenfalls EURACTIV vorliegt, konzentrierte sich ein wesentlicher Teil der Diskussionen im Rat darauf, inwieweit Software-as-a-Service von der Verordnung abgedeckt wird.
Dieses Thema war von Anfang an sensibel. Noch bevor der Entwurf ausgearbeitet war, haben Dänemark, Deutschland und die Niederlande einen Non-Paper-Aufruf zur Ausweitung des Anwendungsbereichs auf Software-as-a-Service herausgegeben.
In diesem Zusammenhang schlugen die Tschechen vor, den folgenden Absatz zur Definition von Software aufzunehmen: „Computercode besteht aus einer Sequenz oder einem Satz von Anweisungen, die in einer Programmiersprache beschrieben sind, einschließlich Maschinen- oder Binärcode, die von einer anderen Software oder von Hardware ausgeführt und verarbeitet werden sollen , Speichern oder Übermitteln digitaler Daten“.
Sektorale Gesetzgebung
Produkte, die unter die EU-Richtlinie zur Harmonisierung von Flussinformationssystemen auf Binnenwasserstraßen fallen, wurden vom Geltungsbereich ausgenommen. Generell können Produkte, die unter sektorale Rechtsvorschriften fallen, die dasselbe oder ein höheres Schutzniveau vorschreiben, von den Anforderungen der Verordnung ausgenommen werden.
Der Originaltext erlaubte die Verbreitung unfertiger, nicht konformer Software unter der Bedingung, dass sie nur zu Testzwecken zur Verfügung gestellt wird. Die Mitgliedstaaten wollen jedoch klarstellen, dass dies nicht für Sicherheitsbauteile gilt, die unter EU-harmonisierte Rechtsvorschriften fallen.
Weitere Diskussionspunkte
„Die Mitgliedstaaten gaben an, dass die Festlegung des Geltungsbereichs kritischer Produkte eine gründliche Diskussion verdient. Die Mitgliedstaaten unterstrichen auch die Notwendigkeit von Klarheit über das Zusammenspiel mit anderen relevanten Gesetzen wie der NIS-2-Richtlinie oder dem Cybersecurity Act“, heißt es im Fortschrittsbericht.
Die EU-Länder forderten auch die Klärung einiger der in dem Vorschlag verwendeten Begriffe und eine genaue Bewertung der Belastung, die die Verordnung KMU und Start-ups auferlegen würde, die diese Produkte entwickeln und herstellen.
Einige europäische Regierungen wollen auch die vorgeschlagene Begrenzung der Einhaltung der Anforderungen der Verordnung auf die erwartete Lebensdauer des Produkts oder fünf Jahre seit dem Inverkehrbringen auf dem EU-Markt, je nachdem, welcher Zeitraum kürzer ist, genau prüfen.
Auch die vorgesehene Rolle und die Aufgaben der ENISA, der Cybersicherheitsagentur der EU, werden als weiterer Diskussionsbedarf genannt.
[Edited by Zoran Radosavljevic]