Die schwedische Präsidentschaft des EU-Ministerrates hat einen neuen Kompromisstext mit heftigen Änderungen zur Kategorisierung von kritischen und hochkritischen Produkten nach dem Cyber-Resilience-Gesetz geteilt.
Der Gesetzentwurf soll grundlegende Cybersicherheitsanforderungen für vernetzte Geräte festlegen, beispielsweise die Tatsache, dass Internet of Things (IoT)-Produkte, die sich mit anderen Geräten verbinden und Daten mit ihnen austauschen, nicht mit einer bekannten ausnutzbaren Schwachstelle auf den Markt gebracht werden dürfen.
Während die Hersteller bei den meisten vernetzten Geräten in der Lage sein werden, die Einhaltung solcher Anforderungen selbst zu beurteilen, ist für einige spezifische Produkte, die als „kritisch“ oder „sehr kritisch“ eingestuft werden, ein externes Audit erforderlich. Die Art und Weise und welche Produkte sich für diese beiden entscheidenden Kategorien qualifizieren würden, standen im Mittelpunkt des jüngsten Kompromisstextes, der von EURACTIV eingesehen wurde.
Der Kompromiss wurde am Freitag (10. Februar) geteilt und wird am Mittwoch in der Cybersecurity Working Party diskutiert, einem technischen Gremium, das die Vorbereitungsarbeiten zur Genehmigung auf Ministerebene leistet.
Kritische Produkte
Als „kritisch“ gelten laut Kompromisstext bestimmte Produkte, die eine zentrale Sicherheitsfunktion erfüllen, beispielsweise Authentifizierung, Intrusion Prevention oder Netzwerkschutz.
Dies gilt für Malware-Erkennungssoftware, Überwachungssysteme für den Netzwerkverkehr zur Durchsatz- und Flusskontrolle, Sicherheitsinformations- und Ereignisverwaltungssysteme, Systeme zur Einführung von Updates und Sicherheitspatches, Firewalls, digitale Zertifikate und Smart-Home-Geräte mit Sicherheitsfunktionen wie Alarmsysteme.
Eine weitere Untergruppe von Internet-of-Things-Produkten wird als „kritisch“ angesehen, wenn sie eine zentrale Rolle bei der Verwaltung eines breiteren Systems spielen oder wenn sie das Potenzial haben, mehrere andere Produkte wie Netzwerkmanagement und Konfigurationskontrolle zu beschädigen.
Dieses zweite Kriterium bezieht sich auf eigenständige und eingebettete Browser, Netzwerkressourcenverwaltung einschließlich softwarebasierter Netzwerktechnologie, Anwendungskonfigurationsverwaltungssysteme für zentralisierte Systemkonfiguration, Fernzugriffssoftware, physische und virtuelle Netzwerkschnittstellen, Router, Mikroprozessoren, Mikrocontroller, Betriebssysteme und Industrieprodukte und Steuerungssysteme, die nicht in die Kategorie „sehr kritisch“ fallen.
Hochkritische Produkte
Eine andere Gruppe von Produkten würde als „sehr kritisch“ angesehen, wenn sie beide oben genannten Kriterien erfüllen, nämlich eine wichtige Sicherheitsfunktion haben und in einer breiteren IoT-Umgebung von zentraler Bedeutung sind.
Diese Produktklasse umfasst Identitätsmanagementsysteme, Authentifizierungstools, Virtual Private Networks (VPNs), Netzwerkmanagementsysteme für die Konfiguration, Überwachung und Aktualisierung von Netzwerkgeräten, Hypervisoren, Mikroprozessoren für sichere Elemente, Geräte auf der Basis von manipulationssicheren Chips, Hardwaresicherheit Modelle, sichere Kryptoprozessoren und Smartcard-Lesegeräte.
Firewalls für den industriellen Einsatz werden als „sehr kritisch“ eingestuft, wenn sie sowohl eine Funktion im Zusammenhang mit der Cybersicherheit haben als auch in sensiblen Umgebungen eingesetzt werden, einschließlich industrieller Kontrolleinstellungen für Einheiten, die gemäß der kürzlich überarbeiteten Richtlinie über Netzwerke und Informationen (NIS2) als „wesentlich“ eingestuft wurden.
Eine letzte Gruppe von Produkten würde als „sehr kritisch“ eingestuft, wenn sie die doppelte Bedingung erfüllen, dass sie in einer sensiblen Umgebung verwendet werden und für die Verwaltung eines umfassenderen Systems von zentraler Bedeutung sind. Zu dieser Produktgruppe gehören anwendungsspezifische integrierte Schaltkreise, feldprogrammierbare Gate-Arrays, industrielle Automatisierungs- und Steuerungssysteme, industrielle IoT-Geräte und Smart Meter.
Die Liste der kritischen und hochkritischen Produkte wurde in den Anhang des Gesetzesentwurfs aufgenommen, da Anhänge leichter aktualisiert werden können als der Textkörper. Diese Kriterien müsste die Europäische Kommission bei der Änderung der im Anhang aufgeführten Produkte berücksichtigen.
Zertifizierungssystem
Um die Einhaltung einiger grundlegender Anforderungen der Verordnung nachzuweisen, kann die Kommission bestimmte Kategorien von äußerst kritischen Produkten anordnen, ein EU-Cybersicherheitszertifikat mit der Stufe „wesentlich“ oder „hoch“ gemäß Definition im Gesetz zur Cybersicherheit zu erhalten.
Um zu bestimmen, für welche Kategorien hochkritischer Produkte diese Zertifikate beantragt werden sollten, muss die EU-Exekutive die oben genannten Kriterien berücksichtigen und prüfen, ob das Produkt die unter NIS2 identifizierten wesentlichen Einheiten oder für den EU-Markt kritische Lieferketten stören könnte.
Vereinfachte Deklaration
Die schwedische Ratspräsidentschaft hat eine Vorlage für eine vereinfachte EU-Konformitätserklärung eingefügt, die die URL anzeigt, unter der die vollständige Erklärung online zugänglich sein wird.
[Edited by Nathalie Weatherald]