Ein neuer Text des EU-Rates stellt Software-as-a-Service aus dem Geltungsbereich des Cyber Resilience Act heraus, während die Europäische Kommission klarstellt, dass die Rechtsgrundlage dies nicht zulässt.
Das Cyber Resilience Act ist ein Legislativvorschlag, der grundlegende Cybersicherheitsanforderungen für vernetzte Produkte einführt. Inwieweit diese Pflichten auch für Softwareprogramme gelten würden, war Gegenstand der politischen Diskussion im EU-Rat.
Einige EU-Länder haben auch die Einbeziehung von Software-as-a-Service gefordert, das Online-Dienste wie Netflix und Google Workspace zusammenfasst, die auf der Cloud-Infrastruktur der Anbieter gehostet werden.
Ein neuer Text der tschechischen Ratspräsidentschaft vom 2. Dezember, der EURACTIV vorliegt, aktualisiert eine frühere Version, über die EURACTIV vor zwei Wochen berichtete, indem SaaS eindeutig aus dem Geltungsbereich der Verordnung herausgestellt wird.
Insbesondere wurde der Gesetzentwurf so umformuliert, dass er nur für Datenfernverarbeitungslösungen gilt, die auf Software oder Hardware basieren, die die Funktion eines angeschlossenen Geräts unterstützen.
„Software-as-a-Service (SaaS)-Lösungen stellen nur dann Datenfernverarbeitungslösungen im Sinne dieser Verordnung dar, wenn sie dieser Definition entsprechen. Beispielsweise fallen Cloud-Dienste, die außerhalb der Verantwortung eines Herstellers eines Produkts mit digitalen Elementen entworfen und entwickelt wurden, nicht in den Anwendungsbereich dieser Verordnung“, fährt der Text fort.
Geltungsbereich geklärt
Mit anderen Worten, nur wenn eine App explizit zur Unterstützung eines vernetzten Produkts wie einer intelligenten Waage erstellt wurde, würde das Cyber-Resilience-Gesetz gelten, da die App in der Verantwortung des Produktherstellers liegt.
Das Bestreben, SaaS von den neuen Cybersicherheitsregeln fernzuhalten, steht im Einklang mit dem, was Binnenmarktkommissar Thierry Breton auf der Sitzung des Telekommunikationsrates am Dienstag (6. Dezember) sagte.
„Software as a Service fällt bereits unter die NIS2-Richtlinie“, sagte Breton den EU-Ministern und fügte hinzu, dass die Einbeziehung dieser Dienste in das Cyber Resilience Act aufgrund der Rechtsgrundlage, auf der der Vorschlag basierte, eine rechtliche Herausforderung darstellen würde.
Der Kompromiss erklärt auch, dass Websites keine Datenfernverarbeitungslösungen von Webbrowsern darstellen würden, da sie nicht unter der Verantwortung des Browserherstellers entwickelt werden und das Fehlen einer einzelnen Website die Funktion des Browsers nicht beeinträchtigen würde.
Die Einbeziehung von Websites in den Geltungsbereich wäre bei der Bewertung ihrer Konformität mit den EU-Cybersicherheitsanforderungen höchst unpraktisch gewesen.
Steht noch zur Diskussion
„Mit dem aktuellen Text ist es für Unternehmen schwierig zu erkennen, ob die Verordnung ihre Produkte erfasst. Es sollte mehr getan werden, um Rechtsunsicherheit zu vermeiden. Außerdem sind möglicherweise weitere Diskussionen darüber erforderlich, inwieweit die Dienste einbezogen werden sollen und könnten“, sagte Alexandra van Huffelen, die niederländische Staatssekretärin für Digitalisierung, auf dem Ministertreffen.
Den Haag stand an der Spitze der Forderung, dass SaaS in den Anwendungsbereich aufgenommen werden sollte. Noch bevor der Vorschlag veröffentlicht wurde, haben die Niederlande, Dänemark und Deutschland ein Non-Paper verfasst, das auf eine Verlängerung in diesem Sinne drängt.
Der Ausschluss von SaaS würde von weiten Teilen der Branche mit einem tiefen Aufatmen begrüßt werden. Obwohl sich der Text in diese Richtung zu bewegen scheint, scheint die Frage des Anwendungsbereichs noch lange nicht geklärt zu sein, da die nationalen Vertreter immer noch versuchen zu begreifen, wie die neuen Vorschriften in eine komplexe IT-Umgebung passen würden.
„Zu diesem Zeitpunkt ist es noch etwas unklar“, sagte ein EU-Diplomat gegenüber EURACTIV. „Wir hoffen alle auf weitere Diskussionen darüber.“
Während beispielsweise eine Website über eine Anwendungsprogrammierschnittstelle (API) mit einer App verbunden wird, würde die App unter den Anwendungsbereich fallen, während die Software selbst aufgrund des Haftungsausschlusses nicht darunter fällt.
nationale Sicherheit
Die Überarbeitung betraf auch den Teil, der nationale Sicherheitsangelegenheiten herausarbeitete, eine eifersüchtig gehütete Zuständigkeit der Mitgliedstaaten.
Es wurde ein neuer Absatz hinzugefügt, der vorschreibt, dass die Mitgliedstaaten keine Hindernisse errichten sollten, die die Einführung und Verbreitung vernetzter Produkte im EU-Binnenmarkt verhindern. Einschränkungen dürfen sich nur auf nichttechnische Faktoren in Übereinstimmung mit europäischem Recht beziehen.
Die Fähigkeit der Mitgliedstaaten, zusätzliche Sicherheitsanforderungen für Produkte des Internets der Dinge einzuführen, die für Militär-, Verteidigungs- oder nationale Sicherheitsprodukte verwendet werden, sowie die Ausnahmeregelung zum Austausch von Informationen, die gegen die wesentlichen Sicherheitsinteressen der EU-Länder verwendet werden könnten, wurden mit geringfügigen Einschränkungen beibehalten Optimierungen.
[Edited by Alice Taylor]