Computer, Handys, Haushaltsgeräte, Autos und Spielzeug werden immer schlauer und sind oftmals miteinander vernetzt, um uns das Leben leichter und angenehmer zu machen. Doch oft sind die smartesten Gadgets nicht unbedingt die sichersten. Um dem entgegenzusteuern, hat die EU-Kommission am 15. September 2022 den Entwurf des Cyber Resilience Act (auf Deutsch: Verordnung zur Cyberwiderstandsfähigkeit) vorgestellt.
Warum denn noch eine Verordnung?
Derzeit entwirft die Europäische Union Verordnungen wie am Fließband: Digital Services Act, Digital Markets Act, Artifical Intelligence Act, Data Act, Data Governance Act… und jetzt der Entwurf des Cyber Resilience Act (CRA). Dabei ist noch nicht mal die Datenschutz-Grundverordnung aus dem Jahr 2018 vollständig bei den Unternehmen angekommen.
Bei genauerem Hinsehen wird jedoch klar, dass der neue Entwurf die Digitalstrategie der EU sinnvoll ergänzt. Die Kommission hat die „Digitale Dekade Europas“ ausgerufen und dies äußert sich in dieser Vielzahl von Gesetzesinitiativen, die jeweils unterschiedliche Bereiche abdecken. Erklärtes Ziel ist es, dass Europa „seine digitale Souveränität ausbau(t) und eigene Standards“ setzt, „statt anderen zu folgen“. Daher liegt der Schwerpunkt auf dem Schutz und der Entwicklung von Daten, Technologie und Infrastruktur.
Es stellt sich die Frage, ob diese Regulierungswucht das richtige Mittel ist, um sich besser in der Welt der Technik zu positionieren. Generell dient das (Entwurfs-)Paket der Harmonisierung der digitalen Anstrengungen und soll die Zerstückelung des Binnenmarktes im digitalen Bereich verhindern. Die Kommission begründet den konkreten Vorstoß damit, dass Schwachstellen in Hard- und Software ein Einfallstor für Cyberkriminelle sind. Cybersicherheitsvorfälle haben das Potenzial, innerhalb kürzester Zeit ganze Unternehmen lahmzulegen. Man denke nur an das Jahr 2017 zurück, als das Schadprogramm WannaCry weltweit zehntausende Rechner befallen hat. Der Branchenverband Bitkom e.V. schätzt, dass allein der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro durch Cyberkriminalität entsteht.
Was steckt drin?
Der nunmehr vorgestellte Entwurf zum CRA hält Einiges bereit.
- Weit gefasster Geltungsbereich: Der Entwurf gilt für alle Produkte mit digitalen Elementen. Hierunter versteht die Kommission „jedes Software- oder Hardware-Produkt und seine Ferndatenverarbeitungslösungen“ einschließlich zugehöriger Software- und Hardwarekomponenten, „die getrennt in Verkehr gebracht werden sollen“. Damit dürfte vor allem der Bereich des sogenannten Internet-of-Things künftig reguliert werden. Außen vor bleiben Produkte im Bereich der Nationalen Sicherheit beziehungsweise solche, die für militärische Zwecke entwickelt wurden.
- Basisanforderungen: Hersteller der erfassten Produkte müssen künftig grundlegende Cybersicherheitsanforderungen berücksichtigen in den Bereichen Design, Entwicklung und im Fertigungsprozess – und zwar bevor das Gerät auf den Markt gebracht wird. Potenzielle Schwachstellen müssen während des gesamten Lebenszyklus des Geräts überwacht werden und sind durch automatische und kostenlose Updates zu beheben.
- Meldepflichten: Der EU-Cybersicherheitsbehörde Enisa soll dem Entwurf zufolge jeder Vorfall gemeldet werden, der sich auf die Sicherheit einer Hard- und Software auswirkt. Vorgesehen ist eine Pflicht, eine „koordinierte Politik zur Offenlegung von Schwachstellen“ einzuführen, um die Meldung von Sicherheitslücken durch Einzelpersonen oder Unternehmen zu erleichtern. Eine solche Pflicht ist interessanter Weise für staatliche Stellen nicht vorgesehen.
- Risikoklassen: Neben den Basisanforderungen hat die Kommission mehrere besonders kritische Hochrisikobereiche aufgelistet. Die entsprechenden Produkte teilt sie in zwei Klassen ein, für die vor allem ein unterschiedliches Konformitätsverfahren eingeführt werden soll. Zur Klasse I gehören beispielsweise Browser, Passwortmanager, Antiviren-Programme, Firewalls oder virtuelle private Netzwerke (VPNs). Die höhere Risikoklasse II beinhaltet etwa Desktop- und Mobilgeräte, intelligente Messgeräte und IoT-Geräte, Router und Firewalls für den industriellen Einsatz, der als „sensible Umgebung“ gilt. Im Bereich der Risikoklassen will sich die Kommission vorbehalten, die Liste der kritischen Produkte beider Klassen später aktualisieren und so die Zertifizierung hochkritischer Produkte vorzuschreiben zu können.
- Prüfungsvorgaben: Sowohl Hersteller als auch Produzenten, Importeure und Händler müssen künftig Prüf- und Zertifizierungsverfahren berücksichtigen, mit denen die Cybersicherheit am Markt nachgewiesen werden kann.
Der Weisheit letzter Schluss…
…ist der Entwurf der Verordnung vermutlich noch nicht. Branchenverbände wie der TÜV Verband üben bereits Kritik und fordern unter anderem, dass nachgeschärft werden müsse: Der Entwurf sei zwar ein Schritt in die richtige Richtung, es müssten aber auch wirksame Instrumente geschaffen werden, damit die Einhaltung der Anforderungen auch verlässlich überprüft werden könne. Hersteller äußern Bedenken auf Grund des weiten Anwendungsbereiches und befürchten Verzögerungen beim Inverkehrbringen neuer Produkte in den europäischen Markt.
Softwarehersteller empfinden die Anforderungen zum Teil als zu streng. Es bleibt spannend zu sehen, welche Entwicklungen der Entwurf bis zur finalen Verordnung nehmen wird. Dann könnte es recht schnell gehen: Nach der Verabschiedung sollen die Wirtschaftsakteure und die Mitgliedstaaten zwei Jahre Zeit haben, sich an die neuen Anforderungen anzupassen. Die Verpflichtung, aktiv ausgenutzte Schwachstellen und Vorfälle zu melden, soll dann bereits nach einem Jahr gelten.
Katharina Weimer ist Partnerin bei Fieldfisher, Melanie Ludolph Senior Associate. Beide Juristinnen sind im Tech & Data Team und beraten unter anderem im Bereich Datenschutz.