Die EU hat Ende letzten Jahres einen Entwurf für ein Cybersicherheits-Regelwerk vorgestellt: Der Cyber Resilience Act. Die Anforderungen sollen für Produkte mit digitalen Elementen gelten und sicherere Hardware- und Softwareprodukte gewährleisten.
IoT und IT-Sicherheit
Smarte Geräte sind aus dem modernen Dasein nicht mehr wegzudenken. Das Smart Home ist mit Smart TV, Smart Light, Smart Speakern, Smart Allem ausgestattet und in der Garage wartet das Smart Car. All diese smarten Geräte fügen sich zu einem Geflecht von Dingen zusammen, das gemeinhin als das Internet der Dinge (engl.: Internet of Things, IoT) bekannt ist. Im IoT werden kontinuierlich Daten erhoben, verarbeitet und übermittelt. Oftmals sind diese Daten recht aussagekräftig und sensibel. Daten einer Smart Watch könnten bspw. Aufschluss über etliche gesundheitliche Aspekte geben (z.B. Schritte, Schlafrhythmus, Puls etc.). Diese Daten sollten und müssen entsprechend gesichert und geschützt werden.
Die Realität ist aber, dass Datenpannen über die letzten 10 Jahre weltweit leicht zugenommen haben. Besonders in den USA, in Großbritannien und in Kanada sind die Fälle gestiegen. Vor allem die Gesundheitsbranche, Behörden und der Finanzsektor sind vermehrt von Datenpannen betroffen. Alleine 2020 wurden durch Hacking ca. 8 Mrd. Datensätze gestohlen. Diese Daten landen dann häufig im Darknet. Gründe für Datendiebstahl sind vielfältig, häufig stecken allerdings finanzielle Gründe hinter solchen Straftaten.
Der Cyber Resilience Act
Auf diese Tatsachen möchte die EU nun reagieren. Als Gefahrenquellen für Nutzer und Verbraucher wurde ein allgemein niedriges Niveau an Cybersicherheit und
ein unzureichendes Verständnis und unzureichender Zugang zu Informationen, auf Seiten der Nutzer identifiziert.
Um Nutzer und Verbraucher diesbezüglich besser zu schützen, hat die EU einen Vorschlag präsentiert, um Cybersicherheit für Hard- und Software zu regulieren.
Ziele des Cyber Resilience Act
Laut eigenen Angaben soll die geplante Regulierung vier Ziele erreichen:
- Gewährleistung, dass Hersteller Cybersicherheit bereits in der Entwurfs- und Entwicklungsphase berücksichtigen und während des gesamten Lebenszyklus verbessern;
- Gewährleistung eines kohärenten Rahmens für die Cybersicherheit, der die Einhaltung der Vorschriften für Hardware- und Softwarehersteller erleichtert;
- die Transparenz bzgl. der IT-Sicherheit von Produkten für Nutzer zu verbessern und
- Unternehmen und Verbraucher in die Lage versetzen, entsprechende Produkte sicher zu nutzen.
Sachlicher Anwendungsbereich
Gemäß Art. 2 Abs. 1 des Entwurfs, sollen Produkte mit digitalen Elementen erfasst werden, die bestimmungsgemäß oder vernünftigerweise vorhersehbar dazu verwendet werden können, eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz herzustellen.
In Art. 3 Nr. 1 des Cyber Resilience Act wird ausgeführt, dass die Beschreibung „Produkte mit digitalen Elementen“ alle Software- und Hardwareprodukte inklusive deren Datenfernverarbeitungslösungen umfasst, sowie ergänzende Software- und Hardwarekomponenten, die davon getrennt auf dem Markt angeboten werden.
Im Ergebnis bedeutet dies, dass der Anwendungsbereich des geplanten Gesetzes sehr weit gefasst ist und ziemlich alle Software- und Hardwareprodukte betrifft, die eine Datenverbindung mit einem Netz oder anderem Gerät eingehen können. Demnach dürften bspw. jegliche Smarte Geräte/IoT-Geräte, Speichermedien, Peripheriegeräte (z.B. Bluetooth-Kopfhörer), lokal genutzte Softwareangebote und Betriebssysteme betroffen sein.
Allerdings sieht der Entwurf des Cyber Resilience Act (CRA) auch einige Ausnahmen vor. Grundsätzlich wären jene Software- und Hardwareprodukte nicht von der Reglung betroffen, deren Anforderungen bzgl. Cybersicherheit bereits anderweitig geregelt sind. Somit sind Cloud-Computing-Dienste und entsprechende Geschäftsmodelle (z.B. Software as a Service (SaaS)) nicht vom Gesetz erfasst, da diesbezügliche IT-Sicherheitsanforderungen bereits in der NIS-2-Richtline (Netz- und Informationssicherheit) geregelt sind. Auch Medizinprodukte, In-vitro-Diagnostik, Software und Hardware von Kraftfahrzeugen, bestimmte Luftfahrttechniken und militärische und auf die nationale Sicherheit ausgelegte Produkte sind bereits von anderen Regularien erfasst.
Auch Open Source Software fällt gemäß des derzeitigen Entwurfs nur bei kommerzieller Vermarktung bzw. Verwendung in den Anwendungsbereich.
In Zukunft könnten noch weitere Ausnahmen dazu kommen, da die EU-Kommission gemäß Art. 2 Abs. 4 des Entwurfs weitere Produkte mit digitalen Elementen vom Anwendungsbereich des CRA ausschließen kann, wenn entsprechende IT-Sicherheitsanforderungen bereits anderweitig geregelt sind.
Pflichten für Hersteller
Sicherheitsmaßnahmen nach dem Cyber Resilience Act
Art. 10 ff. enthält Pflichten für Hersteller von entsprechenden Produkten. Sobald Produkte mit digitalen Elementen auf den Markt gebracht werden sollen, müssen diese gemäß eines vorgegebenen Maßnahmenkatalogs gestaltet, entwickelt und produziert werden. In dem Maßnahmenkatalog stehen umfangreiche Vorgaben. So werden z.B. sichere Authentifizierungsmechanismen, Datenverschlüsselung, Schutz vor DoS-Attacken, Beschränkung der Datenverarbeitung auf das notwendige Niveau, Minimierung der Angriffsfläche und Monitoring gefordert.
Risikobewertung und -management
Ergänzend dazu müssen Hersteller auch eine Bewertung der IT-Sicherheitsbedrohungen durchführen und die Ergebnisse bei der Planung, Gestaltung, Entwicklung, Produktion, Auslieferung und Betreuung der Produkte berücksichtigen. Ziel soll es dabei sein Risiken zu minimieren, Anzahl von Sicherheitsvorfällen zu verringern und die Auswirkung von jenen Vorfällen abzumildern. Die Dokumentation dazu sollte aktuell bleiben, sodass auch z.B. neu entdeckte Sicherheitslücken systematisch Einzug finden. Anhand dessen obliegt es dem Hersteller zu überprüfen, ob die Risikobewertung noch aktuell ist oder einer Anpassung bedarf. Sobald das Produkt auf dem Markt angeboten wird, soll die Cybersicherheits-Risikobewertung auch in der technischen Dokumentation integriert werden. Die technische Dokumentation soll daneben auch weitere Informationen enthalten, wie z.B. allgemeine Beschreibung und transparente Information zur Gestaltung und Entwicklung des Produkts (z.B. Software-Architektur). Die Informationen müssen leicht verständlich und eindeutig sein.
Hinzu kommt, dass Hersteller genau überprüfen müssen, welche Komponenten von Drittanbietern sie für ihr Produkt benutzen. Sie sollen feststellen und gewährleisten, dass solche Komponenten nicht die Cybersicherheit des Produktes beeinträchtigen.
Um die Sicherheit der Nutzer zu gewährleisten, sollen Hersteller Schwachstellen während des gesamten Lebenszyklus des Geräts (höchstens allerdings für 5 Jahre) durch automatische und kostenlose Updates überwachen und beheben. Sollte ein Hersteller sein Geschäft einstellen, muss dies den Aufsichtsbehörden und (wenn möglich) den Nutzern mitgeteilt werden.
Meldepflicht
Sollte eine Schwachstelle ausgenutzt werden oder ein anderer Sicherheitsvorfall vorliegen, ist dies der Aufsichtsbehörde zu melden. Für die entsprechende Meldung soll der Verantwortliche 24 Stunden Zeit haben. Ergänzend sollen auch die Nutzer ohne schuldhaftes Zögern Informationen über die ausgenutzte Schwachstelle oder den Vorfall erhalten. Wenn möglich sollen dabei Maßnahmen enthalten sein, wie Betroffene die eventuellen Auswirkungen des Vorfalls abmildern können.
Konformitätsbewertung und -erklärung
Abschließend sollen Hersteller auch eine Konformitätsbewertung vornehmen oder vornehmen lassen, bevor ihr Produkt auf dem Markt angeboten wird. Die Bewertung soll überprüfen, ob alle Vorgaben des Cyber Resilience Act eingehalten wurden und werden. Bei einem positiven Ergebnis soll eine entsprechende Konformitäts-Erklärung bereitgestellt und 10 Jahre lang vorgehalten werden, auch damit Aufsichtsbehörden diese bei Bedarf einsehen können. Dabei müssen Hersteller ebenso sicherstellen, dass bei Produkten, die Teil einer Serie sind, die Konformität durchgehend gewährleistet bleibt. Sollte die Konformität eines Produktes, das bereits auf dem Markt angeboten wird, nicht mehr gegeben sein, muss der Hersteller Maßnahmen ergreifen, um die Konformität wieder herzustellen oder das Produkt vom Markt nehmen.
Pflichten für Importeure und Händler
Doch nicht nur der Hersteller wird durch den Cyber Resilience Act verpflichtet. Auch Importeure und Händler sollen tätig werden.
Importeure sind verpflichtet zu überprüfen, ob die Produkte, die sie in Umlauf bringen, die Vorgaben des Gesetzes erfüllen. Diese müssen demnach sicherstellen, dass der Hersteller die Konformitätsbewertung durchgeführt hat sowie die entsprechende CE-Kennzeichnung vorhanden ist und, dass die technische Dokumentation inkl. aller notwendiger Informationen und Gebrauchsanweisung zum Produkt vorliegt. Auch müssen Importeure ihre Angaben (Name und Kontaktdaten) auf dem Produkt oder alternativ auf der Verpackung anbringen.
Händler müssen wiederum vor Inverkehrbringen des Produkts prüfen, ob die CE-Kennzeichnung und alle weiteren notwendigen Informationen vom Hersteller und zum Importeuer vorliegen.
Mögliche Sanktionen
Der Entwurf sieht vor, dass die Mitgliedsstaaten Überwachungsstellen einrichten müssen. Diese sollen die Aufgabe wahrnehmen, die Einhaltung der Vorgaben aus dem Cyber Resilience Act zu überwachen und zu überprüfen. Verantwortliche (Hersteller, Importeure oder Händler) werden dann zur Mitwirkung verpflichtet sein, sollten diese Stellen Prüfungen vornehmen wollen.
Bei einem Verstoß gegen die Verordnung können Bußgelder verhängt werden. Die Systematik der Bußgeldberechnung folgt dem Vorbild der DSGVO. Bei Nichteinhaltung der grundlegenden Anforderungen sollen demnach Strafen von bis zu 15 Mio. Euro oder 2,5% des weltweiten Konzernumsatzes des Vorjahres, je nachdem, welcher Betrag höher ist, verhängt werden können. Bei Verstöße gegen sonstige Verpflichtungen wird die Grenze auf 10 Millionen Euro oder 2 % des weltweiten Konzernjahresumsatzes des Vorjahres gesenkt.
Weitere Entwicklung
Der Entwurf muss nun erstmal in alle EU-Sprachen übersetzt und zur Verfügung gestellt werden. Danach beginnt die Frist, in der Rückmeldungen zum Entwurf möglich sind. Die Rückmeldungen werden dann von der Kommission zusammengefasst und dem Parlament und dem EU-Rat vorgelegt. Diese sollen den Input dann in der weiteren Gestaltung des Gesetzes und in der entsprechenden Gesetzgebungsdebatte berücksichtigen.
Erst danach kann eine offizielle Verabschiedung der Verordnung stattfinden. Derzeit ist es geplant, dass Verantwortliche nach Inkrafttreten 24 Monate haben, um die Vorgaben umzusetzen.
Kritik am Cyber Resilience Act
Grundsätzlich erhält der Entwurf positives Feedback. Das Ziel der geplanten Verordnung und die grundlegende Systematik findet viel Unterstützung. Allerdings gibt es auch bereits einige Kritik. Der Digitalverband bitkom merkte bspw. an, dass der Dokumentationsaufwand für Verantwortliche beachtlich zunehmen würde. Die 24 Monate Übergangsfrist nach Inkrafttreten seien darum zu kurz. Der Verband der Elektro- und Digitalindustrie ZVEI merkt ergänzend an, dass dieser zusätzliche Aufwand zukünftig zu Verzögerungen führen könnte, bis Produkte auf dem Markt erhältlich sind.
Auf der anderen Seite fordert man eine Haftung für Hersteller für selbstverschuldete Schwachstellen. Ebenso besteht die Kritik, dass der derzeitige Entwurf die Entwicklung von freier Software behindern könnte. Meist entwickeln ehrenamtliche Programmierer freie Software und diese sehen sich nach der derzeitigen Fassung des Cyber Resilience Act mit den gleichen Anforderungen konfrontiert, die für Unternehmen gelten.
Empfehlungen
Bis das Gesetz verabschiedet und in Kraft tritt, wird noch ein wenig Zeit vergehen. Allerdings sollten Unternehmen bereits jetzt überprüfen, ob ihre Produkte in Zukunft in den Reglungsbereich des Cyber Resilient Act fallen. Ebenso sollte die weitere Entwicklung des Gesetzgebungsverfahrens beobachtet werden. Es ist zu erwarten, dass sich einige Aspekte der Verordnung noch ändern werden. Um optimal vorbereitet zu sein, sollte demnach eine regelmäßige Überprüfung des aktuellen Stands stattfinden.
Um auf dem Laufenden zu bleiben, kann man uns auf unseren Social Media-Kanälen folgen: Instagram, Facebook, LinkedIn oder XING. Dort teilen wir unsere Blog-Beiträge sowie entsprechende Updates zu IT- und Datenschutzthemen.