Legal Insights
EU-Kommission schlägt neue Verordnung über Cyberresilienz vor
Die Verordnung sieht strengere Cybersicherheitsanforderungen für Produkte mit digitalen Elementen vor
Cyberkriminalität verursachte im Jahr 2021 weltweit Kosten iHv über EUR 5,5 Bio, allein Ransomware-Angriffe führten zu Kosten von rund EUR 20 Mrd. Laut einer Schätzung der EU-Kommission sind zwei Drittel der Cyberangriffe auf Schwachstellen von Produkten zurückzuführen. Zudem enthalten rund 60 Prozent der in Verkehr gebrachten Produkte bereits bekannte Schwachstellen für Cyberangriffe.
Zur Stärkung der Cyberresilienz in der EU legt die Europäische Kommission einen Vorschlag für eine Verordnung über Cybersicherheitsanforderungen an Produkte mit digitalen Elementen vor. Der sogenannte Cyber Resilience Act (CRA) komplementiert die NIS-2-RL – siehe dazu unser kürzlich veröffentlichtes Legal Insight – und enthält verbindliche Cybersicherheitsanforderungen, die sicherere Hardware- und Softwareprodukte gewährleisten sollen.
1. Sichere Produkte und sichere Nutzung
Die Verordnung über Cyberresilienz soll verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen einführen, die während des gesamten Lebenszyklus eines Produkts einzuhalten sind. Ein Produkt mit digitalen Elementen im Sinne des Kommissionsvorschlags ist „jedes Software- oder Hardware-Produkt und seine Ferndatenverarbeitungslösungen, einschließlich Software- oder Hardware-Komponenten, die separat in den Verkehr gebracht werden sollen“.
Das Gesetz über Cyberresilienz richtet sich ganz allgemein an Wirtschaftsakteur:innen, dh Hersteller:innen, Bevollmächtigte von Hersteller:innen, Importeur:innen und Händler:innen von Produkten mit digitalen Elementen.
Die zwei Hauptziele des Gesetzes über Cyberresilienz betreffen zum einen die Entwicklung sicherer Produkte mit weniger Schwachstellen und einer damit einhergehenden Verantwortlichkeit der Hersteller:innen für den gesamten Lebenszyklus des Produktes. Zum anderen soll die sichere Auswahl und Nutzung von Produkten durch Verbraucher:innen gewährleistet werden.
2. Pflichten für Hersteller:innen
Kernelement der Regelung sind umfassende formale und materielle Anforderungen an Produkte mit digitalen Elementen. Formale Anforderungen sind etwa eine EU-Konformitätserklärung und eine CE-Kennzeichnung. Damit erklären Hersteller:innen, dass das Produkt geltenden Anforderungen entspricht. Materielle Anforderungen sind in Anhang 1 des Vorschlages der Kommission verankert und beinhalten nach dem Grundsatz „Security by Design“ ua Maßnahmen zum Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen, insbesondere durch Authentifizierungs-, Identitäts- oder Zugangsmanagementsysteme.
Den Hersteller:innen werden weitgehende Pflichten auferlegt:
- Die Cybersicherheit muss in allen Phasen des Lebenszyklus des Produktes berücksichtigt werden, dh neben der Entwicklungsphase insbesondere auch in der Planungs-, Liefer- und Wartungsphase. Die Integration von Sicherheit in die Softwareentwicklungsprozesse ist dabei unerlässlich – Konzepte wie DevOps müssen sich hin zu Dev-SecOps verändern.
- Cybersicherheitsrisiken müssen dokumentiert werden – die Erstellung eines Threat Models kann dabei nützlich sein.
- Hersteller:innen sind für mindestens fünf Jahre nach Inverkehrbringen des Produktes für Sicherheitslücken verantwortlich und haben Sicherheitsupdates zur Verfügung zu stellen.
- Aktiv ausgenutzte Sicherheitslücken sind binnen 24 Stunden der Agentur der Europäischen Union für Cybersicherheit (ENISA) zu melden.
- Schwachstellen müssen während der erwarteten Produktlebensdauer (höchstens jedoch über einen Zeitraum von fünf Jahren) wirksam beseitigt werden.
- Den Nutzer:innen sind klare und verständliche Gebrauchsanweisungen zur Verfügung zu stellen.
Zuständig für die Bewertung und Überwachung der Konformität von Produkten mit digitalen Elementen sind die nationalen Marktüberwachungsbehörden im Sinne der Marktüberwachungsverordnung (Nr 765/2008). Österreich hat nach Verabschiedung der Verordnung über Cyberresilienz eine zuständige Marktüberwachungsbehörde festzulegen. Diese soll infolgedessen Wirtschaftsakteur:innen im Zusammenhang mit nicht-konformen Produkten auffordern können, Maßnahmen zur Beseitigung von Sicherheitsrisiken zu ergreifen und die Konformität zu unionsrechtlichen Vorschriften herzustellen. Weiters soll sie die Bereitstellung von nicht-konformen Produkten am Markt verbieten und die Durchführung von Rückrufen verlangen können. Die Verordnung sieht Bußgeldvorschriften von maximal EUR 15 Mio oder 2,5 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) vor, wobei die Mitgliedstaaten angehalten sind, die konkreten Sanktionsvorschriften festzusetzen.
Fazit & Ausblick
Nach dem Verordnungsentwurf liegt die primäre Verantwortung für die Cybersicherheit von Produkten mit digitalen Elementen bei Hersteller:innen. Aufgrund der umfassenden Anforderungen empfehlen wir, sich frühzeitig mit den geplanten Regelungen des CRA auseinanderzusetzen.
Der derzeitige Entwurf ist noch nicht verbindlich. Es kann daher noch Änderungen geben. Bis zum Inkrafttreten bzw bis zum Geltungsbeginn sind insbesondere folgende Schritte ausständig:
- Beratung und Billigung durch das Europäische Parlament und den Rat.
- Veröffentlichung im Amtsblatt der EU und Inkrafttreten 20 Tage nach Veröffentlichung.
- Geltungsbeginn 24 Monate nach Inkrafttreten bzw 12 Monate bzgl Meldepflichten der Hersteller:innen. Dies soll Hersteller:innen und Mitgliedstaaten Zeit geben, sich auf die Anforderungen einzustellen.