Neue Sicherheitsanforderungen für Produkte mit digitalen Elementen

Ob Babyphone, Smartwatch oder Waschmaschine: diverse alltäglich genutzte Produkte enthalten heute digitale Komponenten und sind vernetzt. Die potenziellen und nicht zu unterschätzenden Sicherheitsrisiken, die damit einhergehen, sind vielen Nutzern aber gar nicht bewusst. Die EU-Kommission hat sich vorgenommen, sowohl Verbraucher als auch Unternehmer besser vor solchen Produkten und Software zu schützen, die in Sachen IT-Sicherheit unzureichend aufgestellt ist. Dazu wurde nun der Cyber Resilience Act vorgestellt, mit dem gemeinsame Sicherheitsregeln für Hersteller und Entwickler solcher Produkte eingeführt werden sollen. Mit dem Internet verbundene Produkte und Software sollen sicherer werden, und es soll auch sichergestellt werden, dass Hersteller für den gesamten Lebenszyklus des Produkts für dessen Sicherheit die Verantwortung tragen. 

Cyberkriminalität verursachte 2021 Schäden in Höhe von 5,5 Billionen Euro

Alle elf Sekunden wird auf der Welt ein Unternehmen von Ransomware-Angriffen getroffen. Die Kosten der Cyberkriminalität sollen sich dabei allein im Jahr 2021 auf ganze 5,5 Billionen (!) Euro belaufen haben, teilt die Kommission mit. „Computer, Telefone, Haushaltsgeräte, virtuelle Assistenzgeräte, Autos, Spielzeug … jedes einzelne von hunderten Millionen vernetzter Produkte stellt ein potenzielles Einfallstor für einen Cyberangriff dar. Und doch unterliegen die meisten Hard- und Softwareprodukte heute keinen Cybersicherheitsverpflichtungen“, kommentiert Thierry Breton, EU-Kommissar für den Binnenmarkt die Situation. 

Je mehr sich vernetzte und intelligente Produkte verbreiten, desto höher können die Auswirkungen eines Sicherheitsvorfalls bei einem Produkt auf die gesamte Lieferkette sein. Schwerwiegende Störungen der wirtschaftlichen und sozialen Aktivitäten sind möglich, könnten die gesamte Sicherheit untergraben oder gar lebensbedrohlich werden, wenn man etwa an Technik in Krankenhäusern oder vergleichbaren Einrichtungen denkt. 

Vorhaben ist Antwort auf moderne Sicherheitsbedrohungen

„Der Cyber Resilience Act ist unsere Antwort auf moderne Sicherheitsbedrohungen, die in unserer digitalen Welt jetzt allgegenwärtig sind“, sagt Margaritis Schinas, Vizepräsident der Kommission und Kommissar für die Förderung des europäischen Lebensstils. Das neue Regelwerk soll digitale Produkte und Software nicht nur für Verbraucher sicherer machen, auch Unternehmen und letztlich die Gesamtgesellschaft soll profitieren. Hersteller sollen stärker in die Verantwortung genommen werden, etwa indem die Pflicht eingeführt wird, Sicherheitsunterstützung und Softwareaktualisierungen bereitzustellen, mit denen gefundene Schwachstellen behoben werden können.

Verbrauchern sollen zudem mehr Informationen zur Cybersicherheit der Produkte erhalten, die sie kaufen und nutzen. „Wir verdienen es, uns mit den Produkten, die wir auf dem Binnenmarkt kaufen, sicher zu fühlen. So wie wir einem Spielzeug oder einem Kühlschrank mit einer CE-Kennzeichnung vertrauen können, wird der Cyber Resilience Act sicherstellen, dass die von uns gekauften vernetzten Produkte und Software strengen Sicherheitsanforderungen entsprechen“, kommentiert Margrethe Vestager, Kommissarin für Wettbewerb und Digitales. Man übertrage die Verantwortung dahin, wo sie hingehöre, nämlich zu jenen, die die Produkte auf den Markt bringen. 

Geldbußen in Höhe von bis zu 15 Millionen Euro

Inhaltlich beruht der Rechtsrahmen auf mehreren Säulen. Er beinhaltet neue Vorschriften für das Inverkehrbringen von entsprechenden Produkten. Hersteller müssen nach dem Prinzip security by design Anforderungen an die Cybersicherheit bereits bei der Planung, Gestaltung, Entwicklung und für die Wartung entsprechender Produkte berücksichtigen und umsetzen. Dazu gehört auch das Anbieten von Sicherheitsupdates für die gesamte Lebensdauer eines Produkts. Zudem gibt es Vorschriften für die Marktüberwachung und Durchsetzung. 

Gelten soll die vorgeschlagene Verordnung für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden sind. Es bestehen allerdings auch einige Ausnahmen für solche Produkte, für die bereits Anforderungen festgelegt sind, etwa Medizinprodukte oder Autos. Bei Verstößen drohen überzeugende Konsequenzen: Geldbußen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des Umsatzes sind möglich.

Wie geht es weiter? Das Europäische Parlament und der Rat werden nun über den Vorschlag des Cyber Resilience Acts beraten. Treten die Regelungen in Kraft, besteht bis zur Geltung noch ein Zeitraum von zwei Jahren, in denen sich betroffene Unternehmer an die neuen Regeln anpassen können. Ein Jahr früher allerdings sollen bereits Vorschriften anwendbar sein, auf deren Basis Hersteller zu Meldungen von Cybersicherheitsvorfällen verpflichtet werden.