In der EU sollen künftig verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen gelten. Das hat die EU-Kommission mit ihrem neuen Cyberresilienzgesetz vorgeschlagen. Es betrifft alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Zum einen sollen Hersteller verpflichtet werden, Unterstützung und Softwareaktualisierungen bereitzustellen, um festgestellte Schwachstellen zu beheben. Zum anderen sollen die Verbraucher ausreichend über die Cybersicherheit der Produkte informiert werden. Exekutiv-Vizepräsidentin Margrethe Vestager erklärte: „Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind. Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen.“
Der Rechtsakt baut auf der EU-Cybersicherheitsstrategie von 2020 sowie der EU-Strategie für eine Sicherheitsunion von 2020 auf. Er soll sicherstellen, dass digitale Produkte – wie drahtlose und drahtgebundene Hardware sowie Software – für die Verbraucher in der gesamten EU sicherer werden.
Kosten der Cyberkriminalität
Angesichts der Tatsache, dass weltweit alle 11 Sekunden eine Organisation zum Opfer eines Ransomware-Angriffs wird und sich die Kosten der Cyberkriminalität im Jahr 2021 Schätzungen zufolge auf 5,5 Billionen Euro beliefen (Bericht der Gemeinsamen Forschungsstelle (2020): Cybersecurity – Our Digital Anchor, a European perspective”), ist es wichtiger denn je, ein hohes Maß an Cybersicherheit zu gewährleisten und Schwachstellen digitaler Produkte – über die viele erfolgreiche Angriffe erfolgen – zu verringern. Angesichts der zunehmenden Zahl intelligenter und vernetzter Produkte kann ein Cybersicherheitsvorfall bei einem Produkt Auswirkungen auf die gesamte Lieferkette haben und möglicherweise wirtschaftliche und soziale Tätigkeiten im gesamten Binnenmarkt ernsthaft stören, die Sicherheit beeinträchtigen oder sogar Leben gefährden.
Neue Vorschriften für digitale Produkte
Die vorgeschlagenen Maßnahmen stützen sich auf den neuen Rechtsrahmen für EU-Produktvorschriften und werden Folgendes enthalten:
a) Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um ihre Cybersicherheit zu gewährleisten;
b) grundlegende Anforderungen an die Gestaltung, Entwicklung und Herstellung von Produkten mit digitalen Elementen und Verpflichtungen der Wirtschaftsteilnehmer in Bezug auf diese Produkte;
c) grundlegende Anforderungen an die von den Herstellern anzuwendenden Verfahren zur Behebung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus zu gewährleisten, sowie Verpflichtungen der Wirtschaftsteilnehmer hinsichtlich dieser Verfahren. Zudem müssen die Hersteller aktiv ausgenutzte Schwachstellen und Vorfälle melden;
d) Vorschriften für die Marktüberwachung und Durchsetzung.
Mehr Verantwortung für Hersteller
Mit den neuen Vorschriften erhalten die Hersteller mehr Verantwortung, da sie dafür sorgen müssen, dass Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, mit den Sicherheitsanforderungen übereinstimmen. Dies kommt Verbrauchern, Bürgerinnen und Bürgern sowie Unternehmen, die digitale Produkte verwenden, zugute, weil die Sicherheitsmerkmale transparenter werden, das Vertrauen in Produkte mit digitalen Elementen gestärkt wird und Grundrechte, wie das Recht auf Privatsphäre und Datenschutz, besser geschützt werden.
EU setzt weltweite Standards
Da sich auch andere Länder weltweit derzeit mit der Bewältigung dieser Probleme befassen, dürfte das Cyberresilienzgesetz über den EU-Binnenmarkt hinaus auch international Maßstabe setzen. EU-Standards, die auf dem Cyberresilienzgesetz beruhen, werden die Umsetzung erleichtern und den EU-Unternehmen, die auf den globalen Märkten im Bereich der Cybersicherheit tätig sind, Vorteile bringen.
Die vorgeschlagene Verordnung wird für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Es gibt einige Ausnahmen für Produkte, die bereits unter die bestehenden EU-Vorschriften für die Cybersicherheit fallen, wie Medizinprodukte, Luftfahrtprodukte oder Pkw.
Nächste Schritte
Der Entwurf des Gesetzes über Cyberresilienz wird nun vom Europäischen Parlament und dem Rat geprüft. Nach Verabschiedung haben Wirtschaftsteilnehmer und Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Abweichend davon soll die Meldepflicht der Hersteller in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle bereits ein Jahr ab dem Inkrafttreten gelten, da dafür weniger organisatorische Anpassungen erforderlich sind als für die anderen neuen Verpflichtungen.
Hintergrund
Cybersicherheit ist eine der obersten Prioritäten der Kommission und ein Eckpfeiler für ein digitales und vernetztes Europa. Die Zunahme der Cyberangriffe während der Coronavirus-Krise hat gezeigt, wie wichtig es ist, Krankenhäuser, Forschungszentren und andere Infrastrukturen zu schützen. Im Interesse der Wettbewerbsfähigkeit der Wirtschaft und Gesellschaft in der EU müssen wir in diesem Bereich entschlossen handeln. Schätzungen zufolge belaufen sich die jährlichen Kosten von Datenschutzverletzungen auf mindestens 10 Milliarden Euro und die jährlichen Kosten böswilliger Versuche zur Störung des Internetverkehrs auf mindestens 65 Milliarden Euro (siehe Bericht über die Folgenabschätzung zur Delegierten Verordnung der Kommission zur Ergänzung der Delegierten Verordnung zur Funkanlagenrichtlinie).
Das neue Cyberresilienzgesetz wird den bestehenden EU-Rahmen für Cybersicherheit ergänzen, nämlich die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie), auf die sich das Europäische Parlament und der Rat vor Kurzem geeinigt haben, und den EU-Rechtsakt zur Cybersicherheit.
Weitere Informationen:
Fragen und Antworten: Cyberresilienzgesetz
Factsheet zum Cyberresilienzgesetz
Vorschlag für ein Cyberresilienzgesetz
Factsheet zur neuen Cybersicherheitsstrategie der EU
Factsheet zum Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (NIS2-Richtlinie)
Factsheet zur Cybersicherheit: Die außenpolitischen Maßnahmen der EU
Fragen und Antworten: Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen
Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (NIS2-Richtlinie)
Vorschlag für eine Richtlinie über die Resilienz kritischer Einrichtungen
Pressekontakt: nikola [dot] johnec [dot] europa [dot] eu (Nikola John), Tel.: +49 (30) 2280-2410 und katrin [dot] ABELEec [dot] europa [dot] eu (Katrin Abele), Tel.: +49 (30) 2280-2140. Mehr Informationen zu allen Pressekontakten hier.
Anfragen von Bürgerinnen und Bürgern beantwortet das Team des Besucherzentrums ERLEBNIS EUROPA per frageerlebnis-europa [dot] eu (E-Mail) oder telefonisch unter (030) 2280 2900.
Einzelheiten
- Datum der Veröffentlichung
- 15. September 2022
- Autor
- Vertretung in Deutschland