Die EU-Kommission legt den Vorschlag für den EU-Cyber Resilience Act vor: Das Gesetz und seine möglichen Auswirkungen auf die Lieferkette verstehen

In dem Bemühen, einheitliche Cybersicherheitsregeln für vernetzte Geräte und Dienste zu schaffen, hat die Europäische Kommission am 15. September 2022 den Cyber Resilience Act (CRA) erlassen. Die Europäische Union kämpft schon seit einiger Zeit gegen Cyberkriminalität. Diese Gesetzgebung zielt darauf ab, Verbraucher/innen und den Markt vor Cyber-Ereignissen zu schützen, als Teil der Reise der EU in das digitale Jahrzehnt und um die digitale Transformation der EU bis 2030 abzuschliessen.

 

Die CRA legt Standard-Cybersicherheitsrichtlinien für Hersteller, Ersteller und Vertreiber von Waren mit digitalen Komponenten fest, die sowohl Hardware als auch Software umfassen. Diese Anforderungen umfassen die Fähigkeit zu Upgrades, die Einhaltung sorgfältiger Softwareentwicklungsverfahren und die Bewertung von Cybersicherheitsbedenken. Jeder Hersteller, der sich an die branchenüblichen Best Practices für Cybersicherheit und die Entwicklung von Software und Hardware im Lebenszyklus hält, muss diese Anforderungen erfüllen. Der Grad der Konformität mit diesen Standards variiert je nach Produkttyp. Sie kann jedoch entweder selbst bewertet, von einer dritten Partei zertifiziert oder anhand von EU-Standards impliziert werden.

 

 

Details zu den Zielen des Cyber Resilience Acts

Die Kommission nennt vier verschiedene Ziele für den Cyber Resilience Act, um Schwachstellen zu entschärfen und den steigenden Cybersicherheitskosten entgegenzuwirken:

• Sicherstellen, dass die Hersteller die Sicherheit der erfassten Objekte während ihres gesamten Lebenszyklus verbessern
• einen einheitlichen, umfassenden Rahmen für die Einhaltung der EU-Datenschutzvorschriften zu schaffen
• Cyber-Sicherheitsverfahren, Produkteigenschaften und Herstellerinformationen transparenter machen
• Bereitstellung gebrauchsfertiger, sicherer Produkte für Kunden und Unternehmen

Laut der Kommission müssen die Hersteller routinemässige Tests durchführen, um Schwachstellen in ihren Produkten zu finden, damit sie keine hohen Strafen zahlen müssen. Ausserdem gilt der Cyber Resilience Act nur dann, wenn die Software-as-a-Service eine Komponente von wichtigen Ferndatenanalyse-Lösungen für ein Produkt mit digitalen Funktionen ist. Nur freie, Open-Source  Software, die im Rahmen einer kommerziellen Tätigkeit erstellt oder zur Verfügung gestellt wird, sollte unter den Cyber Resilience Act fallen.

 

In den Erwägungsgründen des Gesetzes wird kommerzielle Tätigkeit definiert als das Erheben von Gebühren für eine Ware oder einen Kundendienst, das Anbieten einer Softwareplattform, bei der der Ersteller Gebühren für zusätzliche Dienste erhebt, oder die Nutzung der persönlichen Daten einer Person für Zwecke, die nicht die Sicherheit, Interoperabilität oder Kompatibilität erhöhen.

 

Anwendung des Gesetzes und Sanktionen bei Nichteinhaltung

Die CRA wird unter der allgemeinen Kontrolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) stehen. Sie wird von den Herstellern Informationen über Schwachstellen sammeln, die aktiv ausgenutzt werden, und alle zwei Jahre technische Berichte über neue Entwicklungen bei Cybersicherheitsbedrohungen für Produkte erstellen.

 

Die CRA wird landesweit von "Marktüberwachungsbehörden" umgesetzt werden. Diese Organisationen, bei denen es sich um neu gegründete oder bereits bestehende Organisationen wie Datenschutzbehörden handeln kann, werden von den nationalen Regierungen ausgewählt. Die Marktüberwachungsbehörden sind befugt, die Rücknahme oder den Rückruf eines Produkts vom Markt anzuordnen und Geldbussen in Höhe von bis zu 14,8 Mio. CHF oder 2,5 % des gesamten weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist.

 

Die Mitgliedstaaten können zusätzliche Sanktionen verhängen, sofern diese wirksam, angemessen und abschreckend sind.

 

Quelle:

https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act