Die EU-Kommission begrüßte die letzte Nacht zwischen dem Europäischen Parlament und dem Rat für eine politische Einigung über das im September 2022 von ihr vorgeschlagene Cyberresilienzgesetz .
Das Cyberresilienzgesetz ist die erste Gesetzgebung dieser Art weltweit. Es wird die Cybersicherheit digitaler Produkte zum Nutzen der Verbraucher und Unternehmen in der gesamten EU erhöht, denn damit werden verhältnismäßige und verbindliche Cybersicherheits-anforderungen eingeführt, die für alle Arten von Hardware und Software gelten – von Babymonitoren, intelligenten Armbanduhren und Computerspielen bis hin zu Firewalls und Routern . Produkte mit unterschiedlichem Risikoniveau unterliegen auch unterschiedlichen Sicherheitsanforderungen. Dabei werden weniger als 10 % der Produkte einer Bewertung durch Dritte unterzogen werden müssen.
Nach dieser neuen Verordnung müssen alle Produkte, die auf dem EU-Markt in Verkehr gebracht werden, cybersicher sein. Dies ist ein wichtiger Schritt im Kampf gegen die wachsende Bedrohung durch Cyberkriminelle und andere böswillige Akteure. Sobald das Cyberresilienzgesetz angewendet wird, müssen die Hardware- und Software-Hersteller über den gesamten Lebenszyklus ihrer Produkte hinweg Cybersicherheitsmaßnahmen umsetzen – schon bei der Konzeption und Entwicklung, aber auch nach dem Inverkehrbringen ihrer Produkte. Software- und Hardwareprodukte werden mit dem CE-Kennzeichen versehen, um zu zeigen, dass sie den gesetzlichen Anforderungen entsprechen und daher in der EU verkauft werden dürfen.
Darüber hinaus sind die Hersteller gesetzlich dazu verpflichtet, den Verbrauchern nach dem Kauf mehrere Jahre lang zeitnahe Sicherheitsaktualisierungen zur Verfügung zu stellen. Dieser Zeitraum wird der voraussichtlichen Nutzungsdauer der Produkte entsprechen müssen. Dadurch werden die Nutzer in die Lage versetzt, sich fundierter und sicherheitsbewusster zu entscheiden, denn die Hersteller müssen hinsichtlich der Sicherheit ihrer Produkte transparenter und verantwortlicher werden.
Nächste Schritte
Die Einigung muss nun vom Europäischen Parlament und vom Rat noch förmlich gebilligt werden. Nach der Annahme wird das Cyberresilienzgesetz dann am zwanzigsten 20 Tag nach seiner Veröffentlichung im Amtsblatt in Kraft treten. Ab dem Inkrafttreten werden Hersteller, Importeure und Händler von Hardware- und Software-Produkten dann 36 Monate Zeit haben, um sich an die Anforderungen anzupassen, mit Ausnahme einer kürzeren 21-monatigen Übergangsfrist für die Meldepflichten der Hersteller in Bezug auf Sicherheitsvorfälle und Schwachstellen.
Hintergrund
Die Cybersicherheit ist eine der obersten Prioritäten der Europäischen Kommission. Wir müssen entschlossen handeln, um unsere digitalen Produkte – sowohl Software als auch Hardware – abzusichern. Das Cyberresilienzgesetz baut auf der EU-Cybersicherheitsstrategie von 2020 und der EU-Strategie für die Sicherheitsunion von 2020 auf und war in der Rede zur Lage der Europäischen Union 2021 als Teil des Plans zum Aufbau eines „Europas für das digitale Zeitalter“ angekündigt worden. Es werden die geltenden Rechtsvorschriften, insbesondere den im Jahr 2022 angenommenen NIS2-Rahmen , ergänzt. Im vergangenen Jahr hat sich die Zahl der Angriffe auf die Software-Lieferketten verdreifacht, und täglich werden kleine Unternehmen, aber auch unverzichtbare Einrichtungen wie Krankenhäuser von Cyberkriminellen ins Visier genommen. Alle 11 Sekunden wird eine Organisation von einem Ransomware-Angriff getroffen. Dies verursacht jährliche Kosten in Höhe von schätzungsweise 20 Mrd. EUR. Allein im Jahr 2021 waren Cyberkriminelle in der Lage, mithilfe zuvor gehackter Geräte weltweit rund 10 Millionen verteilte Überlastungsangriffe (DDoS-Angriffe) zu verüben und dadurch Websites und Online-Dienste für den Nutzer unzugänglich zu machen.
Weitere Informationen
Cyberresilienzgesetz
Vorschlag für ein Cyberresilienzgesetz
Cyberresilienzgesetz – Fragen und Antworten (Aktualisierung)
Factsheet: Cyberresilienzgesetz
Folgenabschätzung: Cyberresilienzgesetz