Die spanische EU-Ratspräsidentschaft hat eine halbfertige Version des Entwurfs für ein Cybersicherheitsgesetz in Umlauf gebracht, in der die Liste der Produktkategorien, die einer bestimmten Regelung entsprechen müssen, stark gekürzt wurde.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung von Sicherheitsanforderungen für vernetzte Geräte. Die spanische Präsidentschaft des EU-Ministerrats hat eine halbfertige Version des Textes in Umlauf gebracht, der voraussichtlich am 19. Juli auf Botschafterebene angenommen wird.
Der Text, der von EURACTIV eingesehen wurde, soll am Montag (10. Juli) in der Horizontalen Gruppe für Fragen des Cyberraums, einem technischen Gremium des Rates, diskutiert werden. Nationale Vertreter hatten bis Freitag Zeit, vor der endgültigen Abstimmung schriftliche Kommentare abzugeben.
Besondere Produktkategorien
Die Cybersicherheitsgesetzgebung sieht vor, dass die Produkthersteller selbst bewerten müssen, ob sie die Anforderungen der Verordnung erfüllen. Eine Ausnahme bilden bestimmte Produktkategorien, die einer externen Überprüfung durch zugelassene Prüfer, so genannte benannte Stellen, unterzogen werden müssen.
Bei den besonderen Kategorien handelt es sich um Produkte der Klassen I und II. Die Kriterien für die Auswahl dieser Produktkategorien wurden erheblich geändert. Sie umfassen nun Produktkategorien, die in erster Linie Funktionen erfüllen, die für die Cybersicherheit anderer Produkte kritisch sind, oder die bei Manipulationen ein erhebliches Risiko nachteiliger Auswirkungen auf viele andere Produkte mit sich bringen.
Produkte der Klasse I müssen nur eines der Kriterien erfüllen, während Produkte der Klasse II beide Kriterien erfüllen müssen.
Die Liste der Produkte der Klasse I wurde drastisch gekürzt und umfasst jetzt nur noch Antivirensoftware, allgemeine Boot-Manager, Software für die Ausstellung digitaler Zertifikate, Betriebssysteme, Netzwerkschnittstellen, Internet-Router, Mikroprozessoren und Mikrocontroller.
Ähnlich umfasst die Klasse II nur noch virtuelle private Netzwerke (VPNs), Laufzeitsysteme, die die virtualisierte Ausführung von Betriebssystemen unterstützen, und Firewalls.
Eine weitere besondere Kategorie betrifft hochkritische Produkte, für die die Kommission befugt sein wird, eine obligatorische EU-Cybersicherheitszertifizierung zu verlangen. Der Text des Rates schränkt jedoch ihren Ermessensspielraum dabei erheblich ein.
Insbesondere muss die Europäische Kommission zunächst eine Folgenabschätzung zu den Auswirkungen der obligatorischen Zertifizierung auf den Binnenmarkt sowie zu den Umsetzungsmöglichkeiten der Mitgliedstaaten durchführen.
Darüber hinaus muss die Kommission das geforderte Sicherheitsniveau festlegen, entweder „erheblich“ oder „hoch“, das in einem angemessenen Verhältnis zum Risikoniveau des Produkts stehen sollte.
Die Liste der hochkritischen Produkte enthält nun Hardware-Geräte mit Sicherheitsboxen, intelligente Messsysteme für fortgeschrittene Sicherheitszwecke, einschließlich sicherer Krypto-Verarbeitung und Smartcards.
Meldepflichten
Der Gesetzesentwurf verpflichtet die Produkthersteller zur Meldung von Cybersicherheitsvorfällen und aktiv ausgenutzten Schwachstellen, d. h. von Zugangspunkten für Hacker, die noch nicht gepatcht worden sind. Die EU-Länder haben den Umgang mit solch sensiblen Informationen von der ENISA, der EU-Agentur für Cybersicherheit, in die Verantwortung der nationalen Computer-Notfallteams (CSIRTs) gegeben.
In einer früheren Fassung des Textes meldeten sich die Hersteller bei dem CSIRT des Landes, in dem sie hauptsächlich ihre Cybersicherheitsentscheidungen treffen. Das CSIRT übermittelte die Meldung dann über eine von der ENISA verwaltete gesamteuropäische Plattform.
Der Rat hat den direkten Zugang der Marktüberwachungsbehörden zu dieser Plattform gestrichen, da die CSIRTs sie informieren würden.
Die CSIRTs werden die Organisation der Sicherheit der Plattform leiten müssen, insbesondere in Bezug auf die Endpunkte der Meldung, die Sicherheitsvorkehrungen, die Art der auszutauschenden Informationen und die Aspekte der Datenspeicherung.
Gleichzeitig wird das CSIRT über einen gewissen Ermessensspielraum verfügen, wenn es darum geht, die Verbreitung der Meldung zu verzögern, „wenn dies aus Gründen der Cybersicherheit und für einen Zeitraum, der unbedingt erforderlich ist, gerechtfertigt werden kann, insbesondere wenn die Hersteller nachweisen, dass eine solche Verzögerung gerechtfertigt ist.“
Einer der Gründe für die Verzögerung könnte darin liegen, dass ein koordiniertes Verfahren zur Offenlegung von Sicherheitslücken gemäß der NIS2-Richtlinie durchgeführt werden soll.
Das CSIRT-Netz soll Leitlinien zu den Cybersicherheitsgründen ausarbeiten, die solche Verzögerungen rechtfertigen würden, z. B. wenn der Hersteller in Kürze eine Abhilfemaßnahme einführen will oder wenn die sofortige Verbreitung den Nutzen überwiegt.
Produktlebensdauer
Der Rat verlangt von den Herstellern, dass sie die erwartete Produktlebensdauer auf der Grundlage einer Reihe von Faktoren wie den einschlägigen EU-Rechtsvorschriften, der Art des Produkts, einschließlich der Lizenzbedingungen, der erwarteten Verfügbarkeit der Betriebsumgebung, der Lebensdauer von Produkten mit ähnlichen Funktionen, den Leitlinien der Behörden und der Lebensdauer integrierter Komponenten bestimmen.
Die Marktaufsichtsbehörden sind befugt, die Hersteller aufzufordern, die Berechnung der erwarteten Produktlebensdauer zu begründen.
Verwaltungsaufwand
Im Ratstext wird die Kommission beauftragt, ein vereinfachtes technisches Dokument für Klein- und Kleinstunternehmen zu erstellen. Die nationalen Maßnahmen zur Unterstützung dieser Unternehmen wurden als freiwillig und nicht als obligatorisch gestaltet.
Gleichzeitig wurde die Formulierung, wonach die benannten Stellen bei der Festlegung der Konformitätsbewertungsgebühren die besonderen Interessen der KMUs berücksichtigen müssen gestrichen. Stattdessen werden EU-Mittel erwähnt, um die Befolgungskosten für Kleinst- und Kleinunternehmen zu verringern.
Geltungsbereich
In einer Änderung wird klargestellt, dass die Verordnung „nicht für Bauteile gilt, die ausschließlich als Ersatzteile zum Austausch identischer Bauteile hergestellt und vom Hersteller des Originalprodukts mit digitalen Elementen geliefert werden.“
[Bearbeitet von Nathalie Weatherald]