Es wird erwartet, dass die wichtigsten Fraktionen des Europäischen Parlaments bei einem politischen Treffen am Mittwoch (5. Juli) einen gemeinsamen Standpunkt zu der neuen Cybersicherheitsverordnung finden werden.
Der Cyber Resilience Act ist ein Gesetzesentwurf zur Einführung von Cybersicherheitsanforderungen wie obligatorischen Sicherheits-Patches und der Behandlung von Schwachstellen für Produkte des Internets der Dinge. Dies sind verbundene Geräte, die Daten sammeln und austauschen können.
Die Abgeordneten, die für den federführenden Industrieausschuss des Europäischen Parlaments an dem Entwurf arbeiten, werden sich am Mittwoch treffen, um darüber zu diskutieren. Dabei wird es darum gehen, wo das Thema Open Source behandelt werden soll, ob im Anhang oder im Hauptteil des Textes, wie lange das Produkt unterstützt werden soll, welche Meldepflichten bestehen und wie der Zeitplan für das Inkrafttreten aussieht.
Im Vorfeld der politischen Verabschiedung hat der Berichterstatter Nicola Danti nach einer technischen Sitzung am Montag eine weitgehend konsolidierte Fassung des Textes vorgelegt, die EURACTIV vorliegt. Die Abstimmung im Ausschuss ist für den 19. Juli angesetzt.
Anwendungsbereich
Der jüngste Kompromiss stellt klar, dass die in die vernetzten Geräte integrierten Lösungen für die Datenfernverarbeitung, wie etwa Cloud-fähige Funktionen für intelligente Haushaltsgeräte, ebenfalls in den Anwendungsbereich der Verordnung fallen.
„Andererseits sollten Websites, die nicht unmittelbar mit einem Produkt mit digitalen Elementen oder Cloud-Diensten außerhalb der Verantwortung des Herstellers verbunden sind, nicht als Lösungen für die Datenfernverarbeitung im Sinne dieser Verordnung betrachtet werden“, heißt es in dem Text.
Im Gegensatz dazu ist freie und quelloffene Software ausserhalb kommerzieller Bereiche vom Anwendungsbereich ausgeschlossen. Kommerzielle Umgebungen sind solche, in denen Entwickler, die von kommerziellen Einrichtungen oder deren Arbeitgebern beschäftigt werden, die Kontrolle über die Änderungen ausüben können, die in die Codebasis integriert werden.
Verantwortung in der Lieferkette
Die Hersteller, die beschließen, Komponenten von Dritten, einschließlich freier und quelloffener Software, in ihre Produkte zu integrieren, müssen die Sorgfaltspflicht erfüllen, um die Einhaltung der Cybersicherheitsanforderungen zu gewährleisten.
Wenn die Hersteller bei der Durchführung dieser Sorgfaltspflicht eine Schwachstelle entdecken, sollten sie diese beheben und den Entwickler der Komponente über den Sicherheitspatch informieren.
Das Parlament verpflichtet die Hersteller von Komponenten, dem Hersteller des Endprodukts alle relevanten Informationen zur Einhaltung der Verordnung kostenlos zur Verfügung zu stellen.
Die Verantwortung für die Einhaltung des Cybersicherheitsgesetzes geht auf jeden Marktteilnehmer über, der das Produkt wesentlich verändert. Die Kommission hat die Aufgabe, Leitlinien dazu zu erstellen, was wesentliche Änderungen sind.
Unterstützungszeitraum
Der Begriff des Unterstützungszeitraums wurde dahingehend geändert, dass er auch den Zeitrahmen umfasst, in dem die Hersteller Schwachstellen beheben müssen.
Die Hersteller sollten den Unterstützungszeitraum auf die erwartete Produktlebensdauer abstimmen und den Marktbehörden auf Anfrage die entsprechenden Informationen zur Verfügung stellen. Die Behörden sollten aktiv überprüfen, ob die Hersteller den Unterstützungszeitraum korrekt festlegen.
Meldepflichten
Die Hersteller müssen jede aktiv ausgenutzte Schwachstelle während des gesamten Unterstützungszeitraums melden.
Die Abgeordneten erklärten, dass diese Verpflichtungen „Fälle abdecken, in denen ein Beteiligter schädlichen Code auf einem Produkt mit digitalen Elementen ausführt, um eine Sicherheitsverletzung herbeizuführen. Zum Beispiel durch Ausnutzung von Schwachstellen in Identifizierungs- und Authentifizierungsfunktionen.“
Gleichzeitig werden Hacks, die gutwillig durchgeführt werden, beispielsweise um die Sicherheit des Systems und seiner Nutzer zu testen, zu untersuchen, zu korrigieren oder zu fördern, nicht berücksichtigt.
Die Hersteller sollten auch Dritten die Möglichkeit geben, Schwachstellen direkt an sie zu melden. Wer dies anonym tun möchte, kann dies auch indirekt über das nationale Computer Security Incident Response Team tun.
Online-Marktplätze
In einer früheren Fassung des Textes hatten die Abgeordneten Verpflichtungen für Online-Marktplätze eingeführt, die eine einzige Kontaktstelle einrichten müssen, um mit den Marktaufsichtsbehörden in Fragen der Cybersicherheit zu kommunizieren.
Die neue Formulierung stellt klar, dass die Anforderungen des Gesetzentwurfs auch für Fälle gelten, in denen ein Online-Marktplatz lediglich als Vermittler fungiert oder einige der von ihm verkauften Geräte selbst herstellt.
Anbieter mit hohem Risiko
Die Formulierung zu Anbietern mit hohem Risiko wurde im Vergleich zu früheren Änderungen deutlich abgeschwächt. Der Begriff bezieht sich auf Anbieter wie Huawei, die aufgrund des chinesischen Gesetzes, das der Regierung den Zugang zu Daten ermöglicht, ein Risiko darstellen.
Aufgabe der Marktaufsichtsbehörde und der Europäischen Kommission ist es, Leitlinien und gezielte Empfehlungen zur Umsetzung von Korrekturmaßnahmen für Produkte des Internets der Dinge bereitzustellen, die aufgrund dieser nichttechnischen Risikofaktoren ein erhebliches Cybersicherheitsrisiko darstellen.
Unterstützung für KMU
Die Abgeordneten wollen, dass die Kommission kleinen und mittelständischen Unternehmen (KMU) bei der Einhaltung der Verordnung unterstützt, indem sie die finanzielle Unterstützung über das Programm „Digitales Europa“ und andere EU-Programme vereinfacht. Auch die EU-Länder sollen ergänzende Maßnahmen in Betracht ziehen.
Der Artikel über regulatorische Sandkästen wurde zugunsten von allgemeineren kontrollierten Testumgebungen gestrichen. Diese könnten die EU-Länder mit Unterstützung der ENISA, der EU-Agentur für Cybersicherheit, einrichten. Hersteller von Produkten, die ein KI-System verwenden, das im Rahmen des KI-Gesetzes als risikoreich eingestuft wird, können sich den regulatorischen Sandkästen anschließen, die im Rahmen dieser Verordnung eingerichtet werden.
Zeitplan
Der Zeitpunkt des Inkrafttretens von 24 auf 40 Jahre verschoben, während die Meldepflichten von 12 auf 20 Monate seit Inkrafttreten der Verordnung verlängert wurden. Dieser Teil könnte noch erheblichen Änderungen auf politischer Ebene unterzogen werden.
(Bearbeitet von Nathalie Weatherald)