Die EU-Mitgesetzgeber stehen kurz vor einer politischen Einigung über den Cyber Resilience Act (CRA). Die größte Hürde, die es noch zu nehmen gilt, ist die Befugnis der nationalen Behörden, den Zugang zu gemeldeten Sicherheitslücken zu beschränken.
Das Gesetz über Cyberresilienz ist ein Gesetzesvorschlag zur Einführung von Sicherheitsanforderungen für die Hersteller von vernetzten Geräten. Das Dossier befindet sich in der letzten Phase des Gesetzgebungsverfahrens, in der die EU-Kommission, das Parlament und der Rat in so genannten Trilogen die endgültigen Bestimmungen aushandeln.
Die Hauptorgane der EU werden am Donnerstag (30. November) bei einem politischen Trilog eine Vereinbarung formalisieren. Die meisten Aspekte des Dossiers wurden jedoch bereits auf technischer Ebene geklärt, wie aus einem internen Dokument vom 24. November hervorgeht, das Euractiv einsehen konnte.
Gleichzeitig bleibt der heikle Aspekt der Meldung von Schwachstellen und Zwischenfällen die wichtigste offene politische Frage.
Meldung von Schwachstellen
Das neue Cybersicherheitsgesetz führt zum ersten Mal die Verpflichtung ein, nicht nur schwerwiegende Vorfälle zu melden, sondern auch aktiv ausgenutzte Schwachstellen, also Zugangspunkte, die derzeit von böswilligen Akteuren genutzt werden und noch nicht gepatcht worden sind.
Während die Meldefristen an die der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) angeglichen wurden, war bei aktiv ausgenutzten Schwachstellen eine Frist von 14 Tagen für die Übermittlung des Abschlussberichts vorgesehen.
Der ursprüngliche Vorschlag, der vom Parlament unterstützt wurde, sah vor, diese Schwachstellen der ENISA, der EU-Agentur für Cybersicherheit, zu melden. Die Mitgliedstaaten wollen diese Aufgabe jedoch in die Hände ihrer nationalen Computer Security Incident Response Teams (CSIRTs) legen.
Als Referenz-CSIRT gilt dasjenige des Landes, in dem der Hersteller seine Hauptniederlassung hat, also dort, wo er cybersicherheitsrelevante Entscheidungen trifft beziehungsweise die meisten Mitarbeiter hat. Unternehmen, die keine Niederlassung in der EU haben, müssen sich auf das Land beziehen, in dem sie die meisten Nutzer haben.
Mitte November berichtete Euractiv, wie die Kommission als Kompromiss vorschlug, dass die Hersteller die Meldung über eine einzige Meldeplattform einreichen sollten, um gleichzeitig das zuständige nationale CSIRT und die ENISA zu alarmieren.
Während sich ein Konsens über diesen Ansatz abzeichnet, besteht der Rat auf der Möglichkeit für die CSIRTs, den Zugang der ENISA zu den Meldungen aus Gründen der Cybersicherheit vorübergehend zu beschränken. Da die Abgeordneten des Europäischen Parlaments diese Maßnahme vehement ablehnen, wird dies der Streitpunkt im kommenden Trilog sein.
Euractivs Verständnis nach sind die Mitgliedsstaaten mit dem Kompromiss der Ratspräsidentschaft nicht ganz zufrieden, da er über ihr Mandat hinausgeht. Weitere Kontroversen könnten sich aus der Tatsache ergeben, dass das EU-Parlament eine Formulierung einfügen möchte, die eine Aufstockung der Mittel für die ENISA fordert.
Besondere Produktkategorien
Das Cybersicherheitsgesetz sieht vor, dass die Hersteller selbst bewerten können, ob sie die Sicherheitsanforderungen erfüllen. Für bestimmte ‚wichtige‘ Produktkategorien müssen die Produkte jedoch von zertifizierten Konformitätsbewertungsstellen überprüft werden.
Die wichtigen Produkte sind im Anhang der Verordnung aufgeführt. Dem Rat ist es jedoch gelungen, eine Methodik zur Einstufung von Produkten in diese speziellen Kategorien und einige Filter einzuführen. Demnach muss das Produkt eine kritische Funktion für die Cybersicherheit anderer Produkte haben oder eine Funktion aufweisen, die ein erhebliches Risiko negativer Auswirkungen auf eine große Anzahl von Produkten oder Nutzern mit sich bringt.
Die Liste der wichtigen Produkte – ein weiterer Knackpunkt bei den Verhandlungen – wurde inzwischen konsolidiert.
Die erste Klasse wichtiger Produkte umfasst Identitätsmanagementsysteme, Browser, Passwortmanager, Software zur Erkennung von Malware, virtuelle private Netzwerke (VPNs), Netzwerkmanagementsysteme, Systeme zur Verwaltung von Sicherheitsinformationen und Ereignissen, Boot-Manager, Software zur Ausstellung digitaler Zertifikate, Netzwerkschnittstellen, Betriebssysteme, Router, Mikroprozessoren, Mikrosteuerungen mit sicherheitsrelevanten Funktionen und anwendungsspezifische Schaltkreise.
Auf Drängen der Abgeordneten des Europäischen Parlaments wurden auch Verbraucherprodukte wie Smart-Home-Systeme, mit dem Internet verbundenes Spielzeug und persönliche Wearables in die Klasse I aufgenommen. In der Klasse II umfasst die endgültige Liste Hypervisoren und Container-Laufzeitsysteme, Firewalls, manipulationssichere Mikroprozessoren und Steuerungen.
Schließlich führte der Rat auch eine zusätzliche Liste kritischer Produkte ein, für die ein Cybersicherheitszertifikat verlangt werden könnte, darunter Hardware-Geräte, intelligente Messgeräte und Smartcards.
Verpflichtungen für Hersteller
Die Hersteller müssen eine Risikobewertung durchführen, aus der hervorgeht, welche Sicherheitsanforderungen auf ihr Produkt anwendbar sind. Die Risikobewertung ist während des Unterstützungszeitraums des Produkts gegebenenfalls zu aktualisieren.
Der Unterstützungszeitraum ist der Zeitrahmen, in dem die Hersteller den Umgang mit den Schwachstellen des Produkts sicherstellen sollten. Er sollte mindestens fünf Jahre betragen, außer das Produkt hat eine kürzere erwartete Lebensdauer.
Darüber hinaus schreibt der vereinbarte Text vor, dass jede Sicherheitsaktualisierung, die während des Unterstützungszeitraums zur Verfügung gestellt wird, mindestens 10 Jahre nach ihrer Veröffentlichung oder für den Rest des Unterstützungszeitraums verfügbar bleiben sollte, je nachdem, welcher Zeitraum länger ist.
Der Text legt nun fest, dass die Hersteller ihre Produkte „mit einer sicheren Standardkonfiguration ausstatten und den Nutzern kostenlos Sicherheitsupdates zur Verfügung stellen“ sollten.
Ausnahme für die nationale Sicherheit
Der Wortlaut der vom Rat geforderten Ausnahmeregelung für die nationale Sicherheit muss noch bestätigt werden. Hier stellt sich die Frage, ob nur Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder der Verteidigung entwickelt wurden, ausgenommen werden sollen, oder auch solche, die für diese Zwecke verändert wurden.
Open-Source-Software
Wie Open-Source-Software einbezogen werden soll, ist auf technischer Ebene weitgehend geklärt. Wie Euractiv bereits berichtete, haben die EU-Politiker die Figur des Open-Source-Software-Verwalters eingeführt, der für die Dokumentation und den Umgang mit Schwachstellen verantwortlich ist.
Aufteilung der Einnahmen aus Bußgeldern
Ein geringfügiger Aspekt, der beim Trilog geklärt werden muss, ist der Vorschlag der Europaabgeordneten, die EU-Länder zu verpflichten, die Einnahmen aus Bußgeldern im Rahmen dieser Verordnung in Aktivitäten zum Aufbau von Cybersicherheitskapazitäten zu investieren.
[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]