Beim neuen Cybersicherheitsgesetz wird auf europäische Ebene über den Umgang von ausgenutzten Hacker-Schwachstellen diskutiert. Der Vorschlag einer paneuropäischen Meldeplattform für diesen Zweck steht im Raum.
Der Cyber Resilience Act ist ein Legislativvorschlag zur Einführung von Sicherheitsanforderungen, die Hersteller erfüllen müssen, bevor sie vernetzte Geräte auf den EU-Markt bringen.
Der kritische Streitpunkt bleibt die Meldepflicht für aktiv ausgenutzte Schwachstellen, wobei erhebliche Änderungen diskutiert werden, wie aus einem aktualisierten Text des EU-Rates vom 15. Juni hervorgeht, den EURACTIV einsehen konnte.
Das Dokument stand am Mittwoch (21. Juni) im Mittelpunkt einer Diskussion im Rahmen einer Sitzung der Cyber-Arbeitsgruppe, einem technischen Gremium des EU-Ministerrats, als klar wurde, dass vor dem Ende der schwedischen EU-Ratspräsidentschaft keine gemeinsame Position zu dem Dossier erreicht werden kann.
Der Staffelstab wird nun im nächsten Monat an Spanien weitergegeben, wobei ein vorläufiger Termin für eine Bestätigung der Position des Rates auf Botschafterebene für den 17. Juli vorgesehen ist.
Umgang mit Schwachstellen
Der EU-Gesetzesentwurf sieht erstmals vor, dass Hersteller nicht nur Vorfälle im Bereich der Cybersicherheit melden müssen, sondern auch aktiv ausgenutzte Schwachstellen, also Sicherheitslücken, die noch nicht behoben wurden.
Das Konzept der aktiv ausgenutzten Schwachstellen wurde an die Definition der überarbeiteten Richtlinie über die Netz- und Informationssicherheit (NIS2) angepasst und so erweitert, dass es sowohl versuchte als auch erfolgreiche Sicherheitsverletzungen umfasst.
Darüber hinaus wird in dem Kompromiss darauf hingewiesen, dass die Verpflichtungen zum Umgang mit Schwachstellen „für Produkte mit digitalen Elementen in ihrer Gesamtheit gelten, einschließlich aller integrierten Komponenten.“
Die Hersteller sollten angeben, wann sie die Behebung von Sicherheitslücken vorsehen, beispielsweise auf der Verpackung des Produkts. Informationen über behobene Schwachstellen müssten von den Herstellern öffentlich bekannt gegeben werden, insbesondere um den Benutzern die Möglichkeit zu geben, den entsprechenden Patch anzuwenden. Eine Ausnahme wäre, wenn die Sicherheitsrisiken die Vorteile überwiegen.
Konfliktpunkt Meldepflichten
Die Meldepflichten der Hersteller sind der eigentliche Streitpunkt im Rat, da die EU-Länder den Umgang mit solch sensiblen Informationen von der ENISA, der EU-Agentur für Cybersicherheit, in die Verantwortung der nationalen Computer-Notfallteams (CSIRTs) gegeben haben.
Die Hersteller müssen innerhalb von 24 Stunden nach Bekanntwerden einer aktiv ausgenutzten Schwachstelle eine Frühwarnung und innerhalb von drei Tagen eine Aktualisierung mit detaillierteren Informationen, dem Stand der Abhilfemaßnahmen und etwaigen Korrektur- oder Entschärfungsmaßnahmen übermitteln.
Alle Meldungen sind über den elektronischen Meldeendpunkt des EU-Landes mitzuteilen, in dem das Unternehmen seine Hauptniederlassung hat, also „dort, wo die Entscheidungen in Bezug auf die Cybersicherheit seiner Produkte mit digitalen Elementen überwiegend getroffen werden.“
Alle nationalen Endpunkte sollten in eine einzige Meldeplattform einfließen, die von der ENISA eingerichtet und verwaltet wird. Die CSIRTs sollten dabei an der Einrichtung der Sicherheits- und Betriebsvorkehrungen der Plattform beteiligt sein.
Das erste CSIRT, das die Meldung erhält, ist dann verpflichtet alle relevanten Partner informieren. Unter außergewöhnlichen Umständen kann dies jedoch verschoben werden, wenn es aus berechtigten Gründen der Cybersicherheit unbedingt erforderlich ist.
Eine Bestimmung, wonach die Verpflichtungen der Verordnung nicht zur Offenlegung von Informationen führen sollten, die den wesentlichen Sicherheitsinteressen der EU-Länder zuwiderlaufen, wurde gestrichen.
Besondere Produktkategorien
Der EU-Rat führte einen neuen Anhang ein, in dem hochkritische Produkte aufgelistet sind, und schränkte damit den Ermessensspielraum der Europäischen Kommission ein, die weiterhin in der Lage sein wird, Produktkategorien hinzuzufügen oder zu entfernen.
Die Idee ist, dass die EU-Kommission diese Produktkategorien durch delegierte Rechtsakte dazu verpflichten könnte, eine europäische Cybersicherheitszertifizierung zu erwerben, um die Einhaltung der EU-Vorschriften nachzuweisen.
Die Mitgliedstaaten haben die Bedingung aufgenommen, dass das Zertifikat bereits vorhanden sein muss, damit es verpflichtend wird. Darüber hinaus muss die Kommission eine Folgenabschätzung durchführen, um die Auswirkungen auf die Verfügbarkeit der Produkte im Binnenmarkt zu analysieren.
„Die Bewertung der potenziellen Marktauswirkungen der geplanten obligatorischen Zertifizierung sollte sowohl die Angebots- als auch die Nachfrageseite berücksichtigen, einschließlich der Frage, ob eine ausreichende Nachfrage besteht“, heißt es in dem Text.
Unter den Klassen I und II werden auch besondere Produktkategorien aufgeführt, für die die EU-Kommission zusammen mit den hochkritischen Produkten gemeinsame Spezifikationen und Konformitätsbewertungsverfahren festlegen soll.
Anwendungsspezifische integrierte Schaltkreise und feldprogrammierbare Gate-Arrays (FPGAs) wurden von der Klasse II in die Klasse I verschoben, während Authentifizierungssoftware wie Passwortmanager in die Klasse II aufgenommen wurden.
Grundlegende Anforderungen
Mit dem Cyber Resilience Act sollen grundlegende Anforderungen für alle vernetzten Produkte eingeführt werden. Der neue Text legt fest, dass diese grundlegenden Anforderungen, einschließlich des Umgangs mit Sicherheitslücken, für jedes in den Umlauf gebrachte Produkt gelten, unabhängig davon, ob es Teil einer Serie ist.
Die Verantwortung für die Einhaltung dieser grundlegenden Anforderungen geht auf jeden Wirtschaftsakteur über, der wesentliche Änderungen an dem Produkt vornimmt, die sich auch aus Software-Updates ergeben können, unabhängig davon, ob diese separat oder in Kombination mit einem Sicherheitsupdate erfolgen.
Bevor ein Produkt auf den Markt gebracht wird, sollten die Hersteller eine Folgenabschätzung durchführen, um zu prüfen, ob eine Sicherheitslücke systemische Auswirkungen auf Verbraucher und Organisationen haben könnte.
Delegierte Befugnisse
Die Befugnis der Kommission zum Erlass delegierter Rechtsakte wird fünf Jahre nach Inkrafttreten der Verordnung auslaufen. Sie wird jedoch automatisch verlängert, es sei denn, der EU-Rat oder das Parlament lehnen sie ab. Die EU-Kommission muss außerdem neun Monate vor Ablauf des Fünfjahreszeitraums einen Bericht vorlegen.
Zeitplan
Das Anwendbarkeit der Verordnung wurde von zwei auf drei Jahre nach ihrem Inkrafttreten verschoben.
[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]