Europäische Union verschärft Cybersicherheitsvorschriften für in der EU verkaufte Produkte

Der von der Europäischen Kommission im September 2022 vorgelegte Vorschlag für eine Cyber-Resilienz-Verordnung kommt langsam voran. Die Verhandlungsführer des Parlaments und des Rates haben gerade eine informelle Einigung über die Verordnung erzielt. Sie stärkt die Cybersicherheitsvorschriften, um mehr Sicherheit für in der EU verkaufte Produkte zu gewährleisten.

Der Cyber Resilience Act nimmt Gestalt an. Der im September 2022 von der Europäischen Kommission angekündigte Verordnungsvorschlag, der die Sicherheit von in der Europäischen Union verkaufter Hard- und Software stärken soll, hat einen weiteren Meilenstein erreicht. "Die Kommission begrüßt die politische Einigung, die gestern Abend zwischen dem Europäischen Parlament und dem Rat über den Cyber Resilience Act erzielt wurde", erklärte die Brüsseler Exekutive am 1. Dezember. Mit dem Gesetzestext soll auf die Cyber-Bedrohungen reagiert werden, die zunehmend Druck auf die Anbieter ausüben, sowie auf die wachsenden Anforderungen an Maßnahmen zur Gewährleistung der Sicherheit von in der EU verkauften Produkten während ihres gesamten Lebenszyklus, von der Entwicklung bis zum Verkauf. Das Dokument sieht vor, dass IT-Software und -Hardware mit einer CE-Kennzeichnung versehen wird, um anzuzeigen, dass sie die Anforderungen der Verordnung erfüllt und daher in Europa verkauft werden kann.

"Die Verordnung führt auch eine rechtliche Verpflichtung für die Hersteller ein, den Verbrauchern für mehrere Jahre nach dem Kauf rechtzeitig Sicherheitsupdates zur Verfügung zu stellen", so die Kommission. Dieser Zeitraum sollte mit der beabsichtigten Verwendung der Produkte übereinstimmen. Durch diese Maßnahmen wird der neue Rechtsrahmen es den Nutzern ermöglichen, fundiertere und sicherere Entscheidungen zu treffen, da die Hersteller in Bezug auf die Sicherheit ihrer Produkte transparenter und rechenschaftspflichtiger werden müssen". Im Gegensatz zur NIS2-Richtlinie, die einen breiteren Anwendungsbereich hat und sich an Anbieter von Cloud-Diensten sowie an Gesundheitsdienstleister richtet, gilt das Gesetz zur Cyber-Resilienz für alle oder einen Teil der digitalen Produkte, die im europäischen Binnenmarkt verkauft werden.

Praktische Umsetzung ab 2027

Die erzielte Einigung muss nun noch vom Europäischen Parlament und vom Rat formell genehmigt werden, was für 2024 erwartet wird. Nach seiner Verabschiedung wird das Gesetz über die Cyber-Resilienz am 20. Tag nach seiner Veröffentlichung im Amtsblatt in Kraft treten. Nach dem Inkrafttreten haben Hersteller, Importeure und Vertreiber von Hard- und Software drei Jahre Zeit, um sich an die Anforderungen des Gesetzes über die Cyber-Resilienz anzupassen. Die Frist für die Meldung von Vorfällen und Schwachstellen wird jedoch etwas früher ablaufen, nämlich innerhalb von 21 Monaten nach Inkrafttreten des Gesetzes.

Insgesamt ist das Gesetz über die Cyber-Resilienz ein positiver Schritt für die Cybersicherheit in Europa. Es wird dazu beitragen, die Nutzer vor Cyber-Bedrohungen zu schützen und die Sicherheit der in der EU verkauften digitalen Produkte zu verbessern.