EU Cyber Resilience Act: Neue EU-Vorgaben zur Cybersicherheit

Foto: enzozo – shutterstock.com

Am 15. September 2022 hat die EU-Kommission mit dem EU Cyber Resilience Act (CRA) einen Entwurf für ein Gesetz zur Cyberresilienz vorgestellt. Der Gesetzesentwurf enthält umfangreiche Pflichten für Hersteller, Importeure und Distributoren von Produkten mit digitalen Elementen. Unter anderem sollen die Hersteller nach dem Vorschlag dazu verpflichtet sein, derartige Produkte auf Schwachstellen zu untersuchen und erkannte Sicherheitslücken zu schließen. Bei einem Verstoß können die nationalen Behörden empfindliche Sanktionen verhängen.

Die Ziele des Cyber-Resilience-Acts

Die zunehmende Vernetzung von Produkten führt dazu, dass neue Cybersicherheitsrisiken entstehen. Vor allem im Internet of Things besteht die Gefahr, dass Teile des vernetzten Ökosystems bei den IT-Sicherheitserwägungen aus dem Blick geraten, weil sie eher in der Peripherie liegen. Dann erhöht sich aber das Risiko, dass das Ökosystem insgesamt über eine solche Schwachstelle angegriffen werden kann. Die EU-Kommission möchte durch das Gesetz dafür sorgen, dass diese Schwachstellen in der Peripherie eines vernetzten Ökosystems beseitigt werden, um den Markt und die Nutzer zu schützen.

Die EU-Kommission adressiert in der Gesetzesbegründung zwei Probleme, die durch den CRA gelöst werden sollen:

1. Es soll verhindert werden, dass Produkte mit digitalen Elementen ein Einfallstor für Cyberangriffe darstellen.

2. Verbraucher sollen mit ausreichend Informationen versorgt werden, um eine informierte Entscheidung treffen zu können, wenn sie entsprechende Produkte erwerben.

Das Gesetzgebungsverfahren zum EU Cyber Resilience Act

Die EU-Kommission hat die Gesetzesinitiative im März 2022 mit einer öffentlichen Konsultation begonnen. Dabei konnten interessierte Bürgerrinnen und Bürger sowie Organisationen ihre Ideen und Meinungen zu dem Gesetzesvorlagen vorbringen. Die Ergebnisse hat die EU-Kommission nun in den Entwurf einfließen lassen.

Der CRA soll die weiteren EU-Gesetze zur Cybersicherheit ergänzen. Hierzu zählt die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) und der Cybersecurity Act. Ebenfalls wird die zukünftige Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union (NIS 2) zu berücksichtigen sein. Allerdings besteht damit das Risiko, dass sich die Gesetzes überschneiden und der jeweilige Anwendungsbereich nicht trennscharf voneinander abgegrenzt werden kann.

Dies zeigt sich beispielhaft an der Frage, ob und inwieweit Angebote für Software as a Service (SaaS) vom CRA erfasst sein sollen: Grundsätzlich soll der CRA nicht für SaaS gelten, weil SaaS primär durch die NIS-2-Richtlinie erfasst sein soll (soweit die darin definierten Voraussetzungen erfüllt sind). Der CRA soll aber auch dann für SaaS gelten, wenn der SaaS eine “remote data processing solution” ist, die zu einem Produkt mit digitalen Elementen gehört. Hierunter dürfte z.B. ein Fitnesstracker fallen, der über eine Webanwendung Ergebnisse und Leistungsanalysen bereitstellt, die vom Nutzer eingesehen werden können. Zudem sieht Art. 2 (4) CRA vor, dass die EU-Kommission Ausnahmen für Produkte mit digitalen Elementen definieren kann, wenn diese Produkte mit digitalen Elementen von anderen EU-Gesetzen erfasst werden, die ganz oder teilweise die gleichen Ziele verfolgen, wie der CRA.

Anwendungsbereich des EU CRA

Der CRA gilt für Produkte mit digitalen Elementen. In Art. 2 (1) CRA wird festgelegt, dass dies Produkte sind, deren beabsichtigte oder vorhersehbare Nutzung auch eine direkte oder indirekte, logische oder physische Datenverbindung zu einem Gerät oder Netzwerk beinhaltet. Vor diesem Hintergrund werden aber insbesondere die in Art. 3 CRA vorgesehenen Definitionen problematisch sein. Ein Produkt mit digitalen Elementen ist demnach ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitung (remote data processing solution). Aus der Definition geht nicht klar hervor, ob auch bloße Software, selbst wenn sie nicht mit Hardware verbunden ist, vom CRA erfasst sein soll. Gerade vor dem Hintergrund, dass SaaS eigentlich nicht erfasst sein soll, scheint diese Definition nicht recht zu passen.

Ein weiteres Problem dürfte durch die Definition von “Software” hinzukommen. Der CRA definiert Software als Teil eines elektronischen Informationssystems, der aus Programmcode besteht. Sowohl in der europäischen, als auch in den deutschen Gesetzen ist der Begriff Software nicht klar definiert. Gemeinhin wird Software aber so definiert, dass es sich um einen Programmcode handeln muss, der ein Computersystem steuern kann, weil er entsprechende Befehle enthält. Fehlt es dem Programmcode an dieser Steuerungsfunktion, handelt es sich – in Abgrenzung zur Software – um Daten. Diese sind zwar Programmcode, können aber nicht selbstständig ausgeführt werden, sondern benötigen dafür eine Software. Der CRA trifft diese Unterscheidung nicht. Ob und wie sich dies in der Praxis auswirken kann, bleibt abzuwarten, da ein Produkt mit digitalen Elementen vollständig ohne Programmcode mit Steuerungsfunktion eher nicht vorkommen dürfte.

Pflichten der Hersteller

Schutzmaßnahmen: Die Produkte mit digitalen Elementen müssen künftig über ein angemessenes Niveau der Cybersicherheit verfügen. Einzelne Anforderungen an die Cybersicherheit werden im Annex I definiert. Die EU-Kommission soll die Befugnis erhalten, Annex I zu aktualisieren, um dadurch aktuellen Veränderungen schneller Rechnung tragen zu können. Der aktuelle Entwurf von Annex I sieht eine Vielzahl von unterschiedlichen Anforderungen vor.

Gemäß Annex I sollen Produkte mit digitalen Elementen gar nicht erst auf den Markt gebracht werden dürfen, wenn diese bekannte Schwachstellen enthalten. Offen ist eine genaue Definition des Zeitpunkts, wann eine Schwachstelle bekannt ist. Einerseits könnte man auf die subjektive Kenntnis des Herstellers abstellen. Dann hätte dieser allerdings die Möglichkeit, seine Kenntnis zu verhindern, indem er seine Bemühungen reduziert, Sicherheitsrisiken zu identifizieren. Ausgehend vom Zweck des Gesetzes wird man daher wohl eher annehmen müssen, dass Kenntnis bereits dann vorliegt, wenn die Sicherheitslücke hätte erkannt werden können, hätte man angemessene Anstrengungen unternommen, solche Schwachstellen aufzuspüren.

Hersteller wären danach verpflichtet, eine angemessene Recherche nach bekannten Sicherheitslücken durchzuführen. Bedenkt man, zu welchen Werten “Zero Day Exploits” im Darknet gehandelt werden, könnte die Recherche auch soweit gehen müssen, dass die Hersteller dazu verpflichtet sind, auch solche Aktivitäten zu überwachen.

Daneben sieht Annex I eine Vielzahl von weiteren Pflichten der Hersteller vor:

• Produkte mit digitalen Elementen müssen so ausgeliefert werden, dass die Standard-Einstellung eine sichere Konfiguration ist.

• Das Produkt muss durch einen “Re-set” in den Auslieferungszustand zurückgesetzt werden können.

• Die Produkte müssen auf eine Art und Weise entwickelt sein, bei der die Auswirkungen eines Sicherheitsvorfalls möglichs geringe Auswirkungen auf betroffene Personen haben. Dem liegt der Gedanke zugrunde, dass es einen absoluten Schutz vor Sicherheitsvorfällen nicht gibt. Denkbar wäre es z.B. dass nicht der Zugriff auf sämtliche Daten, sondern nur auf einen Teil der Daten ermöglich wird.

Lesetipp: Die größten sicherheitsvorfälle des Jahrzehnts

Datenintegrität: Ferner enthält Annex I des Cyber Resiliance Acts Regelungen zum Umgang mit Daten. In diesem Zusammenhang sind nicht nur personenbezogene Daten, sondern sämtliche Daten gemeint, die mit einem Produkt mit digitalen Elementen gesammelt werden. Der Hersteller muss das digitale Produkt so entwerfen, dass nur die Daten erhoben werden, die für dessen Funktionalität unbedingt erforderlich sind (“minimisation of data”). Je weniger Daten ein digitales Produkt verarbeitet, desto geringer ist das Risiko für betroffene Personen, wenn es zu einem Zwischenfall kommt.

Ferner ist der Hersteller dazu verpflichtet, eine Verschlüsselung vorzusehen. Betrachtet man bereits in anderen Gesetzen verankerte Verschlüsselungspflichten haben die letzten Jahre jedoch gezeigt, dass diese Pflichten in der Praxis selten umgesetzt werden. Oft werden derartige Verfahren als zu kompliziert angesehen, weil die notwendige Entschlüsselung den Benutzungskomfort reduziert, z.B. durch zusätzliche Passworteingaben oder längere Verarbeitungszeiten. Insoweit ist es zu begrüßen, dass die EU-Kommission hieran festhält.

Updatepflicht: Art. 10 CRA sieht vor, dass Hersteller für den Zeitraum von fünf Jahren oder die Produktlebenszeit, je nachdem welche Zeitspanne kürzer ist, Maßnahmen ergreifen müssen, um erkannte Schwachstellen zu beseitigen. Faktisch bedeutet dies wohl, dass die Hersteller Sicherheitsupdates zur Verfügung stellen müssen. Ob und wie dies zu erfolgen hat, wird jedoch nicht geregelt. Dabei stellen sich gerade bei der praktischen Umsetzung derartiger Pflichten viele Fragen. Häufig kennt der Hersteller den Endnutzer nicht, weil das Produkt mit digitalen Elementen nicht direkt von ihm, sondern über den Handel verkauft wird. Auch kann der Ersterwerber das Produkt weiterverkaufen. Wenn es keine direkte Informationsmöglichkeit über das Produkt selbst gibt, etwa durch entsprechende Hinweise auf einem Display, wird es für den Hersteller schwierig, eine Updatepflicht zu erfüllen. Umfangreiche Adressdatenbanken werden die Hersteller kaum erstellen und aktuell halten können.

Meldepflichten: Der Hersteller muss die Europäische Sicherheitsagentur ENISA informieren, sobald ihm eine Sicherheitslücke in einem seiner Produkte bekannt wird. Hierfür ist ein Zeitraum von 24 Stunden vorgesehen. Das Gleiche gilt, für Sicherheitsvorfälle, die dem Hersteller bekannt werden. Ferner muss der Hersteller die Nutzer des Produkts über den Sicherheitsvorfall informieren sowie darüber, wie etwaige Sicherheitslücken geschlossen werden können. Wenn den Herstellern Sicherheitslücken in verwendeten Komponenten bekannt werden, sollen sie den entsprechenden Hersteller der Komponente informieren.

Konformitätsbewertung: Schließlich sieht der CRA eine Konformitätsbewertung vor, deren Anforderungen an die Risiken, die von dem Produkt mit digitalen Elementen ausgehen, anknüpfen. Bei Produkten mit digitalen Elementen, die in die höhere Risikoklasse fallen, kann der Hersteller keine eigene Konformitätsbewertung mehr durchführen. Hier ist er verpflichtet, die Konformitätsbewertung durch einen Dritten durchführen zu lassen.

Sanktionen: Verstoßen Hersteller gegen die Pflichten des CRA drohen empfindliche Sanktionen. Die nationalen Behörden sind befugt, Geldbußen bis zu 15 Mio. Euro oder 2,5 Prozent des Jahresumsatzes zu verhängen. Daneben können die nationalen Behörden digitale Produkte vom Markt nehmen.

Nächste Schritte

Zunächst werden sich nun das Europäische Parlament und der Rat mit dem Vorschlag der EU-Kommission auseinandersetzen. Sollte der Vorschlag der EU-Kommission in der bestehenden Form angenommen werden und in Kraft treten, haben die Wirtschaftsteilnehmer und die Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Lediglich die Meldepflicht der Hersteller soll bereits nach einem Jahr gelten. Wann und wie lange die Diskussion zwischen Kommission, Parlament und Rat dauern wird, ist kaum absehbar. (bw)