Neue EU-Verordnung soll Hersteller digitaler Produkte zu mehr Cybersicherheit verpflichten

Hardware- und Softwareprodukte sind zunehmend Gegenstand erfolgreicher Cyberangriffe, was aktuell zu geschätzten jährlichen Kosten von 5,5 Billionen Euro durch Cyberkriminalität führt.

Die Europäische Kommission hat vor diesem Hintergrund heute einen Vorschlag für eine Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen veröffentlicht, den „Cyber Resilience Act„. Dieser soll künftig sicherere Hardware- und Softwareprodukte gewährleisten.

Aktuelle digitale Produkte leiden nach Ansicht der Kommission unter zwei Hauptproblemen:

Zum einen beklagt sie ein niedriges Niveau der Cybersicherheit, das sich in weit verbreiteten Schwachstellen und der unzureichenden und uneinheitlichen Bereitstellung von Sicherheitsupdates zu deren Behebung widerspiegelt.

Und zum anderen bestehe unzureichendes Verständnis und ungenügender Zugang zu Informationen seitens der Nutzer, was diese daran hindert, sich für Produkte mit angemessenen Cybersicherheitseigenschaften zu entscheiden oder diese auf sichere Weise zu nutzen.

Die bestehenden Binnenmarktvorschriften gelten zwar für bestimmte Produkte mit digitalen Elementen, aber für die meisten Hardware- und Softwareprodukte gibt es derzeit keine EU-Rechtsvorschriften, die sich mit ihrer Cybersicherheit befassen.

Der Cyber Resilience Act soll nach den Vorstellungen der Kommission die Voraussetzungen für die Entwicklung sicherer Produkte mit digitalen Elementen schaffen, indem u.a. durch Schaffung eines kohärenten Rahmens für die Cybersicherheit sichergestellt wird, dass die Hersteller von Hard- und Software die Sicherheit von Produkten mit digitalen Elementen bereits in der Entwurfs- und Entwicklungsphase berücksichtigen und während des gesamten Lebenszyklus verbessern.

Und es sollen – insbesondere durch Verbesserung der Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen – Rahmenbedingungen geschaffen werden, die es den Nutzern ermöglichen, bei der Auswahl und Nutzung von Produkten mit digitalen Elementen die Cybersicherheit zu berücksichtigen.

[Quelle: Mitteilung der EU-Kommission vom 15.09.2022, abrufbar unter: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act]