CYBER RESILIENCE ACT – EU schafft mehr digitale Sicherheit

Von vermehrten Ransomware-Angriffen sind mittlerweile nicht mehr nur Unternehmen betroffen, sondern auch Privatpersonen. Diese Angriffe auf die Cybersicherheit sind zunehmend auf Schwachstellen in Hardware- und Softwareprodukten zurückzuführen. Derzeit gibt es jedoch für die meisten Hardware- und Softwareprodukte keine einheitlichen Rechtsvorschriften auf EU-Ebene. Mit dem neuen Cyber Resilience Act kommen neue Sicherheitspflichten auf Hersteller und Vertreiber von Produkten mit digitalen Themen zu. Davon ausgenommen ist Software, die als Dienstleistung bereitgestellt wird. Diese fallen bereits unter die NIS2-Richtlinie.

Was ändert sich?
• Künftig soll über den gesamten Lebenszyklus eines Produktes die Sicherheitsverantwortung beim Hersteller liegen. Hiermit sollen regelmäßige Maßnahmen, wie z.B. kontinuierliche Updates gewährleistet werden (Updates sollen für mind. 5 Jahre zu Verfügung gestellt werden müssen).
• Neue Dokumentationspflicht für Cybersicherheitsrisiken
• Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle
• Überwachungs- und Beseitigungspflicht von Schwachstellen während er erwarteten Lebensdauer des Produktes (max. 5 Jahre)
• Pflicht für verständliche Gebrauchsanweisungen
• Die Cybersicherheit soll in der Planungs-, der Entwurfs-, der Entwicklungs-, Produktions-, Liefer- und Wartungsphase berücksichtigt werden.

Wie wird die Einhaltung dieser Pflichten kontrolliert?
Für einen Nachweis, dass die neuen Sicherheitsanforderungen erfüllt wurden, werden die Hersteller einem Konformitätsbewertungsverfahren unterzogen. Diese kann durch eine Selbstbewertung der Hersteller oder durch eine Drittbewertung erfolgen (je nach Einteilung der Sicherheitsklasse). Diese Kontrolle bleibt Aufgabe der Mitgliedstaaten, welche Marktüberwachungsbehörden benennen müssen, die sich um die Durchsetzung der Verpflichtungen nach dem neuen Gesetz kümmern.

Wie geht es weiter?
Der Kommissionsvorschlag wird nun zunächst vom europäischen Parlament und dem Rat geprüft. Die neuen Vorgaben sollen 2 Jahre nach der Verabschiedung in Kraft treten, wobei die Meldepflicht bei Sicherheitsvorfällen, bereits nach 1 Jahr gelten soll.

Quellen:
https://www.haufe.de/compliance/recht-politik/eu-cyber-resilience-act_230132_577738.html
https://www.wbs.legal/it-und-internet-recht/cyber-resilience-act-eu-schafft-endlich-mehr-digitale-sicherheit-62426/