Während die NIS-2-Richtlinie deutlich mehr Öffentlichkeitsaufmerksamkeit erhält, sprach das EU-Parlament seit Ende 2022 ebenfalls über den Cyber-Resilience-Act (im Folgenden CRA); eine Verordnung für Produkte mit digitalen Elementen, welche horizontale Cybersicherheitsanforderungen setzt.
Nach viel Kritik, insbesondere aus der Open-Source-Software-Community, und den aus der Kritik abgeleiteten Änderungen, hat das EU-Parlament am Dienstag, den 12.03.2024, den CRA verabschiedet. Jetzt muss er noch durch den Rat der europäischen Union, was aber i.d.R. keine Hürde darstellt.
Eine nationale Umsetzung ist nicht erforderlich, da der CRA unmittelbar in den Mitgliedstaaten gilt. Hierzulande ist derweil noch unklar, welche Behörde die Aufsicht über die Einhaltung der Verordnung erhält. Abgewogen wird zwischen dem BSI und der Bundesnetzagentur.
Nach den bekannten Maximen „Privacy by Design“ und „Privacy by Default“ findet mit dem CRA auch „Security by Design“ Einzug in das europäische IT-Recht-Jargon. Das heißt, die vorgeschriebene Sicherheit muss nicht erst bei Markteintritt gewährleistet werden. Stattdessen muss eine kontinuierliche Bewertung während des Entwicklungsprozesses stattfinden.
Als Reaktion auf die laute Kritik aus der, insbesondere in Deutschland sehr stark vertretenen, Open-Source-Community wurden mehrere Ausnahmen hinzugefügt. Beispielsweise die Eclipse Foundation zeigte sich zufrieden mit den Änderungen und schreibt in einem Blogbeitrag „Wir freuen uns, zu berichten, dass man auf die Open-Source-Community gehört hat“. Benjamin Bögel, zuständiger für den CRA und Produktsicherheit der EU-Kommission glaubt ebenfalls nicht, dass es durch den CRA noch einen „abschreckenden Effekt auf Open Source [Software] geben wird“.
Quellen: