Das Cyberresilienzgesetz (CRA) soll digitale Produkte sicherer machen. Dazu erlegt die EU-Verordnung den Herstellern Cyber-Sicherheitspflichten auf. Der Mitglieder-Rat der EU sowie der Industrieausschuss des EU-Parlaments haben ihre Positionen zum Vorschlag beschlossen.
„Wir werden die heute im Rat erzielte Einigung feiern“, kommentierte Carme Artigas Brugall. Die Staatssekretärin für Digitalisierung und Künstliche Intelligenz sprach dabei als Vertreterin Spaniens, das gerade die EU-Ratspräsidentschaft übernommen hat. Die Einigung des Rats sei ein Erfolg für einen sicheren und geschützten digitalen Binnenmarkt. „Internet-of-Things-Produkte (IoT-Produkte) und andere vernetzte Objekte müssen ein grundlegendes Cyber-Sicherheitsniveau aufweisen, wenn sie in der EU verkauft werden“, fasste Artigas Brugall das Ziel des Cyberresilienzgesetzes zusammen. Die Position des Rates ermöglicht es ihr nun, Verhandlungen mit dem Europäischen Parlament aufzunehmen.
Kern der Ratsposition sind drei Punkte. Erstens stimmt der Rat der grundlegenden Idee, des CRA zu, die Verantwortung für die IT-Sicherheit von Produkten zu den Herstellern zu verlagern. Zweitens bestätigt der Rat, dass die Hersteller zur Bereitstellung von Updates verpflichtet werden. Auch die vom CRA geforderte Offenlegung von Produktbestandteilen und IT-Sicherheitseigenschaften von Produkten, hält der Rat für sinnvoll. Allerdings möchte der Rat den Anwendungsbereich noch nachverhandeln. Die wichtigste Änderung, die der Rat konkret benennt, ist jedoch, dass Schwachstellen nicht direkt der EU-Agentur für Cyber-Sicherheit (ENISA), sondern den nationalen Behörden gemeldet werden sollen. Aber der Rat fordert, dass ENISA eine gemeinsame Plattform für die Schwachstellenmeldung baut.
EU-Abgeordnete fordern automatische Sicherheitsupdates
Auch das EU-Parlament hat sich auf seine Verhandlungsposition geeinigt. Die Abgeordneten wollen noch Definitionen präzisieren und die Zeitvorgaben anpassen. Außerdem schlagen sie vor, die Liste der kritischen Produkte um Identitätsmanagement-Systeme, Passwort-Manager, biometrische Lesegeräte, Smart Home-Assistenen, Smart Watches und private Überwachungskameras zu erweitern. Darüber hinaus schlugen die Abgeordneten vor, dass sicherheitsrelevante Updates von funktionellen getrennt werden. Die Sicherheitsupdates sollten automatisch eingespielt werden, forderten die Abgeordneten.
