Der Rat der EU-Innenministerinnen und Innenminister hat am 10. Oktober den Cyber Resilience Act (CRA) beschlossen. Mit dieser Regelung möchte die Europäische Union (EU) die Cyber-Sicherheit der Bürgerinnen und Bürger stärken. Der CRA setzt verbindliche Cyber-Sicherheitsanforderungen für alle vernetzten Geräte voraus. Dazu zählen z. B. Saugroboter, Smartwatches oder die meisten Apps für mobile Endgeräte und Smart-TVs. Für die Umsetzung gilt ein Übergangszeitraum von drei Jahren.
Ab November 2027 müssen somit Anwendungen und Produkte, die digitale Elemente enthalten, grundlegende Cyber-Sicherheitsmaßnahmen erfüllen, um in der EU vertrieben werden zu dürfen. Damit führt die EU den Grundsatz „Security by Design“ ein. Erreicht werden soll dies über das CE-Kennzeichen. Dieses europäische Kennzeichen umfasst Anforderungen an Sicherheit, Gesundheits- und Umweltschutz. Nun wird diesen Merkmalen noch ein Cyber-Sicherheitsfaktor hinzugefügt. Durch diese Maßnahme werden Hersteller, Importeure und der Handel in die Pflicht genommen. Nach der Kennzeichnung eines Produkts müssen den zuständigen nationalen Behörden auf Anfrage Unterlagen und Belege zur Verfügung gestellt werden.
Neben den Cyber-Sicherheitsanforderungen für die Produkte wird auch eine Meldepflicht eingeführt. Hersteller sollen künftig IT-Schwachstellen und Cyber-Vorfälle innerhalb von 24 Stunden an die Europäische Agentur für Cybersicherheit (ENISA) melden und regelmäßige Sicherheitsupdates bereitstellen. Diese Meldepflicht gilt, anders als die CE-Kennzeichnung, bereits in 21 Monaten.
Bevölkerung und Wirtschaft profitieren
Bundesinnenministerin Nancy Faeser (SPD) zeigt sich zufrieden mit dem Gesetz: „Mit dem Cyber Resilience Act heben wir die Cybersicherheit in Europa auf ein neues Niveau. Davon werden Verbraucherinnen und Verbraucher genauso profitieren wie die Wirtschaft.“ In Zukunft könne man sich darauf verlassen, dass ein vernetztes Gerät, das Bürgerinnen und Bürger bei sich tragen oder zuhause haben, kein Sicherheitsrisiko darstellt, sagte die Ministerin.
Darüber hinaus wird die Supportpflicht für digitale Produkte an den individuellen Lebenszyklus gekoppelt. Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, unterstützt diesen Grundsatz: „Künftig müssen Hersteller über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren Cybersicherheit übernehmen.“
IT-Sicherheitskennzeichen bereitet auf CRA vor
Ein Großteil der Produkte, die durch den CRA in Zukunft reguliert werden sollen, wird bereits jetzt regelmäßig im Privathaushalt eingesetzt. Die Regelung trifft die Wirtschaft daher nicht unvorbereitet. Bereits 2021 hat das BSI mit dem IT-Sicherheitsgesetz 2.0 ein freiwilliges IT-Sicherheitskennzeichen eingeführt. Das IT-Sicherheitskennzeichen garantiert, ähnlich wie in Zukunft das CE-Kennzeichen, dass sich die Hersteller verpflichtet haben, die IT-Sicherheitsanforderungen des BSI einzuhalten.
Das IT-Sicherheitskennzeichen wird freiwillig vergeben und wird bereits heute für Breitbandrouter, E-Mail-Dienste, Videokonferenzsysteme, smarte Überwachungskameras sowie smarte Reinigungs- und Gartenroboter genutzt. Über einen Kurzlink oder QR-Code können sich Verbraucherinnen und Verbraucher bereits vor dem Kauf über die Sicherheitseigenschaften eines Produkts informieren. Das BSI führt eine Plausibilitätsprüfung durch und überwacht stichprobenartig, ob die gekennzeichneten Produkte die Anforderungen über die zweijährige Laufzeit erfüllen.
Das BSI erklärt, dass man sich mit dem IT-Sicherheitskennzeichen „bereits heute auf den Cyber Resilience Act vorbereiten und sich als Vorreiter für Cybersicherheit am Markt positionieren kann.“
Wirtschaft und Bundespolitik zufrieden
In der Wirtschaft unterstützt man den Vorstoß der EU für verbindliche Cyber-Sicherheitsanforderungen. Der Bitkom weist jedoch darauf hin, dass die Politik Unternehmen bei der Umsetzung aktiv unterstützen müsse. „Besonders bedeutend sind die Prozesse zur Entwicklung harmonisierter europäischer Normen, die die Basis für die Anforderungen des CRA bilden. Die Unternehmen müssen Klarheit darüber haben, welche Kriterien sie erfüllen müssen“, sagte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
Auch in der Bundespolitik zeigt man sich zufrieden mit der europäischen Regelung. Der digitalpolitische Sprecher der FDP-Bundestagsfraktion, Maximilian Funke-Kaiser, erhofft sich durch den CRA einen „merklichen Sicherheitsgewinn für Deutschland“. Zudem erfülle der CRA das im Koalitionsvertrag festgelegte Ziel, dem Leitprinzip „Security by Design“. Ferner forderte er, die Regelung „mit einem Minimum an bürokratischer Belastung umzusetzen“. Für die Cyber-Sicherheit sollten alle staatlichen Stellen an einem Strang ziehen, resümiert der Digitalpolitiker.
