EU-Kommission startet Öffentliche Konsultation zum neuen Cyber Resilience Act
Neues Gesetz zur „Cyberwiderstandsfähigkeit“ kommt
Mit einem neuen horizontalen Rechtsakt plant die Europäische Kommission, bestehende Lücken in der Regulierungslandschaft zur Cybersecurity zu schließen.
Vom 16.3. bis zum 25.5.2022 findet die Öffentliche Konsultation der Europäischen Kommission zum neuen Cyber Resilience Act (CRA, „Gesetz zur Cyberwiderstandsfähigkeit“) statt (https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Cyber-Resilience-Act_en). Das Gesetz soll sich einerseits in den bestehenden politischen Rahmen der neuen EU-Cybersicherheitsstrategie 2020 und in den regulatorischen Rahmen rund um die Richtlinie zur Netz- und Informationssicherheit (NIS bzw. NIS 2) und den EU Cybersecurity Act (CSA) mit seinem europaweiten Zertifizierungsrahmen einfügen. Ergänzen soll der CRA andererseits die delegierte Verordnung aus Ende 2021 im Rahmen der Funkanlagenrichtlinie, um horizontale Cybersicherheitsanforderungen festzusetzen. Damit soll insbesondere auch der Kritik aus Industrie und Praxis begegnet werden, dass sich der CSA nicht in das bestehende Regelungsgefüge zur Cybersecurity rund um das New Legislative Framework (NLF) einpassen würde und dadurch erhebliche Mehraufwände und Inkonsistenzen schafft. Dies mag letztlich auch ein Grund dafür sein, weshalb die Implementierung des CSA und der entsprechenden Cybersecurity Certification Schemes in den letzten Jahren eher schleppend vorangegangen ist. Der CRA soll hier Abhilfe schaffen, indem er laut Aussage der EU-Kommission für ein „breites Spektrum digitaler Produkte und zugehöriger Nebendienstleistungen“ anwendbar ist. Erfasst werden von der Regelung sollen „materielle digitale Produkte“ (drahtlos und drahtgebunden) sowie nicht eingebettete Software. Im Sinne des Grundsatzes „Security by Design“, der zwar schon vielfach politisch anklang, bislang aber nicht ausdrücklich gesetzlich festgeschrieben wurde, sollen die neuen Anforderungen aus dem CRA den gesamten Lebenszyklus von Produkten abdecken.
Schutz von vernetzten Umgebungen und Lieferketten
Prämisse des CRA ist zweierlei: Schutz zunehmend vernetzter Umgebungen vor Cybersicherheitsvorfällen unter Einbeziehung der Lieferkette sowie fehlende Umsetzungsmaßnahmen zur IT-Sicherheit von Produkten, die durch Hardwarehersteller, Softwareentwickler, Händler und Einführer (aus Drittstaaten) auf den Markt gebracht werden. Als Gründe für die unzureichende IT-Sicherheitslage genannt werden „Netzwerkeffekte“, indem Produkte als erster Hersteller auf den Markt gebracht werden sollen, der Mangel an qualifizierten Experten in der Cybersecurity und fehlende wirtschaftliche Anreize. Das führt letztlich zu unzureichendem Schwachstellenmanagement, fehlenden Angaben zur Produktsicherheit und unzureichendem Verbraucherschutz.
Horizontaler und produktübergreifender Ansatz
Der CRA will diesen Missstand aufgreifen und Cybersicherheit, Verbraucherschutz, Resilienz und Cybersecurity-Innovation horizontal produktübergreifend und über den gesamten Lebenszyklus hinweg unionsweit vereinheitlicht regeln, da die derzeitige EU Cybersecurity-Gesetzgebung nur ausschnittsweise entsprechende Rechtspflichten enthält. Verwiesen wird durch die EU-Kommission dabei auf die Produktsicherheitsrichtlinie und die Maschinenrichtlinie, die zurzeit überarbeitet werden sowie darauf, dass eine Vielzahl weitverbreiteter Hardware nicht unter bestimmte rechtliche Rahmenbedingungen wie die Funkanlagenrichtlinie fallen. Embedded Systems fänden aktuell ebenfalls eine nur unzureichende gesetzliche Berücksichtigung in der Cybersicherheit. Technischer Umsetzungsmaßstab für die rechtlichen Vorgaben aus dem CRA wären die harmonisierten technischen Standards für die verschiedenen Produktkategorien. Dadurch erhofft man sich politisch wie wirtschaftlich, eine globale Führungsrolle in der Entwicklung von Cybersecurity-Standards zu erlangen, um „globale Benchmarks“ zu setzen.
Freiwillige Zertifizierung und Selbstbewertungsverfahren zur Konformität
Mit Blick auf das zu erreichende erklärte Ziel – die Cybersicherheit unionsweit signifikant zu erhöhen – machen die vorgeschlagenen Umsetzungsoptionen aber nicht unerhebliche Abstriche, indem sie prinzipiell von einer Beibehaltung des Status Quo über freiwillige Zertifizierungssysteme bis hin zu standardmäßigen Selbstbewertungsverfahren zur Konformität reichen, wobei nur für bestimmte Produktkategorien eine Konformitätsbewertung durch Dritte vorgeschrieben werden soll. Für Software wird ein „gestaffelter Ansatz“ vorgeschlagen, der mit unverbindlichen Maßnahmen wie Leitlinien/Empfehlungen startet und woran sich ggf. ein regulatorischer Eingriff anschließt.
Horizontale Regulierung allein reicht nicht – es braucht Verbindlichkeit
Gemessen an den hochgesteckten und entsprechend formulierten politischen, wirtschaftlichen und gesamtgesellschaftlichen Zielen wirkt der Ansatz der EU-Kommission für mehr Cybersecurity durch den CRA sehr zaghaft und erinnert hier an das Vorgehen der Bundesregierung in Sachen IT-Sicherheitsgesetz 2.0. Ohne verpflichtende flächendeckende Vorgaben zur Cybersecurity für eine breite Palette an Produkten sowohl im B2B- als auch im B2C-Sektor lässt sich keine umfassende Cybersicherheit auf gleichbleibend hohem Niveau in der EU realisieren. Ob es mit dem CRA deshalb eines weiteren Rechtsaktes bedarf, der erneut „weiche Kriterien“ nunmehr horizontal definiert, ist fraglich. Wenn die Europäische Kommission tatsächlich und nicht nur politisch oder auf dem Papier Fortschritte erzielen will, sollte sie den Umsetzungsrahmen des CRA deutlich überarbeiten und die Politikoptionen verbindlicher als bislang gestalten.
Link zum Beitrag im beck-blog: https://community.beck.de/2022/03/18/eu-kommission-startet-oeffentliche-konsultation-zum-neuen-cyber-resilience-act-gesetz-zur