Unternehmen könnten durch Cyber-Vorfälle jährlich bis zu 290 Milliarden Euro einsparen, gegenüber Compliance-Kosten von etwa 29 Milliarden Euro, sagte die EU-Exekutive. Eine Reihe hochkarätiger Vorfälle von Hackern, die in den letzten Jahren Unternehmen schädigten und riesige Lösegelder forderten, haben die Besorgnis über Schwachstellen in Betriebssystemen, Netzwerkgeräten und Software verstärkt.
„Es (das Gesetz) wird die Verantwortung dorthin verlagern, wo sie hingehört, bei denen, die die Produkte auf den Markt bringen“, sagte EU-Digitalchefin Margrethe Vestager in einer Erklärung. Hersteller müssen die Cybersicherheitsrisiken ihrer Produkte bewerten und geeignete Maßnahmen ergreifen, um Probleme für einen Zeitraum von fünf Jahren oder während der erwarteten Lebensdauer des Produkts zu beheben. Die Unternehmen müssen die EU-Cybersicherheitsagentur benachrichtigen ENISA über alle Vorfälle innerhalb von 24 Stunden, nachdem sie davon Kenntnis erlangt haben, und ergreifen Maßnahmen zu ihrer Lösung. Importeure und Händler müssen überprüfen, ob die Produkte den EU-Vorschriften entsprechen. Das Verband der Computer- und Kommunikationsindustrie (CCIA Europa) warnte davor, dass die sich aus dem Genehmigungsverfahren ergebende Bürokratie die Einführung neuer Technologien und Dienste in Europa behindern könnte. „Stattdessen sollten die neuen Regeln weltweit anerkannte Standards anerkennen und die Zusammenarbeit mit vertrauenswürdigen Handelspartnern erleichtern, um doppelte Anforderungen zu vermeiden“, so Public Policy Director Alexandre Roure sagte. Wenn Unternehmen die EU-Vorschriften nicht einhalten, können nationale Überwachungsbehörden die Bereitstellung eines Produkts auf ihren nationalen Märkten verbieten oder einschränken. Die Regelentwürfe müssen mit den EU-Ländern und den EU-Gesetzgebern abgestimmt werden, bevor sie in Kraft treten können.