Die Gesetzgeber der Europäischen Union haben eine neue Reihe von Produktvorschriften für intelligente Geräte vorgeschlagen, die Hersteller von mit dem Internet verbundener Hardware – wie „intelligente“ Waschmaschinen oder vernetztes Spielzeug – dazu zwingen sollen, der Gerätesicherheit große Aufmerksamkeit zu widmen.
Die vorgeschlagene EU Cyber-Resilienz-Gesetz wird verbindliche Cybersicherheitsanforderungen für Produkte mit „digitalen Elementen“ einführen, die im gesamten Block verkauft werden, wobei die Anforderungen während ihres gesamten Lebenszyklus gelten – was bedeutet, dass Gadget-Hersteller fortlaufende Sicherheitsunterstützung und Updates bereitstellen müssen, um neu auftretende Schwachstellen zu beheben – so die Kommission sagte heute.
Der Verordnungsentwurf konzentriert sich auch darauf, dass Hersteller intelligenter Geräte den Verbrauchern „ausreichende und genaue Informationen“ mitteilen – um sicherzustellen, dass Käufer Sicherheitsüberlegungen am Kaufort erfassen und Geräte nach dem Kauf sicher einrichten können.
Die von der Kommission vorgeschlagenen Strafen für die Nichteinhaltung „wesentlicher“ Cybersicherheitsanforderungen belaufen sich auf 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist, wobei andere Verstöße gegen Vorschriften eine Höchststrafe von 10 Mio. € oder 2 % des Umsatzes haben.
Die EU-Exekutive sagte, die vorgeschlagene Verordnung werde für alle Produkte gelten, die „entweder direkt oder indirekt mit einem anderen Gerät oder Netzwerk“ verbunden sind – mit einigen Ausnahmen für Produkte, für die Cybersicherheitsanforderungen bereits in bestehenden EU-Vorschriften festgelegt sind, wie z. Luftfahrt und Autos.
EU-weite Vorschriften für die Sicherheit intelligenter Geräte
In einer Zusammenfassung der vorgeschlagenen Maßnahmen, die auf einer Rechtsrahmen für die EU-Produktgesetzgebung, die 2008 aktualisiert wurde, sagte die Kommission, sie werde Folgendes festlegen:
(a) Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen zur Gewährleistung ihrer Cybersicherheit;
(b) grundlegende Anforderungen für das Design, die Entwicklung und die Produktion von Produkten mit digitalen Elementen und Pflichten für Wirtschaftsakteure in Bezug auf diese Produkte;
(c) grundlegende Anforderungen an die von den Herstellern eingerichteten Prozesse zur Behandlung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während des gesamten Lebenszyklus zu gewährleisten, sowie Verpflichtungen für Wirtschaftsakteure in Bezug auf diese Prozesse. Hersteller müssen auch aktiv ausgenutzte Schwachstellen und Vorfälle melden;
(d) Vorschriften zur Marktüberwachung und Durchsetzung.
„Die neuen Regeln werden die Verantwortung gegenüber den Herstellern neu ausbalancieren, die die Konformität mit den Sicherheitsanforderungen von Produkten mit digitalen Elementen sicherstellen müssen, die auf dem EU-Markt bereitgestellt werden“, schrieb sie in a Pressemitteilung. „Infolgedessen werden sie Verbrauchern und Bürgern sowie Unternehmen, die digitale Produkte nutzen, zugute kommen, indem sie die Transparenz der Sicherheitseigenschaften erhöhen und das Vertrauen in Produkte mit digitalen Elementen fördern sowie einen besseren Schutz ihrer Grundrechte gewährleisten, wie z wie Privatsphäre und Datenschutz.“
Eine Kommission Fragen und Antworten auf der Initiative sieht weiter vor, dass sich Hersteller „einem Prozess der Konformitätsbewertung unterziehen, um nachzuweisen, ob die festgelegten Anforderungen an ein Produkt erfüllt wurden“. Sie weist darauf hin, dass dies „je nach Kritikalität des betreffenden Produkts“ durch eine Selbstbewertung oder durch eine Konformitätsbewertung durch Dritte erfolgen könnte.
Wenn die Einhaltung der geltenden Anforderungen nachgewiesen wurde, könnten Gerätehersteller das CE-Zeichen der EU anbringen, das die Konformität digitaler Elemente mit der Produktsicherheitsverordnung anzeigt.
Nichtkonformität würde von Marktüberwachungsbehörden gehandhabt, die von den Mitgliedstaaten ernannt würden, die für die Durchsetzung zuständig wären – mit vorgeschlagenen Befugnissen, nicht nur die Einstellung der Nichtkonformität anzuordnen, sondern „das Risiko zu beseitigen“, indem sie den Verkauf eines Produkts verbieten oder anderweitig einschränken seiner Marktverfügbarkeit. Die zuständigen Behörden könnten auch anordnen, dass rechtsverletzende Produkte zurückgezogen oder zurückgerufen werden. Die Übermittlung falscher, unvollständiger oder irreführender Informationen an Regulierungs- und Überwachungsbehörden würde eine Geldstrafe von bis zu 5 Mio. € oder 1 % des Umsatzes riskieren.
In einer Erklärung fügte Margrethe Vestager, EVP der Kommission für digitale Strategie, hinzu: „Wir verdienen es, uns mit den Produkten, die wir auf dem Binnenmarkt kaufen, sicher zu fühlen. So wie wir einem Spielzeug oder einem Kühlschrank mit einer CE-Kennzeichnung vertrauen können, wird der Cyber Resilience Act sicherstellen, dass die von uns gekauften vernetzten Objekte und Software strengen Cybersicherheitsvorkehrungen entsprechen. Es wird die Verantwortung dorthin übertragen, wo sie hingehört, nämlich zu denen, die die Produkte auf den Markt bringen.“
Intelligente Geräte sind seit Jahren eine heiße Quelle für Sicherheits-Horrorgeschichten. Obwohl es frühere gesetzliche Schritte gegeben hat, um eklatante Sicherheitslücken zu schließen – wie ein kalifornisches Gesetz von 2018, das Herstellern verbietet, leicht zu erratende Standardpasswörter in Geräten festzulegen.
Das Vereinigte Königreich arbeitet seit einigen Jahren auch an einem „Security by Design“-Gesetz für vernetzte Geräte – und hat bereits 2019 einen Entwurf ausgestrahlt (obwohl dies Produktsicherheit Rechnungdas Sicherheitsvorkehrungen für die Telekommunikationsinfrastruktur bündelt, befindet sich noch auf dem Weg durch das britische Parlament).
Obwohl die EU nicht die Erste ist, die sich mit der Sicherheit intelligenter Geräte befasst, hofft die EU, dass ihr aufkommender Ansatz zu einem internationalen Bezugspunkt wird. In der Pressemitteilung der Kommission heißt es: „EU-Standards auf der Grundlage des Cyber Resilience Act werden seine Umsetzung erleichtern und werden ein Gewinn für die EU-Cybersicherheitsbranche auf den globalen Märkten.“
Es ist jedoch noch ein ziemlich langer Weg, bis der Vorschlag EU-Recht werden kann, da das Europäische Parlament und der Rat den Entwurf prüfen müssen – und möglicherweise versuchen, ihn zu ändern.
Die Kommission hat außerdem einen Zeitrahmen von zwei Jahren nach Verabschiedung der Verordnung für Gerätehersteller und EU-Mitgliedstaaten vorgeschlagen, um sich an den gesamten Umfang der neuen Vorschriften anzupassen. Die Regulierung wird also vor 2025 wahrscheinlich nicht viel greifen.
Allerdings gibt es einen kürzeren Zeitrahmen für die Meldepflicht der Hersteller für „aktiv ausgenutzte Schwachstellen und Vorfälle“ – die ein Jahr ab dem Datum des Inkrafttretens der Verordnung gelten würden, da die Kommission erwartet, dass dieser Teil einfacher umzusetzen ist .