Mit dem Cyber Resilience Act möchte die EU Unternehmen und Privatnutzer besser vor „unsicheren“ IT-Produkten schützen. Jetzt wurde der entsprechende Entwurf für das Cyberresilienzgesetz präsentiert.
Dieser blieb jedoch nicht ohne Kritik. Worum es im Detail geht und welche Vorteile das Cyberresilienzgesetz haben soll, verraten wir jetzt.
Cyber Resilience Act – IT-Sicherheit als Gesellschaftsthema
Lange hat die EU-Kommission an dem so genannten Cyberresilienzgesetz getüftelt, nun ist der erste Entwurf fertig. Ziel des ganzen Projekts: Verbraucher und Unternehmen sollen bestmöglich im Netz geschützt sein – und zwar dadurch, dass sie nicht in IT-Produkte mit unzureichendem Sicherheitslevel investieren. Der zuständige Kommissionsvizepräsident Margaritis Schinas begründet die Entscheidung für ein EU-übergreifendes Gesetz mit: „Cybersicherheit ist nicht nur ein Thema für die Industrie, sondern für die ganze Gesellschaft.“ Dass er damit recht hat, steht wohl außer Frage.
Dennoch birgt der Cyber Resilience Act die ein oder andere Herausforderung, gerade für die Hersteller. Sie dürfen sich mit dem Gedanken anfreunden, künftig mehr oder minder strenge Anforderungen erfüllen zu müssen. „Security by Design“ lautet hier nur eines von vielen Zauberwörtern der Stunde.
Mit dem Cyber Resilience Act sollen Nutzer sicherer im Netz unterwegs sein. Bild: Pexels/Andrea Piacquadio
Höhere IT-Sicherheit in unserer vernetzten Welt
Das Cyberresilienzgesetz soll Herstellern von IT-Produkten einen bestimmten Standard vorgeben, bei dem die allgemeine Cybersicherheit fester Bestandteil des gesamten Entwicklungs- und Produktlebenszyklus‘ ist. Ob Hard- oder Software, ob vernetztes Haushaltsgerät, App oder Smartphone – private und gewerbliche Nutzer sollen sich künftig sicher sein können, ausschließlich Produkte zu nutzen, die so sicher sind wie es denn eben möglich ist.
Zusätzlich zu den Vorgaben hinsichtlich der Entwicklung und laufenden Wartung erwarten die Hersteller beispielsweise auch noch Vorschriften für die Marktüberwachung. Im Kern ist der Cyber Resilience Act aber vor allem ein Instrument, mit dem die „integrierte Cybersicherheit“ europaweit fester Produktbestandteil werden soll. Aus Verbrauchersicht ist dies auf jeden Fall zu begrüßen, liest man doch quasi täglich von neuen Sicherheitslücken und Schwachstellen in Geräten und Programmen, die Cyberkriminelle und Hacker schamlos ausnutzen.
Sehnsüchtig erwartet: Das neue Cyberresilienzgesetz
Der Bundesverband der Verbraucherzentralen hat sich klar zum neuen Gesetz positioniert und gesagt, dass die bisher fehlende Hersteller-Verpflichtung zur Garantie der Cybersicherheit die Verbraucher „unzumutbaren Risiken und Gefahren ausgesetzt“ habe. Und ferner, dass die Verantwortung auch nicht länger auf die Nutzer abgewälzt werden dürfte. Das sehen auch der Branchenverband Bitkom und der TÜV-Verband ähnlich.
Allerdings – und da sind sich die Experten einig – gilt auch beim Cyber Resilience Act: Die Einhaltung der Vorschriften muss von einer unabhängigen Instanz überprüft werden. Ansonsten ist das Papier nämlich einfach nur geduldig. Weitere Herausforderungen bei der Durchführung eines Security-by-Design-Pflicht-Konzeptes sehen die Herstellerverbände.
Nutzer profitieren vom neuen Cyberresilienzgesetz. Bild: Pexels/Andrea Piacquadio
Herausforderungen für Hersteller
Neben den bereits erwähnten Vorgaben ist das neue Cyberresilienzgesetz auch an eine Frist gekoppelt: Für die Umsetzung haben Hersteller gerade einmal zwei Jahre Zeit. Diese Spanne kollidiert deutlich mit den gängigen Entwicklungszyklen für Hard- und Software, die wesentlich länger sind. Darüber hinaus könnten auch die umfangreichen Dokumentationspflichten eine (zu) große Herausforderung für einige Hersteller darstellen – Stichwort Fachkräfte- und Personalmangel.
Der Verband der Elektro- und Digitalindustrie ZVEI sieht die Übergangsfrist ebenfalls kritisch und zusätzlich Optimierungsbedarf bei der Definition der Produkte. Denn gemäß der EU-Kommission sollen zum Beispiel auch Automatisierungs- und Steuerungssysteme in Produktionen oder Mikrocontroller unter das neue Gesetz fallen – und führe zu weit. Auch die Piratenpartei äußerte sich zum aktuellen Entwurf und sieht Entwicklung freier Software bedroht, auch wenn man stark dafür sei, dass die großen Hersteller endlich in die Pflicht genommen würden.
Cyber Resilience Act: Noch viel Diskussionsbedarf
Man sieht: Bei diesem Thema ist weder das letzte Wort gesprochen, noch ist ein zeitnaher Konsens aller betroffenen Parteien abzusehen. Unabhängig von inhaltlichen Aspekten und der Frage danach, wer die Einhaltung des Gesetzes überhaupt in welcher Form prüfen soll und kann, muss der Entwurf früher oder später auch noch mit geltendem Recht in Einklang gebracht werden. Jetzt sind allerdings erst einmal das Europaparlament und die anderen EU-Mitgliedsstaaten am Zug. Es bleibt also weiterhin spannend.
Unabhängig vom Cyberresilienzgesetz sollten sich Nutzer aller Kategorien aber bewusst sein, dass die Eigenverantwortung nie komplett aufhört. Und bis sämtliche Hersteller soweit sind, ist weiterhin zwingend erforderlich, selbst regelmäßig selbst mit allen Aspekten rund um das Thema IT-Sicherheit auseinander zu setzen. Was Unternehmen angeht, empfehlen wir dazu, Kontakt mit unseren Experten aus dem IT-SERVICE.NETWORK aufzunehmen.
Weiterführende Links:
ZDnet, Heise
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung