IT-Sicherheit

Cyber Resilience Act

EU-Kommission präsentiert Entwurf für Cyberresilienzgesetz

von 10.10.2022
zu sehen sind drei Flaggen der EU im Wind. Thema ist der Status Quo der Digitalwirtschaft in Europa und der Cyber Resilience Act . Bild: Unsplash/Alexandre Lallemand

Mit dem Cyber Resilience Act möchte die EU Unternehmen und Privatnutzer besser vor „unsicheren“ IT-Produkten schützen. Jetzt wurde der entsprechende Entwurf für das Cyberresilienzgesetz präsentiert.

Dieser blieb jedoch nicht ohne Kritik. Worum es im Detail geht und welche Vorteile das Cyberresilienzgesetz haben soll, verraten wir jetzt.

Cyber Resilience Act – IT-Sicherheit als Gesellschaftsthema

Lange hat die EU-Kommission an dem so genannten Cyberresilienzgesetz getüftelt, nun ist der erste Entwurf fertig. Ziel des ganzen Projekts: Verbraucher und Unternehmen sollen bestmöglich im Netz geschützt sein – und zwar dadurch, dass sie nicht in IT-Produkte mit unzureichendem Sicherheitslevel investieren. Der zuständige Kommissionsvizepräsident Margaritis Schinas begründet die Entscheidung für ein EU-übergreifendes Gesetz mit: „Cybersicherheit ist nicht nur ein Thema für die Industrie, sondern für die ganze Gesellschaft.“ Dass er damit recht hat, steht wohl außer Frage.

Dennoch birgt der Cyber Resilience Act die ein oder andere Herausforderung, gerade für die Hersteller. Sie dürfen sich mit dem Gedanken anfreunden, künftig mehr oder minder strenge Anforderungen erfüllen zu müssen. „Security by Design“ lautet hier nur eines von vielen Zauberwörtern der Stunde.

zu sehen ist eine Frau mit Laptop und Smartphone in einem Straßencafe. Thema ist der Cyber Resilience Act. Bild: Pexels/Andrea Piacquadio

Mit dem Cyber Resilience Act sollen Nutzer sicherer im Netz unterwegs sein. Bild: Pexels/Andrea Piacquadio

Höhere IT-Sicherheit in unserer vernetzten Welt

Das Cyberresilienzgesetz soll Herstellern von IT-Produkten einen bestimmten Standard vorgeben, bei dem die allgemeine Cybersicherheit fester Bestandteil des gesamten Entwicklungs- und Produktlebenszyklus‘ ist. Ob Hard- oder Software, ob vernetztes Haushaltsgerät, App oder Smartphone – private und gewerbliche Nutzer sollen sich künftig sicher sein können, ausschließlich Produkte zu nutzen, die so sicher sind wie es denn eben möglich ist.

Zusätzlich zu den Vorgaben hinsichtlich der Entwicklung und laufenden Wartung erwarten die Hersteller beispielsweise auch noch Vorschriften für die Marktüberwachung. Im Kern ist der Cyber Resilience Act aber vor allem ein Instrument, mit dem die „integrierte Cybersicherheit“ europaweit fester Produktbestandteil werden soll. Aus Verbrauchersicht ist dies auf jeden Fall zu begrüßen, liest man doch quasi täglich von neuen Sicherheitslücken und Schwachstellen in Geräten und Programmen, die Cyberkriminelle und Hacker schamlos ausnutzen.

Sehnsüchtig erwartet: Das neue Cyberresilienzgesetz

Der Bundesverband der Verbraucherzentralen hat sich klar zum neuen Gesetz positioniert und gesagt, dass die bisher fehlende Hersteller-Verpflichtung zur Garantie der Cybersicherheit die Verbraucher „unzumutbaren Risiken und Gefahren ausgesetzt“ habe. Und ferner, dass die Verantwortung auch nicht länger auf die Nutzer abgewälzt werden dürfte. Das sehen auch der Branchenverband Bitkom und der TÜV-Verband ähnlich.

Allerdings – und da sind sich die Experten einig – gilt auch beim Cyber Resilience Act: Die Einhaltung der Vorschriften muss von einer unabhängigen Instanz überprüft werden. Ansonsten ist das Papier nämlich einfach nur geduldig. Weitere Herausforderungen bei der Durchführung eines Security-by-Design-Pflicht-Konzeptes sehen die Herstellerverbände.

zu sehen ist ein lächelnder Mann in einem Büro an seinem Schreibtisch. Thema des Artikels ist die Wichtigkeit einer UTM-Firewall für ein sicheres Arbeiten. Bild: Pexels/Andrea Piacquadio

Nutzer profitieren vom neuen Cyberresilienzgesetz. Bild: Pexels/Andrea Piacquadio

Herausforderungen für Hersteller

Neben den bereits erwähnten Vorgaben ist das neue Cyberresilienzgesetz auch an eine Frist gekoppelt: Für die Umsetzung haben Hersteller gerade einmal zwei Jahre Zeit. Diese Spanne kollidiert deutlich mit den gängigen Entwicklungszyklen für Hard- und Software, die wesentlich länger sind. Darüber hinaus könnten auch die umfangreichen Dokumentationspflichten eine (zu) große Herausforderung für einige Hersteller darstellen – Stichwort Fachkräfte- und Personalmangel.

Der Verband der Elektro- und Digitalindustrie ZVEI sieht die Übergangsfrist ebenfalls kritisch und zusätzlich Optimierungsbedarf bei der Definition der Produkte. Denn gemäß der EU-Kommission sollen zum Beispiel auch Automatisierungs- und Steuerungssysteme in Produktionen oder Mikrocontroller unter das neue Gesetz fallen – und führe zu weit. Auch die Piratenpartei äußerte sich zum aktuellen Entwurf und sieht Entwicklung freier Software bedroht, auch wenn man stark dafür sei, dass die großen Hersteller endlich in die Pflicht genommen würden.

Cyber Resilience Act: Noch viel Diskussionsbedarf

Man sieht: Bei diesem Thema ist weder das letzte Wort gesprochen, noch ist ein zeitnaher Konsens aller betroffenen Parteien abzusehen. Unabhängig von inhaltlichen Aspekten und der Frage danach, wer die Einhaltung des Gesetzes überhaupt in welcher Form prüfen soll und kann, muss der Entwurf früher oder später auch noch mit geltendem Recht in Einklang gebracht werden. Jetzt sind allerdings erst einmal das Europaparlament und die anderen EU-Mitgliedsstaaten am Zug. Es bleibt also weiterhin spannend.

Unabhängig vom Cyberresilienzgesetz sollten sich Nutzer aller Kategorien aber bewusst sein, dass die Eigenverantwortung nie komplett aufhört. Und bis sämtliche Hersteller soweit sind, ist weiterhin zwingend erforderlich, selbst regelmäßig selbst mit allen Aspekten rund um das Thema IT-Sicherheit auseinander zu setzen. Was Unternehmen angeht, empfehlen wir dazu, Kontakt mit unseren Experten aus dem IT-SERVICE.NETWORK aufzunehmen.

 


Weiterführende Links:
ZDnet, Heise

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Ransom Cartel

Neuer Erpresstrojaner basiert auf Ransomware-as-a-Service

von • 16.11.2022

Ransom Cartel lautet der Name eines neuen Erpressertrojaners, der auf dem „as-a-Service“-Prinzip sowie der perfiden REvil-  Technologie basiert und vornehmlich große Unternehmen im Visier hat. ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2022

Bedrohung durch Cybercrime auf Rekordniveau

von • 07.11.2022

Der BSI-Lagebericht 2022 ist da – und laut diesem war die Lage noch nie so gefährlich wie jetzt. Die Bedrohungen durch Cybercrime für deutsche Unternehmen und Privatnutzer sind extremer denn je. ...

Weiterlesen
IT-Sicherheit

Managed Detection and Response

Die MSSP-Alternative im IT-Sicherheitsmanagement

von • 02.11.2022

Bei Managed Detection and Response geht es um die Gewährleistung der ganzheitlichen IT-Sicherheit in Unternehmen. Ähnlich wie bei klassischen Managed-Security-Lösungen, aber doch etwas anders. W...

Weiterlesen