Dieser Artikel wurde mit einem Verweis auf die Änderungen des Council-Kompromisses in Bezug auf bekannte Schwachstellen aktualisiert.
Die EU-Länder erwägen, die Definition des Produktlebenszyklus an die Besonderheiten des Produkts anzupassen und die Meldung von Schwachstellen in einem neuen Kompromiss zum Cyber Resilience Act auf die nationale Ebene zu verlagern.
Der Cyber Resilience Act ist ein EU-Gesetzesvorschlag zur Einführung grundlegender Cybersicherheitsanforderungen für Produkte des Internets der Dinge. Die Diskussionen über den Gesetzentwurf haben im EU-Ministerrat zuletzt Fahrt aufgenommen.
Die schwedische Ratspräsidentschaft hat einen neuen Kompromisstext vom 27. Januar in Umlauf gebracht, der EURACTIV vorliegt und am Mittwoch (1. Februar) in der Horizontalen Arbeitsgruppe für Cyberfragen diskutiert werden soll, dem technischen Gremium des EU-Rates, das die Vorbereitungsarbeiten für die ministerielle Genehmigung durchführt .
Bei demselben Treffen sollen die Vertreter der EU-Länder auch die Konformitätsbewertung und die Liste der kritischen Produkte erörtern, die einer Bewertung durch Dritte unterzogen werden müssen, bevor sie auf den europäischen Markt gebracht werden. Zu diesen Aspekten hat die schwedische Ratspräsidentschaft noch keinen Text in Umlauf gebracht.
Produktlebensdauer
Der ursprüngliche Vorschlag der Kommission sah vor, dass Hersteller die Sicherheit ihrer Internet-of-Things-Produkte während ihres gesamten Lebenszyklus oder für maximal fünf Jahre gewährleisten sollten. Der Text wurde geändert, um die Lebenszyklen verschiedener Produkte besser zu berücksichtigen.
„Die Hersteller müssen sicherstellen, dass ein Produkt mit digitalen Elementen auf den Markt gebracht wird und für einen Zeitraum nach dem Inverkehrbringen, der der Art des Produkts und seiner erwarteten Lebensdauer angemessen ist“, heißt es in dem Kompromiss.
Mit anderen Worten, die Absicht scheint anzuerkennen, dass jedes Produkt einen anderen Lebenszyklus hat, den der Hersteller selbst einschätzen müsste, basierend auf der „Zeit, die Benutzer angesichts der Funktionalität und des beabsichtigten Zwecks des Produkts vernünftigerweise erwarten, Sicherheitsupdates zu erhalten“.
Auf jeden Fall sollte der Hersteller, wenn die Connected Device eines Produkts mehr als fünf Jahre alt ist, Sicherheitspatches für mindestens fünf Jahre bereitstellen. Das Ablaufdatum des technischen Sicherheitssupports sollte auf der Produktverpackung angegeben sein.
Stellt der Hersteller ein Sicherheitsproblem fest, hat er die Sorgfaltspflicht, Sicherheitsupdates für mindestens 10 Jahre auszurollen. Die gleiche Frist gilt, wenn der Hersteller erfährt oder Grund zu der Annahme hat, dass sein Produkt die Sicherheitsanforderungen der Verordnung nicht mehr erfüllt.
Berichterstattung
Der ursprüngliche Vorschlag forderte die Hersteller auf, jede aktiv ausgenutzte Produktschwachstelle ENISA, der Cybersicherheitsbehörde der EU, zu melden.
Dieser Ansatz weckte Bedenken hinsichtlich der Kapazität der ENISA, Hunderttausende dieser Benachrichtigungen zu verarbeiten und einen potenziellen „Single Point of Failure“ für sensible Informationen zu schaffen, der für Hacker attraktiv ist.
Daher scheint der EU-Rat von diesem Ansatz abzuweichen und die Meldepflicht an die der kürzlich überarbeiteten Netz- und Informationssystemrichtlinie (NIS2) anzupassen und die Meldung an das nationale Computer Security Incident Response Team (CSIRT) zu verlagern.
Die CSIRTs würden die Meldung dann an die ENISA und die Marktüberwachungsbehörden aller betroffenen Mitgliedstaaten weiterleiten, es sei denn, sie sehen dadurch potenzielle Cybersicherheitsrisiken.
Der Vorschlag wird nun auf technischer Ebene diskutiert, bis eine gemeinsame Position der Mitgliedsstaaten gefunden wird.
Bekannte Schwachstellen
Der ursprüngliche Text forderte die Hersteller auf, keine Produkte mit bekannten ausnutzbaren Schwachstellen auf dem EU-Binnenmarkt einzuführen. Der Ansatz wurde geändert, sodass diese Verpflichtung von der Cybersicherheits-Risikobewertung der Hersteller abhängig gemacht wird.
Mit anderen Worten, Produkte könnten noch verkauft werden, wenn die Hersteller das Risiko als sehr gering einschätzen. Die Idee ist, den bürokratischen Aufwand zu reduzieren und Fälle besser zu berücksichtigen, in denen eine Schwachstelle später mit einem Sicherheitsupdate behoben werden könnte.
[Edited by Alice Taylor]