Die politischen Entscheidungsträger der Europäischen Union haben am Donnerstagabend (30. November) eine politische Einigung über den Cyber Resilience Act erzielt und damit ihre Differenzen in den letzten offenen Fragen beigelegt.
Der Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung von Sicherheitsanforderungen für vernetzte Geräte, von intelligenten Spielzeugen bis hin zu Industriemaschinen. Die endgültige Fassung des Gesetzes haben EU-Kommission, Parlament und Rat in einem sogenannten „Trilog“-Treffen vereinbart.
Wie von Euractiv erwartet, war die Vereinbarung auf technischer Ebene weitgehend vorgefertigt, und viele Aspekte des Vorschlags wurden während des politischen Treffens gebilligt. Die letzten politischen Hürden haben die EU-Verhandlungsführer jedoch nach intensiven Diskussionen gemeistert.
„Der Cyber Resilience Act wird die Cybersicherheit vernetzter Produkte stärken, Schwachstellen in Hardware und Software beheben und die EU zu einem sichereren und widerstandsfähigeren Kontinent machen.“ Das Parlament hat die Lieferketten geschützt und sichergestellt, dass Schlüsselprodukte wie Router und Antivirenprogramme als Priorität für die Cybersicherheit identifiziert werden“, sagte die führende Europaabgeordnete Nicola Danti gegenüber Euractiv.
Umgang mit Schwachstellen
Hersteller vernetzter Geräte können keine Produkte mehr auf den Markt bringen, wenn ihnen erhebliche Schwachstellen bekannt sind, die gehackt werden können. Stattdessen müssen sie sich mit diesen potenziellen Einstiegspunkten befassen, sobald sie während eines festgelegten Supportzeitraums darauf aufmerksam werden.
Wenn Hersteller Kenntnis von einem Sicherheitsvorfall oder der aktiven Ausnutzung einer Schwachstelle erlangen, müssen sie dies melden und die zuständigen Behörden über ihre Maßnahmen zur Minderung des Sicherheitsrisikos informieren.
Aktiv ausgenutzte Schwachstellen sind eine äußerst sensible Art von Cyber-Bedrohungsinformationen, da der Einstiegspunkt für Hacker noch gepatcht werden muss. Daher war die Frage, wer mit diesen sensiblen Informationen umgehen sollte, ein Knackpunkt in den Verhandlungen.
Der EU-Ministerrat hat diese Aufgabe von ENISA, der EU-Agentur für Cybersicherheit, auf das nationale Team zur Reaktion auf Computersicherheitsvorfälle (CSIRTs) übertragen, das gemäß der überarbeiteten Netzwerk- und Informationssystemrichtlinie (NIS2) eine ähnliche Aufgabe hat.
Gleichzeitig bestand das Europäische Parlament darauf, die ENISA auf dem Laufenden zu halten und den nationalen Behörden nicht zu viel Ermessensspielraum einzuräumen, wenn sie diese hochsensiblen Informationen für sich behalten.
Der Kompromiss wurde in der Meldung gefunden, die die Hersteller gleichzeitig über eine einzige Meldeplattform an das zuständige CSIRT und die ENISA übermittelten. Allerdings drängten die EU-Länder darauf, dass sie aus Gründen der Cybersicherheit die Möglichkeit haben sollten, die an die ENISA gesendeten Informationen einzuschränken.
Die Bedingungen für solche Beschränkungen waren Gegenstand intensiver Diskussionen, die zu eher engen Bedingungen führten. Insbesondere kann das CSIRT die Meldung einschränken, wenn das betroffene Produkt überwiegend auf dem heimischen Markt vorhanden ist und kein Risiko für andere EU-Länder darstellt.
Darüber hinaus sind nationale Behörden nicht verpflichtet, Informationen offenzulegen, die sie zum Schutz wesentlicher Sicherheitsinteressen für notwendig erachten. Dieser Vorbehalt steht im Einklang mit den EU-Verträgen.
Die dritte Voraussetzung gilt, wenn der Hersteller selbst eine drohende Gefahr bei weiterer Verbreitung sieht und in der Meldung darauf hinweist.
Im Gegenzug erreichten die Abgeordneten, dass die ENISA weiterhin einige Informationen erhalten würde, um etwaige systemische Risiken für den Binnenmarkt zu überwachen. Der EU-Agentur werden der Hersteller und das betroffene Produkt sowie einige allgemeine Informationen zum Exploit mitgeteilt.
Ein weiterer von den Parlamentariern geforderter Punkt ist die Formulierung, dass ENISA ausreichend Ressourcen zur Bewältigung der neuen Aufgaben erhalten solle. Obwohl dies nicht in das Gesetz aufgenommen wurde, wird es Teil einer gemeinsamen Erklärung der wichtigsten EU-Institutionen sein.
Quelloffene Software
Ein weiterer Verhandlungspunkt ist der Umgang mit Open-Source-Software, die in kommerzielle Produkte integriert ist. Dabei wurde auf technischer Ebene eine Einigung erzielt und auf politischer Ebene bestätigt.
Wie Euractiv zuvor berichtete, bestand die Idee darin, nur Software abzudecken, die im Kontext kommerzieller Aktivitäten entwickelt wurde, und eingeschränktere Regeln für Open-Source-Software-Verwalter hinsichtlich der Dokumentation und des Umgangs mit Schwachstellen festzulegen.
In der letzten Version des Textes, die Euractiv vorliegt, wurden auch gemeinnützige Organisationen, die Open-Source-Software auf dem Markt verkaufen, aber alle Einnahmen in gemeinnützige Aktivitäten reinvestieren, vom Geltungsbereich ausgeschlossen.
Befreiung von der nationalen Sicherheit
Die Mitgliedstaaten haben den Ausschluss aller Produkte, die ausschließlich für nationale Sicherheits- oder Verteidigungszwecke entwickelt oder geändert wurden, aus dem Anwendungsbereich der Verordnung erwirkt.
Sekundärrecht
Eine wiederkehrende Diskussion in der EU-Gesetzgebung ist die Art des verwendeten Sekundärrechts, da bei delegierten Rechtsakten das Parlament beteiligt ist, was bei Durchführungsrechtsakten nicht der Fall ist.
Die Definition des Förderzeitraums wird im Rahmen eines delegierten Rechtsakts festgelegt, während die Definition spezieller Produktkategorien im Rahmen eines Durchführungsrechtsakts erfolgen wird.
Verwendung der Einnahmen aus Strafen
Das EU-Parlament drängte darauf, eine Formulierung einzuführen, die vorschreibt, dass die Sanktionen dieses Gesetzes in Aktivitäten zum Aufbau von Cybersicherheitskapazitäten reinvestiert werden müssen. Dieser Punkt hat es nicht in den Gesetzestext geschafft, wird aber im Nachtrag des Gesetzes erwähnt.
[Edited by Alice Taylor]
