Ein neuer Ratstext zum Cyber Resilience Act, der EURACTIV vorliegt, hebt die Fünfjahresbegrenzung für den Produktlebenszyklus auf, verdeutlicht den Geltungsbereich der Verordnung und macht automatische Sicherheitsupdates zur Standardoption für vernetzte Geräte.
Das Cyber Resilience Act ist ein Gesetzesvorschlag zur Einführung grundlegender Sicherheitsanforderungen für Geräte, die über das Internet miteinander verbunden sind, um Daten zu senden und zu empfangen, auch bekannt als das Internet der Dinge (IoT).
Die schwedische Ratspräsidentschaft hat einen weiteren Kompromiss zum neuen Cybersicherheitsgesetz in Umlauf gebracht, der am Mittwoch (15. März) in der Cyber-Arbeitsgruppe, einem technischen Gremium des EU-Ministerrates, diskutiert wurde.
Produktlebensdauer
Der ursprüngliche Vorschlag sah vor, dass die Produkthersteller Cybersicherheitsrisiken systematisch bewerten und Sicherheitspatches für die erwartete Lebensdauer des Produkts oder fünf Jahre einführen, je nachdem, welcher Zeitraum kürzer ist.
Die Obergrenze von fünf Jahren wurde aufgehoben, sodass die Hersteller wahrscheinlich für einen längeren Zeitraum verantwortlich sind. Die Hersteller sind nicht verpflichtet, die erwartete Lebensdauer ihrer Produkte anzugeben, was bedeutet, dass die Verbraucher wissen, wann sie Sicherheitsupdates erwarten können.
Umfang
Der neue Ratstext stellt klar, dass Websites, die die Funktionalität der angeschlossenen Geräte und Cloud-Dienste, die außerhalb der Verantwortung des Produktherstellers entwickelt wurden, nicht unterstützen, nicht in den Anwendungsbereich der Verordnung fallen.
Dienste zur Datenfernspeicherung und -verarbeitung sind nur insoweit betroffen, als sie für die Funktion des Produkts Internet der Dinge erforderlich sind. Zum Beispiel, wenn ein Gerät auf eine vom Hersteller entwickelte Datenbank zugreifen muss, um zu funktionieren.
Mit anderen Worten, wenn die Hersteller eine Drittanbieter-App für die Datenverarbeitung verwenden, die nicht in den Anwendungsbereich fällt, aber wenn dasselbe Unternehmen die Software entwickelt, müsste die Website die Cybersicherheitsanforderungen der Verordnung erfüllen.
Open Source
Nach dem neuen Text würde das Cyber-Resilience-Gesetz nur für vernetzte Produkte gelten, die auf dem EU-Markt eingeführt werden, um über die Wartungskosten hinaus Geld zu verdienen, und damit den Spielraum für Open-Source-Software einschränken.
Bemerkenswerterweise spielen die Bedingungen, unter denen das Produkt entwickelt wurde, keine Rolle, eine Einschränkung, die anscheinend sicherstellen soll, dass Open-Source-Software wie Android im Anwendungsbereich bleibt. Dagegen bleiben Produkte, die von der öffentlichen Hand gegen eine Gebühr angeboten werden, die lediglich die Betriebskosten abdeckt.
Sicherheitsanforderungen
Der Text wurde geändert, um Sicherheitsupdates automatisch als Standardoption „mit einem klaren und einfach zu bedienenden Opt-out-Mechanismus“ und mit der Option, sie vorübergehend zu verschieben, zu installieren.
Schwachstellen und Berichterstattung
Das Dokument betont, dass die Rolle der EU-Cybersicherheitsagentur ENISA noch diskutiert wird. Im ursprünglichen Vorschlag wurde das EU-Gremium damit beauftragt, alle aktiv ausgenutzten Schwachstellen zu sammeln, wodurch eine enorme Arbeitsbelastung geschaffen wurde, von der viele befürchteten, dass sie ein „Single Point of Failure“ sein würde.
Die Bedenken der Branche hinsichtlich möglicher Lecks dieser sensiblen Informationen scheinen anerkannt worden zu sein. Bereits in einer früheren Kompromittierung berichtete EURACTIV, dass die Meldung von Schwachstellen an die nationalen Cyber Security Incident Response Teams (CSIRTs) verschoben wurde.
Wenn ein Dritter ein CSIRT über eine aktiv ausgenutzte Schwachstelle für ein IoT-Produkt informiert, sollte das CSIRT unverzüglich den entsprechenden Hersteller informieren, um die Zusammenarbeit bei der Behebung von Schwachstellen zu fördern.
Darüber hinaus sollten Hersteller, wenn sie einen Sicherheitspatch entwickeln, um die Schwachstelle einer Komponente ihres Produkts zu beheben, den relevanten Code mit der für die Komponente verantwortlichen Stelle teilen.
In einer Anmerkung zum Text heißt es, dass der Rat plant, in zukünftigen Versionen des Textes spezifische Anforderungen für aktiv ausgenutzte Schwachstellen einzuführen.
Wesentliche Modifikationen
Der Kompromiss besagt, dass das vernetzte Gerät, selbst wenn es vor Inkrafttreten der Verordnung auf dem Markt war, in Fällen, in denen es wesentlich geändert wurde, neue Cybersicherheitsanforderungen erfüllen muss.
Sicherheitspatches, die das Risikoniveau eines IoT-Produkts verringern sollen, indem sie beispielsweise eine bekannte Schwachstelle beheben, sind nicht als wesentliche Änderungen anzusehen.
Gleiches gilt nicht für Updates, die beabsichtigte Funktionen des Produkts verändern, z. B. das Hinzufügen einer neuen Anwendung, da das neue Feature die Angriffsfläche für potenzielle Hacker erweitert.
Komponenten von Drittanbietern
Ein neuer Absatz führte Sorgfaltspflichten für Hersteller ein, die Komponenten von Drittanbietern in ihre Produkte integrieren. Mit anderen Worten, die Hersteller müssten überprüfen, ob die Komponente den Anforderungen der Cybersicherheit entspricht und diese keine in öffentlich zugänglichen Datenbanken bekannte Schwachstelle aufweisen.
[Edited by Nathalie Weatherald]