EU will erstes Gesetz zur Cybersicherheit im IoT erlassen

EURACTIV, das auf Politik spezialisierte Mediennetzwerk der Europäischen Union, hat über einen Gesetzentwurf zur Cyber-Resilienz berichtet, der in Kürze vorgelegt werden soll. Demnach sieht der Vorschlag strengere grundlegende Sicherheitsanforderungen für vernetzte Geräte vor, wie sie auch im Internet der Dinge (IoT) vorkommen.

Ziel des künftigen Gesetzes ist es, vor allem die Schwachstellen zu beseitigen, die den IoT-Sektor beeinflussen. Denn aufgrund der weitreichenden Vernetzung kann der Schaden, der durch das Eindringen in ein einzelnes Gerät entsteht, massive Auswirkungen auf ein ganzes Unternehmen, eine Lieferkette oder sogar auf globaler Ebene entfalten.

Interessant: Sollte das Gesetz in Kraft treten, wäre es das erste das, einen Rechtsrahmen für alle vernetzten Geräte einführt – und so mehr Cybersicherheit im gesamten Lebenszyklus vernetzter Produkte zu gewährleisten kann.

Der Vorschlag sieht verschiedene Anforderungen während der Entwurfs-, Entwicklungs- und Produktionsphase vor, die die Hersteller von IoT-Produkten die erfüllen müssen, bevor die Geräte auf den Markt kommen. Außerdem sollen die Devices weiterhin kontinuierlich überwacht werden, um Schwachstellen während der gesamten Lebensdauer des Produkts durch kostenlose automatische Updates zu identifizieren.

„Für die Wirtschaftsakteure, von den Herstellern bis zu den Händlern und Importeuren, würden hier Verpflichtungen in Bezug auf das Inverkehrbringen von Produkten mit digitalen Elementen festgelegt, die ihrer Rolle und Verantwortung in den Lieferketten entspricht“, heißt es in dem Gesetzentwurf.

Die Liste der Anforderungen umfasst ein „adäquates“ Maß an Cybersicherheit sowie das Verbot der Inbetriebnahme von Systemen mit bekannten Schwachstellen. Außerdem sind eine standardmäßige Sicherheitskonfiguration, der Schutz vor unbefugtem Zugriff, die Begrenzung der Angriffsflächen sowie die Minimierung der Auswirkungen von Zwischenfällen sicherzustellen.

Darüber hinaus müssen die Produkte die Vertraulichkeit der Daten durch Verschlüsselung gewährleisten und dürfen nur noch Informationen verarbeiten, die für ihre Tätigkeit unbedingt erforderlich sind. Die Hersteller werden außerdem dazu verpflichtet, Schwachstellen durch regelmäßige Tests ausfindig zu machen, sie umgehend zu beheben sowie über Zwischenfälle und bekannte Defizite zu berichten.

Ferner müssen Konformitätsbewertungen durch interne Verfahren oder Prüfungen von zertifizierten Stellen durchgeführt werden. Denn die Importeure und Händler werden dazu angehalten, die Konformität der Produkte zu überprüfen.

Sollte der Gesetzentwurf in Kraft treten, könnten die Geldbußen für Verstöße bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes (je nachdem, welcher Wert höher ist) betragen. Außerdem wären die vorgeschlagenen Vorschriften bereits 24 Monate nach ihrem Inkrafttreten anwendbar – die Meldepflicht für Hersteller würde nach 12 Monaten gelten.

Die Europäische Kommission schätzt, dass die europäische Wirtschaft durch die Verabschiedung des Cyber-Resilienz-Gesetzes zwischen 180 und 290 Milliarden Euro pro Jahr einsparen könnte.

Hintergrund

Die Europäische Kommission hat im März 2022 eine öffentliche Konsultation eingeleitet, um die Ansichten und Erfahrungen aller relevanten Parteien zum neuen europäischen Gesetz zur Cyber-Resilienz zu sammeln.

Ursprünglich war die Initiative von der Präsidentin der Europäischen Union, Ursula von der Leyen, in einer Rede im September 2021 angekündigt worden.

„Wenn alles miteinander verbunden ist, kann auch alles gehackt werden. Da die Ressourcen knapp sind, müssen wir unsere Kräfte bündeln. […] Deshalb brauchen wir eine europäische Cyberverteidigungspolitik, einschließlich einer Gesetzgebung, die gemeinsame Standards im Rahmen eines neuen europäischen Gesetzes zur Cyber-Resilienz festlegt“, so Ursula von der Leyen.

Demzufolge soll das Gesetz den bestehenden EU-Rechtsrahmen ergänzen: Er umfasst eine Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS), das Cybersicherheitsgesetz sowie den im Dezember 2020 vorgeschlagenen Leitfaden mit Maßnahmen zur Anhebung des gemeinsamen Niveaus der Cybersicherheit in der gesamten Region (NIS 2).

Die öffentliche Konsultation lief bis zum 25. Mai 2022. Darüber hinaus hatte die Kommission einen Aufruf veröffentlicht, um einen Überblick über die derzeitigen Probleme und mögliche Lösungsansätze zu geben. Die Aufforderung zur Einreichung von Vorschlägen wurde parallel zur öffentlichen Konsultation bekanntgegeben.

Das Problem: Der derzeitige EU-Rechtsrahmen für digitale Produkte umfasst zwar mehrere Rechtsvorschriften, aber nur wenige Aspekte, die sich auf die Cybersicherheit von materiellen digitalen Produkten und eingebetteter Software beziehen.