Mit dem Cyber Resilience Act will die EU Unternehmen und private Nutzer besser vor „unsicheren“ IT-Produkten schützen. Der entsprechende Entwurf für den Cyber Resilience Act wurde nun vorgestellt.
Dies blieb jedoch nicht ohne Kritik. Worum es dabei im Detail geht und welche Vorteile der Cyber Resilience Act haben sollte, verraten wir nun.
Cyber Resilience Act — IT-Sicherheit als soziales Thema
Die EU-Kommission hat lange am sogenannten Cyber Resilience Act gebastelt, und jetzt ist der erste Entwurf fertig. Das Ziel des gesamten Projekts: Verbraucher und Unternehmen sollen online optimal geschützt werden — indem nicht in IT-Produkte mit unzureichendem Sicherheitsniveau investiert wird. Der zuständige Kommissionsvizepräsident Margaritis Schinas begründet die Entscheidung für ein EU-weites Gesetz wie folgt: „Cybersicherheit ist nicht nur ein Thema für die Industrie, sondern für die gesamte Gesellschaft“. Es steht außer Frage, dass er damit recht hat.
Dennoch stellt der Cyber Resilience Act gerade für Hersteller die eine oder andere Herausforderung dar. Sie können sich an die Vorstellung gewöhnen, in Zukunft mehr oder weniger strenge Anforderungen erfüllen zu müssen. „Security by Design“ ist nur eines der vielen Zauberwörter der Gegenwart.
Mit dem Cyber Resilience Act sollten Nutzer online sicherer sein. Bild: Pexels/Andrea Piexacdio
Höhere IT-Sicherheit in unserer vernetzten Welt
Der Cyber Resilience Act soll Herstellern von IT-Produkten einen spezifischen Standard an die Hand geben, in dem die allgemeine Cybersicherheit ein integraler Bestandteil des gesamten Entwicklungs- und Produktlebenszyklus ist. Ob Hard- oder Software, ob vernetzte Haushaltsgeräte, Apps oder Smartphones — private und gewerbliche Nutzer sollten in Zukunft sicher sein können, dass sie nur Produkte verwenden, die so sicher wie möglich sind.
Neben den Anforderungen an die Entwicklung und die laufende Wartung erwarten Hersteller beispielsweise auch Vorschriften zur Marktüberwachung. Im Kern ist der Cyber Resilience Act aber vor allem ein Instrument, mit dem „integrierte Cybersicherheit“ europaweit zu einem festen Bestandteil des Produkts werden soll. Aus Verbrauchersicht ist dies durchaus zu begrüßen, da wir fast täglich von neuen Sicherheitslücken und Sicherheitslücken in Geräten und Programmen lesen, die Cyberkriminelle und Hacker schamlos ausnutzen.
Mit Spannung erwartet: Der neue Cyber Resilience Act
Der Bundesverband der Verbraucherzentralen hat sich klar zu dem neuen Gesetz positioniert und erklärt, dass die bisher fehlende Herstellerpflicht zur Gewährleistung der Cybersicherheit die Verbraucher „unangemessenen Risiken und Gefahren ausgesetzt“ habe. Darüber hinaus sollte diese Verantwortung nicht mehr an die Benutzer weitergegeben werden. Ähnlich sehen es auch der Branchenverband Bitkom und der TÜV-Verband.
Allerdings — und darin sind sich die Experten einig — gilt auch das Cyber Resilience Act: Die Einhaltung der Vorschriften muss von einer unabhängigen Stelle überprüft werden. Ansonsten ist die Zeitung einfach geduldig. Die Herstellerverbände sehen weitere Herausforderungen in der Umsetzung eines Konzepts der konstruktiven Sicherheitsverpflichtungen.
Anwender profitieren vom neuen Cyber Resilience Act. Bild: Pexels/Andrea Piexacdio
Herausforderungen für Hersteller
Neben den bereits genannten Anforderungen ist der neue Cyber Resilience Act auch einer Frist unterworfen: Die Hersteller haben nur zwei Jahre Zeit, ihn umzusetzen. Dieses Angebot steht eindeutig im Widerspruch zu den üblichen Entwicklungszyklen für Hard- und Software, die deutlich länger sind. Darüber hinaus könnten die umfangreichen Dokumentationspflichten für einige Hersteller auch eine (zu) große Herausforderung darstellen — Stichwort: Fachkräftemangel und Personalmangel.
Der Verband der Elektro- und Digitalindustrie ZVEI sieht die Übergangsphase ebenfalls kritisch und sieht auch Optimierungsbedarf bei der Definition der Produkte. Denn laut EU-Kommission sollten beispielsweise Automatisierungs- und Steuerungssysteme in der Produktion oder Mikrocontroller ebenfalls unter das neue Gesetz fallen — und zu weit gehen. Die Piratenpartei äußerte sich ebenfalls zu dem aktuellen Entwurf und sieht die Entwicklung freier Software bedroht, obwohl sie sich nachdrücklich dafür einsetzt, dass die großen Hersteller endlich zur Rechenschaft gezogen werden.
Cyber Resilience Act: Es muss noch viel diskutiert werden
Wie Sie sehen, ist zu diesem Thema noch nicht das letzte Wort gesprochen, und es ist auch nicht absehbar, dass alle betroffenen Parteien rechtzeitig zu einem Konsens gelangen werden. Unabhängig von den inhaltlichen Aspekten und der Frage, wer und in welcher Form die Einhaltung des Gesetzes überprüfen soll und kann, muss der Entwurf früher oder später auch mit geltendem Recht in Einklang gebracht werden. Vorerst sind jedoch das Europäische Parlament und die anderen EU-Mitgliedstaaten an der Reihe. Es bleibt also spannend.
Unabhängig vom Cyber Resilience Act sollten sich Nutzer aller Kategorien bewusst sein, dass die Eigenverantwortung nie ganz aufhört. Und bis alle Hersteller bereit sind, ist es immer noch unerlässlich, sich regelmäßig mit allen Aspekten der IT-Sicherheit selbst zu befassen.
Lesen Sie den Originalartikel auf IT-SERVICE.network