Cyberresilienz: EU-Kommission sagt Sicherheitslücken den Kampf an

Hersteller von Produkten "mit digitalen Elementen" müssen die Cybersicherheit während des vollen Lebenszyklus etwa per Schwachstellenmanagement garantieren.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 29 Beiträge

(Bild: PopTika/Shutterstock.com)

Von
  • Stefan Krempl
Inhaltsverzeichnis

Mit einem Gesetz "zur Cyber-Widerstandsfähigkeit" will die EU-Kommission größere Cybersicherheitsdebakel künftig verhindern. Produkte "mit digitalen Elementen" wie Hard- und Software sollen "mit weniger Schwachstellen auf den Markt kommen", gibt die Brüsseler Regierungsinstitution in dem heise online vorliegenden Entwurf als Ziel aus. Hersteller müssten die Cybersicherheit künftig "während des gesamten Lebenszyklus eines Produkts ernst nehmen".

Der vorgesehene Geltungsbereich des "Cyber Resilience Act" ist weit gefasst. Unter Artikeln mit digitalen Elementen versteht die Kommission "jedes Software- oder Hardware-Produkt und seine Ferndatenverarbeitungslösungen" einschließlich zugehöriger Komponenten, "die getrennt in Verkehr gebracht werden sollen". Ein Schwerpunkt dürfte so auf dem Internet der Dinge liegen oder auf "Plaste-Routern", die aufgrund vieler eingebauter Sicherheitslücken bislang häufig einfach angreifbar sind.

Außen vor bleiben sollen Produkte, "die ausschließlich für die nationale Sicherheit oder für militärische Zwecke entwickelt wurden", oder die speziell für die Verarbeitung von Verschlusssachen bestimmt sind.

Die Hersteller der erfassten Artikel müssen laut dem Entwurf künftig grundlegende Cybersicherheitsanforderungen für das Design, die Entwicklung und den Fertigungsprozess erfüllen, bevor sie ein Gerät auf den Markt bringen dürfen. Sie sollen angehalten werden, Schwachstellen während des gesamten Lebenszyklus des Geräts zu überwachen und durch automatische und kostenlose Updates zu beheben.

Ferner sollen die Produzenten der EU-Cybersicherheitsbehörde Enisa jeden Vorfall melden, der sich auf die Sicherheit einer Hard- und Software auswirkt. Vorgesehen ist eine Pflicht, eine "koordinierte Politik zur Offenlegung von Schwachstellen" einzuführen, um die Meldung von Sicherheitslücken durch Einzelpersonen oder Unternehmen zu erleichtern. Prinzipielle Meldeauflagen sieht auch die geplante Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS2) vor. Eine Pflicht für staatliche Stellen, gefundene Schwachstellen zu melden, enthält der Entwurf nicht.

Für alle einschlägigen Wirtschaftsakteure von den Herstellern bis hin zu den Händlern und Importeuren sollen Auflagen für das Inverkehrbringen von Produkten mit digitalen Elementen festgelegt werden, "die ihrer Rolle und Verantwortung in der Lieferkette angemessen sind", unterstreicht die Kommission. Die Liste der grundlegenden Anforderungen, die in einem Anhang zu dem selbst schon über 80 Seiten ausmachenden Entwurf ausgeführt werden, umfasst ein "angemessenes" Niveau der Cybersicherheit und das Verbot, Produkte mit bekannten Schwachstellen auf den Markt zu bringen

Weiter zu gewährleisten sein sollen etwa Security by Design, also der Einbau von Cybersicherheit direkt in die Produkte, sowie der Schutz vor unbefugtem Zugriff. Angriffsflächen müssten begrenzt, die Auswirkungen von Zwischenfällen minimiert werden. Die erfassten Artikel sollen die Vertraulichkeit der Daten sicherstellen, etwa durch Verschlüsselung. Pflicht werden soll der Schutz der Integrität und Verarbeitung von Informationen und Messwerten, die für das Funktionieren des Produkts unbedingt erforderlich sind.