Prüfungspflicht Cyber Resilience Act: Smart Home soll zertifizierungspflichtig werden Ob Waschmaschine, Heimsteuerung oder Webcam: Die geplante Auffangregelung für Cybersicherheit der EU für alle Produkte mit digitalen Elementen kommt langsam voran.

Mit dem Cyber Resilience Act (CRA) will die EU das Sicherheitsniveau von vernetzten Geräten erhöhen. Im September 2022 hat die Kommission einen ersten Verordnungsentwurf vorgestellt, dem sich nun EU-Parlament und Ministerrat annehmen. Unter anderem geht es darum, welche Pflichten die Hersteller bereits bei Design und Produktion treffen, und wie lange sie Updates für Geräte bereitstellen müssen. Der CRA umfasst erst einmal alle Geräte, für die nicht bereits eine spezielle Regelung existiert, also etwa Medizinprodukte oder Kraftfahrzeuge.

BSI-Vizepräsident Gerhard Schabhüser bei der Vorstellung des Berichts zum digitalen Verbraucherschutz 2022 im März. Bild: Wolfgang Kumm/dpa

Mehrere Kategorien

Der CRA unterscheidet mehrere Kategorien: Für Produkte, die als weniger kritisch gelten – beispielsweise Computerspiele – sollen die Hersteller lediglich eine Konformitätserklärung abgeben. Damit erklären sie verbindlich, dass die Produkte dem Stand der technischen Sicherheit entsprechen, keine bekannten Sicherheitslücken enthalten und für mehrere Jahre Updates erhalten. Zudem verpflichten sich Hersteller, bekanntgewordene Sicherheitslücken zu schließen. Diese Erklärung soll Teil des CE-Zeichens sein. Produkte ohne das Zeichen sollen in Europa nicht in Verkehr gebracht werden dürfen.

Für kritischere Produkte wie Kryptoprozessoren, Anlagensteuerungen (SCADA), CNC-Steuerungen, Smart Meter, Robotikanwendungen, Betriebssysteme für Server, Desktopcomputer und Mobilgeräte, Firewalls und Router, will die Kommission darüber hinaus eine externe Prüfung durch Dritte vorschreiben. Hintergrund der Regulierung ist die zunehmende Vernetzung von Geräten, die früher nicht ans Internet angeschlossen waren. Schadsoftware auf Waschmaschinen, Smartwatches und Stromspeichersteuerungen ist spätestens seit der Botnet-Malware Mirai, die vernetzte Geräte wie Router, Kühlschränke, Thermostate oder Babyfone befällt, auch für die Politik ein reales Szenario geworden.

Im weiteren Gesetzgebungsprozess wird es unter anderem darum gehen, welche Produkte den strengeren Prüfkriterien unterliegen sollen und bei welchen die Konformitätserklärung durch Hersteller ausreichen soll. Nicola Danti (Fraktion Renew Europe) verhandelt den CRA als Berichterstatter für das EU-Parlament. Kurz vor Ostern hat er seinen ersten Änderungsentwurf an die Ausschüsse übersandt.

Danti will demnach unter anderem Smart Home-Geräte mit in die Kategorie aufnehmen, bei der eine externe Stelle die Konformität prüfen muss. Außerdem möchte er die Durchsetzung weitgehend zentralisieren: Die Europäische Netzwerk- und Informationssicherheitsbehörde ENISA soll seinem Willen nach Sicherheitsmeldungen von Anbietern und Händlern zentral sammeln. Der Kommissionsvorschlag sieht hingegen eine stärkere Rolle für die Behörden der Mitgliedstaaten vor. In Deutschland wäre im Fall seiner Umsetzung das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Pflicht.

Die Behörde ist bereits heute mit dem deutschen IT-Sicherheitskennzeichen in der Produktprüfung aktiv: Anbieter können seit 2021 ihre Produkte vom BSI nach definierten Sicherheitsstandards zertifizieren lassen. Allerdings haben seit 2021 bis Anfang April 2023 erst 37 Produkte, darunter Mailprovider, Modems und Router, diese Prüfung abgeschlossen. Mit dem Cyber Resilience Act würde das Aufgabenspektrum des BSI massiv anwachsen.

Als wahrscheinlich gilt, dass das BSI zwar als Aufsichtsbehörde fungieren wird, die eigentlichen Produktprüfungen aber andere Organisationen wie die Technischen Überwachungsvereine (TÜV) erledigen. Der derzeit geschäftsführende BSI-Vizepräsident Gerhard Schabhüser hofft, dass mit dem CRA „Consumergeräte mit Unsicherheitsstatus“ vom Markt verschwinden werden. Allerdings brauche es dafür mehr als Freiwilligkeit, betonte Schabhüser im März bei der Vorstellung des Verbraucherschutzberichts des BSI für 2022.

BSI soll wesentliche Aufgaben erhalten

Die Bundesregierung hat ihre Position zum CRA noch nicht gefunden. „Die Überlegungen zu Rollenverteilung und Aufgaben, die sich aus dem CRA ergeben, dauern noch an“, erklärte eine Sprecherin des Bundesinnenministeriums (BMI) auf Anfrage von c’t. „Aus Sicht des BMI wird das BSI wesentliche Aufgaben erhalten.“

Der zweite, größere Streitpunkt ist ein anderer Vorschlag Dantis: Er will die Übergangsfristen, ab wann „Produkte mit digitalen Elementen“ unter die neuen Regeln fallen, massiv ausweiten. Danti, der im Industrieausschuss des Europaparlaments sitzt, will den Unternehmen 40 Monate Übergangsfrist statt den von der Kommission vorgeschlagenen 24 Monaten nach Inkrafttreten der Verordnung einräumen – was frühestens auf das Jahr 2028 hinausläuft. Produkte, die bis zu dem Zeitpunkt bereits auf dem Markt sind, sollen Bestandsschutz genießen – zumindest, solange es keine wesentlichen Änderungen gibt. (kst@ct.de)