Im Kampf gegen die steigende Zahl von Angriffen auf vernetzte Geräte und deren Software hat sich die EU auf Mindeststandards geeinigt. Der sogenannte Cyber Resilience Act (CRA) legt fest, dass vernetzbare Produkte, auch als IoT-Geräte bekannt, bestimmte Mindestanforderungen erfüllen müssen, um das CE-Zeichen tragen zu dürfen. Zudem müssen sie für mindestens fünf Jahre mit Sicherheitsupdates versorgt werden. Eine Meldepflicht für neue Sicherheitslücken wird ebenfalls eingeführt.
Der CRA wurde als Reaktion auf die zunehmenden Angriffe auf die Lieferkette von Produkten entwickelt. Die EU-Beamtin betonte, dass die Sicherheit vernetzter Geräte und Software von großer Bedeutung sei. Der Kompromiss sieht vor, dass beim Verkauf von IoT-Geräten grundsätzlich eine gewisse Sicherheit gewährleistet sein muss. Zudem müssen die Geräte für mindestens fünf Jahre mit Sicherheitsupdates versorgt werden. Eine verkürzte Update-Versorgung soll nur in Ausnahmefällen erfolgen, wenn eine kürzere Nutzungsdauer zu erwarten ist.
Die genauen Anforderungen für welche Geräteklassen und Software gelten, werden in den Anhängen zum CRA festgelegt. Die Konformität soll durch Normen und Standards gewährleistet werden, die von den Herstellern selbst bestätigt werden müssen. Produkte wie Babyphones oder vernetzte Türklingeln müssen jedoch strengere Anforderungen erfüllen. In besonders kritischen Situationen kann es notwendig sein, dass Dritte Produkte überprüfen und zertifizieren.
Eine Meldepflicht an die nationalen Behörden wird eingeführt, wenn den Betreibern neue Sicherheitslücken auffallen. Diese Meldungen müssen innerhalb von 24 Stunden an die nationalen Aufsichtsbehörden und die Europäische Behörde für Netz- und Informationssicherheit ENISA weitergeleitet werden. Der CRA soll 21 Monate nach Inkrafttreten in Kraft treten.
Die neuen Bestimmungen werden voraussichtlich ab 2027 für alle vernetzbaren Produkte und Software gelten, sofern sie nicht bereits spezifischen Vorschriften in bestimmten Branchen unterliegen. Verbraucherschützer betonen, dass Verbraucher zu Recht erwarten, dass ihre IoT-Geräte sicher sind und während der gesamten Nutzungsdauer sicher bleiben. Es wird jedoch kritisiert, dass sicherheitsrelevante Updates nur für einen festgelegten Mindestzeitraum zur Verfügung gestellt werden müssen.
Der IT-Wirtschaftsverband Bitkom begrüßt den Kompromiss grundsätzlich, da er den Unternehmen Klarheit bietet. Er hält jedoch die dreijährige Übergangsfrist für zu knapp bemessen, da Unternehmen Zeit benötigen, um ihre Ökosysteme umzustellen. Auch der Verband der Elektro- und Digitalindustrie ZVEI äußert Bedenken bezüglich möglicher Verzögerungen bei Komponenten und der Verwendung digitaler Produkte auf dem EU-Markt.
Es besteht noch Unsicherheit darüber, ob Open-Source-Software die Anforderungen erfüllen muss. Laut Quellen aus der Kommission wird eine Regelung sicherstellen, dass den spezifischen Anforderungen entsprochen wird. Stiftungen, die Open-Source-Software entwickeln, benötigen demnach lediglich eine Cybersecurity Policy, während Hobby-Entwickler nicht betroffen sind. Die EU-Kommission hofft jedoch auch, dass die Sicherheit von Open-Source-Software von den neuen Regeln profitiert. So könnten Probleme zeitnah an die Entwickler zurückgemeldet werden, wenn ein Software-Anbieter eine frei verfügbare Verschlüsselungsbibliothek nutzt und dabei Schwachstellen entdeckt.
Schlagwörter: Cyber Resilience Act + Mindestanforderungen + Sicherheitsupdates
Wie bewerten Sie den Schreibstil des Artikels?