Neue EU-Cybersicherheitsvorschriften sorgen für sicherere Hard- und Software.
Von Babymonitoren bis hin zu Smartwatches sind Produkte und Software, die eine digitale Komponente enthalten, in unserem täglichen Leben allgegenwärtig. Weniger offensichtlich für viele Benutzer ist das Sicherheitsrisiko, das solche Produkte und Software darstellen können.
Das Cyber Resilience Act (CRA) zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Mit dem Gesetz würden unzureichende Sicherheitsmerkmale mit der Einführung verbindlicher Cybersicherheitsanforderungen für Hersteller und Einzelhändler solcher Produkte der Vergangenheit angehören, wobei sich dieser Schutz über den gesamten Produktlebenszyklus erstreckt.
Mit der Verordnung wird ein doppeltes Problem angegangen.
Erstens ist das unzureichende Cybersicherheitsniveau, das vielen Produkten innewohnt, oder unzureichende Sicherheitsupdates für solche Produkte und Software.
Zweitens ist die Unfähigkeit von Verbrauchern und Unternehmen, derzeit festzustellen, welche Produkte cybersicher sind, oder sie so einzurichten, dass ihre Cybersicherheit geschützt ist.
Mit dem Cyberresilienzgesetz wird Folgendes gewährleistet:
- harmonisierte Vorschriften für die Markteinführung von Produkten oder Software mit einer digitalen Komponente;
- einen Rahmen von Cybersicherheitsanforderungen für die Planung, Gestaltung, Entwicklung und Wartung solcher Produkte mit Verpflichtungen, die auf jeder Stufe der Wertschöpfungskette zu erfüllen sind;
- eine Sorgfaltspflicht für den gesamten Lebenszyklus solcher Produkte.
Wenn die Verordnung in Kraft tritt, würden Software und Produkte, die mit dem Internet verbunden sind, die CE-Kennzeichnung tragen, um anzuzeigen, dass sie den neuen Normen entsprechen. Die Verpflichtung von Herstellern und Einzelhändlern, der Cybersicherheit Vorrang einzuräumen, würde Kunden und Unternehmen in die Lage versetzen, fundiertere Entscheidungen zu treffen und sich auf die Cybersicherheitszertifikate von Produkten mit CE-Kennzeichnung zu verlassen.
Die Verordnung wurde in derEU-Cybersicherheitsstrategie 2020angekündigt und ergänzt andere Rechtsvorschriften in diesem Bereich, insbesondere den NIS2-Rahmen.
Sie gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, mit Ausnahme bestimmter Ausnahmen wie Open-Source-Software oder -Dienste, die bereits unter bestehende Vorschriften fallen, was bei Medizinprodukten, der Luftfahrt und Autos der Fall ist.
Das Gesetz über die Cyberresilienz soll in der zweiten Hälfte des Jahres 2024 in Kraft treten, und die Hersteller müssen bis 2027 konforme Produkte auf dem Unionsmarkt in Verkehr bringen. Die Kommission wird das Gesetz dann regelmäßig überprüfen und über seine Funktionsweise Bericht erstatten.
Zugehöriger Inhalt
Gesamtbild
Die Europäische Union arbeitet an verschiedenen Fronten, um Cyberresilienz zu fördern, unsere Kommunikation und Daten zu schützen und die Online-Gesellschaft und die Wirtschaft sicher zu halten.
Siehe auch
Das EU-Cyber-Solidaritätsgesetz wird die Vorsorge, Aufdeckung und Reaktion auf Cybersicherheitsvorfälle in der gesamten EU verbessern.
Betreiber wesentlicher Dienste (OES), nationale Cybersicherheitszertifizierungsbehörden (NCCAs) und nationale zuständige Behörden (NCA) für Cybersicherheit gehören zu den ausgewählten Antragstellern, die im Rahmen der Aufforderung zur Cybersicherheit der Fazilität „Connecting...
Das Europäische Cybersicherheitsnetz und das Kompetenzzentrum für Cybersicherheit helfen der EU, technologische und industrielle Kapazitäten im Bereich der Cybersicherheit zu erhalten und auszubauen.
Die Stakeholder-Cybersicherheitszertifizierungsgruppe wurde gegründet, um Beratung zu strategischen Fragen im Zusammenhang mit der Cybersicherheitszertifizierung zu leisten.
Mit dem Cybersicherheitsgesetz wird die EU-Agentur für Cybersicherheit (ENISA) gestärkt und ein Rahmen für die Cybersicherheitszertifizierung für Produkte und Dienstleistungen geschaffen.
Der EU-Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten ermöglicht die Schaffung maßgeschneiderter und risikobasierter EU-Zertifizierungssysteme.
Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.