Der Rat der Europäischen Union hat am Donnerstag den Cyber Resilience Act (CRA) beschlossen. Mit dem Votum der Innen- und Justizminister der EU-Staaten können die neuen Regelungen für mehr Sicherheit bei vernetzten Geräten in Kraft treten. Die EU will damit erreichen, dass mit dem Netz verbundene Geräte von Computern über Kaffeemaschinen bis zu Babyphones besser gegen Cyberangriffe geschützt werden.
"Vernetzte Produkte erleichtern unseren Alltag, können aber auch von Kriminellen ausgenutzt werden. Deshalb müssen sie sicher sein", sagte Bundesinnenministerin Nancy Faeser (SPD). Verbraucher müssten sich darauf verlassen können, dass vernetzte Geräte im Haushalt kein Sicherheitsrisiko darstellten.
Hersteller und Handel verpflichtet
Die neue Verordnung verpflichtet Hersteller, Importeure und den Handel. Produkte, die das bekannte CE-Kennzeichen tragen, müssen künftig auch gegen IT-Angriffe gesichert sein. Zudem müssen Hersteller IT-Schwachstellen und -vorfälle einer zentralen Meldestelle berichten und regelmäßig Sicherheitsupdates anbieten.
Die Hersteller sollen dafür sorgen, "dass alle Produkte mit digitalen Elementen" sowie einer "logischen oder physischen Datenverbindung" im Einklang mit den in der Verordnung formulierten "grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden". Das betrifft ein breites Portfolio von Haushaltsgeräten, Computer-Hardware, Unterhaltungselektronik, Software und Cloud-Lösungen.
Damit findet der Grundsatz "Security by Design" Eingang in das europäische Technikrecht. Künftig müssten Hersteller über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren Cybersicherheit übernehmen, sagte BSI-Chefin Claudia Plattner. "Davon profitieren alle Anwenderinnen und Anwender und letztlich auch die Hersteller, denn ihre Produkte werden qualitativ hochwertiger und sicherer."
Übergangszeit von drei Jahren
Als Verordnung gilt der CRA unmittelbar und muss nicht von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Vor dem Rat hat im März bereits das Parlament zugestimmt. Nun muss die Verordnung noch von den Präsidenten des Rats und des Parlaments unterzeichnet sowie anschließend im Amtsblatt der EU veröffentlicht werden. Das soll in den kommenden Wochen erfolgen.
20 Tage nach der Veröffentlichung im Amtsblatt tritt die Verordnung in Kraft. Ab dann gilt eine Übergangsfrist von drei Jahren. Spätestens ab etwa November 2027 müssen also alle auf dem Markt vertriebenen Produkte die neuen Cybersicherheitsanforderungen erfüllen und dies mit einem CE-Kennzeichen dokumentieren. Andere Verpflichtungen, darunter die Meldepflicht für ausgenutzte IT-Schwachstellen, gelten bereits in 21 Monaten.
In Zukunft könnten Verbraucher, aber auch Unternehmen "anhand des vertrauten CE-Kennzeichens auf einen Blick erkennen, dass ein vernetztes Gerät wesentliche Cybersicherheitsanforderungen erfüllt", sagte Faeser. "Das bewährte CE-Kennzeichen steht damit nun auch für Sicherheit gegen Cyberbedrohungen."
(vbr)
English (US) ·