Sie sind hier: Home » Recht » EU & Europa » Europäische Kommission

Vorschlag für ein neues Cyberresilienzgesetz


Lage der Union: Neue EU-Vorschriften für die Cybersicherheit gewährleisten sicherere Hardware- und Softwareprodukte
Das neue Cyberresilienzgesetz wird den bestehenden EU-Rahmen für Cybersicherheit ergänzen, nämlich die NIS-Richtlinie, die NIS-2-Richtlinie und den EU-Rechtsakt zur Cybersicherheit



Die Europäische Kommission hat einen Vorschlag für ein neues Cyberresilienzgesetz vorgelegt, um Verbraucher und Unternehmen vor Produkten mit unzureichenden Sicherheitsmerkmalen zu schützen. Diese erste EU-weite Rechtsvorschrift ihrer Art enthält verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, denen die Produkte während ihres gesamten Lebenszyklus genügen müssen.

Der Rechtsakt wurde von Präsidentin Ursula von der Leyen im September 2021 in ihrer Rede zur Lage der Europäischen Union angekündigt und baut auf der EU-Cybersicherheitsstrategie von 2020 sowie der EU-Strategie für eine Sicherheitsunion von 2020 auf. Er soll sicherstellen, dass digitale Produkte – wie drahtlose und drahtgebundene Hardware sowie Software – für die Verbraucher in der gesamten EU sicherer werden: Zum einen müssen Hersteller mehr Verantwortung übernehmen, da sie verpflichtet werden, Unterstützung und Softwareaktualisierungen bereitzustellen, um festgestellte Schwachstellen zu beheben. Zum anderen sollen die Verbraucher über die Cybersicherheit der Produkte, die sie kaufen und verwenden, ausreichend informiert werden.

Margrethe Vestager, die für das Ressort "Ein Europa für das digitale Zeitalter" zuständige Exekutiv-Vizepräsidentin, erklärte: "Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind. Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen."

Der für die Förderung unserer europäischen Lebensweise zuständige Vizepräsident Margaritis Schinas ergänzte: "Das Cyberresilienzgesetz ist unsere Antwort auf neue Sicherheitsrisiken, die in unserer digitalen Gesellschaft heute allgegenwärtig sind. Die EU ist Vorreiter bei der Einführung eines Ökosystems für die Cybersicherheit – durch Vorschriften über kritische Infrastrukturen, Vorsorge und Reaktion in Sachen Cybersicherheit und die Zertifizierung von Cybersicherheitsprodukten. Dieses Ökosystem ergänzen wir mit einem Gesetz, das Sicherheit im privaten Umfeld, in unseren Unternehmen und bei allen vernetzten Produkten gewährleistet. Cybersicherheit ist nicht nur ein Thema für die Industrie, sondern für die ganze Gesellschaft."

Der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton erklärte: "Im Bereich der Cybersicherheit ist Europa nur so stark wie sein schwächstes Glied – z. B. ein gefährdeter Mitgliedstaat oder ein unsicheres Produkt in der Lieferkette. Computer, Handys, Haushaltsgeräte, virtuelle Hilfsgeräte, Autos, Spielzeug usw. – alle diese hunderte Millionen von vernetzten Produkten sind eine potenzielle Schwachstelle, über die Cyberangriffe erfolgen können. Für die meisten Hardware- und Softwareprodukte gelten jedoch heute noch keine Cybersicherheitsanforderungen. Mit der Einführung des Konzepts der "integrierten Cybersicherheit" trägt das Cyberresilienzgesetz dazu bei, die Wirtschaft in Europa zu schützen und die Sicherheit aller zu gewährleisten."

Angesichts der Tatsache, dass weltweit alle 11 Sekunden eine Organisation zum Opfer eines Ransomware-Angriffs wird und sich die Kosten der Cyberkriminalität im Jahr 2021 Schätzungen zufolge auf 5,5 Billionen EUR beliefen (Cybersecurity Ventures, zitiert im Bericht der Gemeinsamen Forschungsstelle (2020): Cybersecurity – Our Digital Anchor, a European perspective”), ist es wichtiger denn je, ein hohes Maß an Cybersicherheit zu gewährleisten und Schwachstellen digitaler Produkte – über die viele erfolgreiche Angriffe erfolgen – zu verringern. Angesichts der zunehmenden Zahl intelligenter und vernetzter Produkte kann ein Cybersicherheitsvorfall bei einem Produkt Auswirkungen auf die gesamte Lieferkette haben und möglicherweise wirtschaftliche und soziale Tätigkeiten im gesamten Binnenmarkt ernsthaft stören, die Sicherheit beeinträchtigen oder sogar Leben gefährden.

Die vorgeschlagenen Maßnahmen stützen sich auf den neuen Rechtsrahmen für EU-Produktvorschriften und werden Folgendes enthalten:

a) Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um ihre Cybersicherheit zu gewährleisten;

b) grundlegende Anforderungen an die Gestaltung, Entwicklung und Herstellung von Produkten mit digitalen Elementen und Verpflichtungen der Wirtschaftsteilnehmer in Bezug auf diese Produkte;

c) grundlegende Anforderungen an die von den Herstellern anzuwendenden Verfahren zur Behebung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus zu gewährleisten, sowie Verpflichtungen der Wirtschaftsteilnehmer hinsichtlich dieser Verfahren. Zudem müssen die Hersteller aktiv ausgenutzte Schwachstellen und Vorfälle melden;

d) Vorschriften für die Marktüberwachung und Durchsetzung.

Mit den neuen Vorschriften erhalten die Hersteller mehr Verantwortung, da sie dafür sorgen müssen, dass Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, mit den Sicherheitsanforderungen übereinstimmen. Dies kommt Verbrauchern, Bürgerinnen und Bürgern sowie Unternehmen, die digitale Produkte verwenden, zugute, weil die Sicherheitsmerkmale transparenter werden, das Vertrauen in Produkte mit digitalen Elementen gestärkt wird und Grundrechte, wie das Recht auf Privatsphäre und Datenschutz, besser geschützt werden.

Da sich auch andere Länder weltweit derzeit mit der Bewältigung dieser Probleme befassen, dürfte das Cyberresilienzgesetz über den EU-Binnenmarkt hinaus auch international Maßstabe setzen. EU-Standards, die auf dem Cyberresilienzgesetz beruhen, werden die Umsetzung erleichtern und den EU-Unternehmen, die auf den globalen Märkten im Bereich der Cybersicherheit tätig sind, Vorteile bringen.

Die vorgeschlagene Verordnung wird für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Es gibt einige Ausnahmen für Produkte, die bereits unter die bestehenden EU-Vorschriften für die Cybersicherheit fallen, wie Medizinprodukte, Luftfahrtprodukte oder Pkw.

Nächste Schritte
Der Entwurf des Gesetzes über Cyberresilienz wird nun vom Europäischen Parlament und dem Rat geprüft. Nach der Verabschiedung haben Wirtschaftsteilnehmer und Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Abweichend davon soll die Meldepflicht der Hersteller in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle bereits ein Jahr ab dem Inkrafttreten gelten, da dafür weniger organisatorische Anpassungen erforderlich sind als für die anderen neuen Verpflichtungen. Die Kommission wird das Cyberresilienzgesetz regelmäßig überprüfen und über seine Funktionsweise Bericht erstatten.

Hintergrund
Cybersicherheit ist eine der obersten Prioritäten der Kommission und ein Eckpfeiler für ein digitales und vernetztes Europa. Die Zunahme der Cyberangriffe während der Coronavirus-Krise hat gezeigt, wie wichtig es ist, Krankenhäuser, Forschungszentren und andere Infrastrukturen zu schützen. Im Interesse der Wettbewerbsfähigkeit der Wirtschaft und Gesellschaft in der EU müssen wir in diesem Bereich entschlossen handeln. Schätzungen zufolge belaufen sich die jährlichen Kosten von Datenschutzverletzungen auf mindestens 10 Mrd. EUR und die jährlichen Kosten böswilliger Versuche zur Störung des Internetverkehrs auf mindestens 65 Mrd. EUR (siehe Bericht über die Folgenabschätzung zur Delegierten Verordnung der Kommission zur Ergänzung der Delegierten Verordnung zur Funkanlagenrichtlinie).

In der Cybersicherheitsstrategie vom Dezember 2020 wird vorgeschlagen, die Cybersicherheit in alle Elemente der Lieferkette einzubeziehen und die Tätigkeiten und Ressourcen der EU in den vier Bereichen der Cybersicherheit – Binnenmarkt, Strafverfolgung, Diplomatie und Verteidigung – weiter zu bündeln. Die Strategie baut auf der Mitteilung zur Gestaltung der digitalen Zukunft Europas und der EU-Strategie für eine Sicherheitsunion auf und stützt sich auf eine Reihe von Rechtsakten, Maßnahmen und Initiativen, die die EU umgesetzt hat, um die Cybersicherheitskapazitäten auszubauen und die Cyberresilienz Europas zu stärken.

Das neue Cyberresilienzgesetz wird den bestehenden EU-Rahmen für Cybersicherheit ergänzen, nämlich die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie), auf die sich das Europäische Parlament und der Rat vor Kurzem geeinigt haben, und den EU-Rechtsakt zur Cybersicherheit.
(Europäische Kommission: ra)

eingetragen: 26.09.22
Newsletterlauf: 18.11.22


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Europäische Kommission

  • Forderungen nach mehr Flexibilität

    Die Europäische Kommission hat offiziell eine Verordnung angenommen, mit der europäischen Landwirtinnen und Landwirten eine teilweise Ausnahme von der Konditionalitätsregelung für brachliegende Flächen gewährt wird. Dem vorangegangen waren der Vorschlag der Kommission vom 31. Januar sowie Gespräche mit den Mitgliedstaaten in Ausschusssitzungen.

  • Verwaltungsaufwand für Landwirte begrenzen

    Die Europäische Kommission hat dem belgischen Ratsvorsitz ein Papier übermittelt, in dem erste mögliche Maßnahmen zur Verringerung des Verwaltungsaufwands für die Schultern der Landwirte dargelegt werden. Das Dokument enthält eine Reihe kurz- und mittelfristiger Maßnahmen, die zur Vereinfachung ergriffen werden können

  • Wegweisendes Regelwerk der EU

    Das Gesetz über digitale Dienste ist das wegweisende Regelwerk der EU, mit dem das Online-Umfeld sicherer, gerechter und transparenter gemacht werden soll, und wird auf alle Online-Vermittler in der EU angewandt. Es schützt die Nutzer in der EU besser vor illegalen Waren und Inhalten und sorgt für die Wahrung ihrer Rechte auf Online-Plattformen, auf denen sie mit anderen Nutzern in Kontakt treten, Informationen austauschen oder Produkte kaufen.

  • Untersuchung betrifft mutmaßliche Mängel

    Die Europäische Kommission hat ein förmliches Verfahren eingeleitet, um zu prüfen, ob TikTok in den Bereichen Jugendschutz, Transparenz der Werbung, Datenzugang für Forschende sowie Risikomanagement in Bezug auf suchterzeugendes Design und schädliche Inhalte möglicherweise gegen das Gesetz über digitale Dienste verstoßen hat.

  • Influencer-Posts in sozialen Medien

    Die Europäische Kommission und die nationalen Verbraucherschutzbehörden von 22 Mitgliedstaaten sowie Norwegen und Island haben die Ergebnisse einer Überprüfung ("Sweep") von Influencer-Posts in den sozialen Medien veröffentlicht. Demnach veröffentlichen fast alle Influencerinnen und Influencer (97 Prozent) kommerzielle Inhalte, aber nur jeder fünfte gibt systematisch an, dass es sich bei diesem Content um Werbung handelt.

CETA und Handel der EU mit Kanada Schutzvorkehrung für redaktionelle Unabhängigkeit

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen