Anbieter müssen in der EU zukünftig für längere Zeit Sicherheitsupdates zur Verfügung stellen – in der Regel für fünf Jahre.
Die Verhandler von Europaparlament, Mitgliedstaaten und EU-Kommission haben sich am Donnerstag kurz vor Mitternacht im Trilogverfahren auf einen Kompromiss zum sogenannten Cyber Resilience Act (CRA) geeinigt. Mit der Verordnung werden für die gesamte EU Mindestanforderungen an eine Vielzahl vernetzter Geräte und deren Software formuliert. Sie muss noch formell verabschiedet werden.
Der CRA sei eine Reaktion auf die Zunahme von Angriffen auf die Lieferkette von Produkten, sagte eine EU-Beamtin am Freitagvormittag. Der nun gefundene Kompromiss sieht unter anderem vor, dass vernetzbare Produkte (auch IoT-Devices genannt) und Software Mindestkriterien erfüllen müssen, damit sie künftig das CE-Zeichen tragen dürfen. Die Produkte müssen dann beim Verkauf grundsätzlich sicher sein und mindestens fünf Jahre lang mit Sicherheitsupdates versorgt werden. Eine kürzere Update-Versorgung soll nur zulässig sein, wenn eine kürzere Nutzungsdauer zu erwarten ist. Reine Software-as-a-Service-Anwendungen, die ohne lokale Komponenten genutzt werden, sollen nicht unter die Regelungen fallen.
Welche Geräteklassen und Software unter welche genauen Anforderungen fallen, wird über die Anhänge zum Cyber Resilience Act geregelt. Normen und Standards sollen für die Konformität sorgen, diese müssen die Hersteller selbst bestätigen. Verschärfte Anforderungen sollen aber gelten für Produkte wie Babyphones oder vernetzte Türklingeln. In besonders kritischen Fällen kann es auch notwendig werden, dass Dritte Produkte prüfen und zertifizieren.
Sicherheitslücken werden früher meldepflichtig
Für neue Sicherheitslücken, die den Betreibern auffallen, wird eine Meldepflicht an die nationalen Behörden analog zu den Regelungen der NIS-Richtlinie 2 eingeführt. Spätestens nach 24 Stunden müssen die nationale Aufsichtsbehörde und die Europäische Behörde für Netz- und Informationssicherheit ENISA informiert werden. Diese soll 21 Monate nach Inkrafttreten des CRA greifen. Grundsätzlich gelten die neuen Regelungen jedoch für alle vernetzbaren Produkte und Software voraussichtlich ab 2027, sofern sie nicht bereits sektorspezifischen Regelungen unterliegen, wie etwa Kraftfahrzeuge oder Medizinprodukte.
“Verbraucher:innen erwarten zu Recht, dass ihre Smart Watch oder das Fitnessarmband sicher sind und sicher bleiben, solange sie getragen werden”, kommentierte Ramona Pop, Vorständin des Verbraucherzentrale Bundesverbandes. Unverständlich sei aber, dass sicherheitsrelevante Updates nicht für die gesamte Nutzungsdauer bereitgestellt werden müssen, sondern nur für eine definierte Mindestdauer.
Grundsätzlich begrüßte auch der IT-Wirtschaftsverband Bitkom den Kompromiss, dieser biete auch Unternehmen Klarheit. Die dreijährige Übergangsfrist ist dem Verband jedoch zu kurz, “da Unternehmen ganze Ökosysteme umstellen müssen und dies Zeit in Anspruch nimmt”. Auch der Verband der Elektro- und Digitalindustrie ZVEI findet die Frist zu kurz. Dessen Vorsitzender der Geschäftsführung Wolfgang Weber befürchtet zudem, dass auf Besonderheiten in der Beziehung zwischen Geschäftskunden mit dem Kompromiss zu wenig eingegangen wurde. Er befürchtet Verzögerungen für Komponenten und im Einsatz digitaler Produkte, da diese dann nur unter erschwerten Bedingungen auf den EU-Markt kämen.
Open Source-Entwickler nur teilweise von Regelung betroffen
Nach wie vor bestehe Unsicherheit, ob Open-Source-Software die Anforderungen einhalten müsse, heißt es vom Bitkom. Aus Kommissionskreisen hieß es, eine Regelung stelle sicher, dass den spezifischen Anforderungen entsprochen werde. So sollen etwa Stiftungen, die Open-Source-Software entwickeln, nur eine “Cybersecurity Policy” haben müssen, Hobby-Entwickler nicht betroffen sein.
Die EU-Kommission erhofft sich aber auch, dass die Sicherheit von Open-Source-Software von den Regelungen profitiert: Zum Beispiel, wenn ein Software-Anbieter eine frei zur Verfügung stehende Verschlüsselungsbibliothek nutzt und dabei Probleme entdeckt, die nach den neuen Regeln dann zeitnah an deren Entwickler zurückgespiegelt werden.
quelle: https://www.heise.de/news/Cyber-Resilience-Act-EU-einigt-sich-auf-Vorschriften-fuer-vernetzte-Produkte-9545873.html