Eine neue Gesetzesinitiative, der sog. Cyber Resilience Act, wurde von der EU-Kommission erlassen, die vor allem mit der zunehmenden Cyberkriminalität und den damit verbundenen Bedrohungen zusammenhängt. Konkretisiert wurde dabei vor allem eine Pflicht auf europäischer Ebene, welche sicherstellen soll, dass in Zukunft nur noch hohe standardmäßige IT-Produkte für Cybersicherheit produziert werden und diese anschließend veröffentlicht werden. Wir klären auf.
Die Zahlen
Die Zahlen sind diesbezüglich deutlich, denn laut der Europäischen Union findet alle 11 Sekunden ein Ransomware-Angriff, also ein Hackerangriff, statt. Dabei scannt die Ransomware das Netzwerk und den lokalen Speicher nach etwaigen kritischen und nicht geschützten Dateien und verschlüsselt diese im Anschluss. Dabei werden immense Summen an Schaden verursacht. Vor allem im Jahre 2021 sind ca. 20 Milliarden Euro als Schadenssumme entstanden. Insgesamt werden weltweit 5,5 Billiarden Euro pro Jahr aufgewendet, um die Cyberkriminalität zu bekämpfen. Mit der stetig steigenden Digitalisierung steigen somit natürlich auch die Zahlen der Cyberangriffe; denn immer mehr spielt sich online ab. Als Konterpart müssen Unternehmen sowie auch Privatpersonen, die genauso von den Cyberattacken betroffen sind, auf bestimmte Programme zurückgreifen, welche der Cybersicherheit dienen. Nun reagierte auch die EU auf diese immensen Zahlen und hat deswegen eine Gesetzesinitiative erlassen, die zu einer stärkeren Cybersicherheit beitragen soll. Es soll zudem in der gesamten EU vereinheitlicht werden. Grund dafür war vor allem auch, dass auf die meisten Hardware- und Softwareprodukte keine einheitlichen EU-Rechtsvorschriften momentan anwendbar sind, was zu einer starken Rechtsunsicherheit führt.
Bei dem Entwurf des neuen Cyber Resilience Act wurde diesbezüglich erstmals Rechtssicherheit geschaffen und die Maßnahmen der Cybersicherheit somit gestärkt.
Was beinhaltet das neue Gesetz des Cyber Resilience Act?
- Um welche Produkte handelt es sich / welche Produkte sind betroffen?
Betroffen von dem neuen Gesetz des Cyber Resilience Act sind all solche Produkte, die digitale Elemente beinhalten und welche dabei auf dem europäischen Binnenmarkt veräußert werden. Von diesen Produkten ist Software, die als Dienstleistung zur Verfügung gestellt wird, ausgenommen. Wichtig zu wissen ist außerdem auch, dass etwaige Cloud-Anbieter sowie Erbringer von Gesundheitsdienstleistungen und ähnliche Dienstleister unter die NIS2-Richtlinie fallen. Die Anforderungen an diese Richtlinie stehen den Anforderungen an den Cyber Resilience Act gleich.
- Was gilt es zu beachten?
Zu beachten ist dabei, dass vor allem an die Vertreiber, Importeure, Händler etc. von IT-Hard- und Software erhöhte Anforderungen an etwaige Sicherheitspflichten gestellt werden. Die Sicherheitsanforderungen belaufen sich diesbezüglich darauf, dass anhand einer „Security by Design“ die Sicherheit digitaler Komponenten, etwa der IoT-Geräte (IoT: Internet of Things), von Anfang an etabliert werden kann. Zusätzlich sollen die Verbraucher weiterhin geschützt werden, indem diese über vorherrschende Sicherheitsrisiken transparent informiert werden.
Unterteilung der Produkte in drei Sicherheitsklassen
Zusätzlich werden die Produkte in drei Kategorien unterteilt: diesbezüglich werden hinsichtlich der kritischen Kategorien zwischen der ersten und der zweiten Klasse unterschieden. Unter die Standardklasse werden sich in Zukunft die meisten Produkte einordnen lassen.
Ordentliches Gesetzgebungsverfahren
Der Cyber Resilience Act ist noch lange keine Wirklichkeit, denn bis dahin muss noch viel passieren. Die Kommission hat das Gesetz erst einmal vorgeschlagen, das von dem Europäischen Parlament und dem Rat nun genehmigt werden muss. Dies gilt es abzuwarten.
Bildquelle: torstensimon_5840348_auf pixabay