EU plant mehr Cybersicherheit gegen Hackerangriffe auf diese Haushaltsgeräte
Der Berichterstatter des EU-Parlaments für den Cyber Resilience Act Nicola Danti hat einen ersten Berichtsentwurf an die Schattenberichterstatter übersandt.
Insbesondere am Zeitplan, am Pflicht-Updatezeitraum, an den zuständigen Stellen und bei Open Source-Software will Danti Veränderungen gegenüber dem Kommissionsentwurf erreichen.
Diese Analyse liegt IPPEN.MEDIA im Zuge einer Kooperation mit dem Europe.Table Professional Briefing vor – zuerst veröffentlicht hatte ihn Europe.Table am 03. April 2023
Mit dem Cyber Resilience Act will die EU eine Auffangregelung für vernetzte Produkte schaffen, die nicht unter spezifischeres Recht fallen. Im September hatte die Kommission den CRA vorgestellt, nun geht es auch im Parlament voran: Rapporteur Nicola Danti hat den Berichtsentwurf an die Schattenberichterstatter übermittelt.
Laut dem Kommissionsentwurf soll unter anderem eine Mindestgarantie für Softwareupdates eingeführt werden. Hier will der italienische Renew-Politiker Hersteller zur Angabe einer „vernünftigen, erwartbaren Lebensdauer“ eines Produkts verpflichten. Dazu sollen sie auch Nachhaltigkeitsaspekte berücksichtigen. Als Mindestlebensdauer schlagen sowohl die Kommission als auch Danti fünf Jahre vor. In diesem Zeitraum müssen Anbieter cybersicherheitskritische Updates anbieten. Sobald sich das Ende ankündigt, sollen die Produkte beziehungsweise ihre Hersteller die Nutzer aktiv über das Ende des Supportzeitraums informieren.
Dantis Berichtsentwurf sieht aber auch eine Ausnahmeregelung vor. Sollten Produkte eine kürzere Lebensdauererwartung als fünf Jahre aufweisen und der Produktsupport vorher eingestellt werden, müssten die Anbieter den Sourcecode Dritten zur Verfügung stellen. Zugleich sieht Dantis Entwurf hier strenge Regelungen dafür vor, wer diese Dritten sein sollen und unter welchen Bedingungen Zugriff möglich sein soll. Zudem soll diese Pflicht nach fünf Jahren erlöschen.
Newsletter von Table.Media
Erhalten Sie 30 Tage kostenlos Zugang zu weiteren exklusiven Informationen der Table.Media Professional Briefings – das Entscheidende für die Entscheidenden in Wirtschaft, Wissenschaft, Politik, Verwaltung und NGOs.
Open Source soll nicht mehr direkt betroffen sein
Viel Kritik am CRA hatte es aus Reihen von Open Source-Entwicklern gegeben. Diese könnten regelmäßig nicht die CRA-Anforderungen erfüllen. Frei zur Verfügung gestellte Software könne nicht die vorgesehenen und kostenträchtigen Sicherheitsprüfungs-Mechanismen durchlaufen. Hier will Danti nun einen Zwischenweg gehen: Die Prüf- und Updatepflicht soll auf diejenigen übergehen, die Open-Source-Software in ihren kommerziellen Produkten verwenden.
Heimautomationssysteme sollen nach dem Willen des EP-Berichterstatters zusätzlich in die Kategorie extern zu zertifizierender Produkte aufgenommen werden. Eine Selbstzertifizierung durch die Hersteller dieser Systeme würde dann ausscheiden. Stattdessen müsste eine Überprüfung durch Dritte nach Artikel 6 des Kommissionsvorschlages stattfinden. In immer mehr Haushalten sind solche Systeme zu Hause: von intelligenten Thermostaten über Stromspeichersteuerungen bis zur Haushaltsgerätesteuerung.
Bereits heute gibt es mit dem freiwilligen IT-Sicherheitskennzeichen eine verwandte Möglichkeit in Deutschland. Allerdings sind seit 2021 erst 37 Dienstleistungen und Produkte vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert worden. Bislang sind dies ausschließlich Maildienste und Breitbandrouter. Smart Home-Endgeräte wie Fernseher, smarte Gartengeräte und Heimautomationslösungen sollen allerdings laut BSI bald folgen.
Danti will Übergangsfristen weiter verlängern
Der Kommissionsvorschlag sieht eine zweijährige Übergangsfrist nach dem Inkrafttreten des CRA in Artikel 57 vor. ITRE-Rapporteur Danti will nun 40 Monate Übergangsfrist erreichen. Auch bei den Berichtspflichten will Danti die Fristen verlängern: Sie sollen erst 20 statt zwölf Monate nach dem Inkrafttreten wirksam werden. Und schon der Kommissionsvorschlag sah vor, dass dann bereits auf dem Markt befindliche Produkte nicht unter das neue Regime fallen sollen. Würde der Industrieausschuss sich hier durchsetzen, wäre mit einer Verbesserung des IT-Sicherheitsniveaus durch den CRA wohl frühestens im Jahr 2028 zu rechnen, und auch dann nur für neue Produkte.
Einen besonderen Schwerpunkt legt Danti auf das Durchsetzungsregime: Er möchte eine klare Zuständigkeit für alle Reporting-Pflichten für Sicherheitslücken und Vorfälle. Damit der CRA wirksam wäre, will er eine One-Stop-Lösung: „Der Berichterstatter glaubt, dass die beste Institution, um diese Rolle wahrzunehmen, ENISA ist“, heißt es im Draft Report. Dafür soll die Netzwerk- und Informationssicherheitsbehörde mit zusätzlichen Stellen und Kompetenzen ausgestattet werden.
Damit rührt der Berichterstatter allerdings an einem alten Streit. Die Cybersicherheit wird in vielen Mitgliedstaaten vor allem als Teil der nationalen Sicherheit betrachtet. Entsprechend ist die Kompetenz nach wie vor primär national verteilt und ENISA hat primär koordinierende Funktionen. Derzeit jedenfalls sehen Experten ENISA noch nicht in der Lage, den erwartbaren großen Aufwand für die Durchsetzung des CRA zu gewährleisten.
Danti sagt China – ohne China zu sagen
Was dem Berichterstatter ausgesprochen wichtig ist: Mit seinem Amendment 83 will Danti eine Grundlage dafür schaffen, dass Cybersicherheits-Anforderungen mit Drittstaaten harmonisiert werden können. Danti will die Kommission auffordern, gegenseitige Anerkennungsvereinbarungen mit „like-minded“ Drittstaaten zu schaffen.
Zudem sollten internationale Standards daraufhin geprüft werden, ob sie „das gleiche Schutzniveau wie die in dieser Verordnung vorgeschlagenen“ aufwiesen. Diese könnten für die geplanten, harmonisierten europäischen Standards referenziert werden, hofft der Berichterstatter. Allerdings wird immer wieder kritisiert, dass Akteure aus China aus Staat, staatsgelenkter Privatwirtschaft und nicht ausreichend staatsferner Wissenschaft in den einschlägigen Standardisierungsgremien zunehmend mächtig würden.
Die Abstimmung im Rat zum Cyber Resilience Act läuft derzeit, in der Bundesregierung ist das Bundesinnenministerium federführend, dem auch das BSI untersteht. Beteiligt sind zudem unter anderem auch das BMWK und das BMUV. Wann eine Einigung zum CRA möglich ist, ist derzeit sowohl in Rat wie Parlament noch offen.
Von Falk Steiner