Die Hauptorgane der EU erzielten am Donnerstagabend (30. November) eine politische Einigung über das Gesetz über Cyberresilienz (CRA). Die Differenzen in den letzten offenen Fragen konnten überwunden werden.
Das Gesetz über Cyberresilienz (CRA) ist ein Gesetzesvorschlag zur Einführung von Sicherheitsanforderungen für vernetzte Geräte, von elektronischem Spielzeug bis hin zu Industriemaschinen. Die EU-Kommission, das Parlament und der Rat der EU einigten sich bei einem Trilog-Treffen auf die endgültige Fassung des Gesetzes.
Wie Euractiv vermutet hatte, war die Vereinbarung auf technischer Ebene weitgehend ausgearbeitet und viele Aspekte des Vorschlags wurden während des politischen Treffens gebilligt. Nach intensiven Diskussionen konnten die EU-Verhandlungsführer auch die letzten politischen Hürden nehmen.
„Das Gesetz über Cyberresilienz wird die Cybersicherheit von vernetzten Geräten verbessern, indem es Schwachstellen in Hardware und Software beseitigt […]. Das Parlament schützt die Lieferketten, indem es sicherstellt, dass Schlüsselprodukte wie Router und Antivirenprogramme als Priorität für die Cybersicherheit eingestuft werden“, sagte die führende Europaabgeordnete Nicola Danti gegenüber Euractiv.
Umgang mit Schwachstellen
Hersteller von vernetzten Geräten werden nicht mehr in der Lage sein, Produkte auf den Markt zu bringen, wenn sie von erheblichen Sicherheitslücken wissen, die gehackt werden können. Stattdessen müssen sie sich um diese potenziellen Schwachstellen innerhalb eines festgelegten Unterstützungszeitraums kümmern, sobald sie von ihnen erfahren.
Sobald die Hersteller von einem Sicherheitsvorfall oder einer aktiv ausgenutzten Schwachstelle in Kenntnis gesetzt werden, müssen sie dies melden und die zuständigen Behörden über ihre Maßnahmen zur Begrenzung des Sicherheitsrisikos informieren.
Aktiv ausgenutzte Schwachstellen sind eine äußerst heikle Art von Cyber-Bedrohungen, da der Zugangspunkt für Hacker noch gepatcht werden muss. Aus diesem Grund war die Frage, wer für den Umgang mit dieser Cyber-Schwachstelle zuständig ist, ein Streitpunkt bei den Verhandlungen.
Der EU-Ministerrat übertrug diese Aufgabe von der EU-Cybersicherheitsagentur ENISA auf die nationalen Computer Security Incident Response Teams (CSIRTs), die eine ähnliche Aufgabe im Rahmen der überarbeiteten Richtlinie über Netze und Informationssysteme (NIS2) haben.
Gleichzeitig bestand das Europäische Parlament darauf, ENISA auf dem Laufenden zu halten und den nationalen Behörden nicht zu viel Ermessensspielraum bei der Aufbewahrung dieser hochsensiblen Informationen zu geben.
Eine Kompromisslösung wurde bei der Meldepflicht gefunden. Die Hersteller übermitteln die Informationen gleichzeitig über eine zentrale Meldeplattform an das zuständige CSIRT und ENISA. Die EU-Mitgliedstaaten drängten jedoch auf die Möglichkeit, die an die ENISA übermittelten Informationen aus Gründen der Cybersicherheit einzuschränken.
Die Bedingungen für solche Beschränkungen waren Gegenstand intensiver Diskussionen und führten zu ziemlich strengen Bedingungen. Das CSIRT wird die Möglichkeit haben, die Meldung einzuschränken, wenn das betreffende Gerät hauptsächlich auf dem heimischen Markt vertreten ist und kein Risiko für andere EU-Staaten birgt.
Darüber hinaus sind die nationalen Behörden nicht verpflichtet, Informationen weiterzugeben, die sie zum Schutz wesentlicher Sicherheitsinteressen für notwendig erachten. Dieser Vorbehalt steht im Einklang mit den EU-Verträgen.
Die dritte Bedingung gilt, wenn der Hersteller selbst eine unmittelbare Gefahr im Falle einer Weitergabe sieht und dies in der Meldung angibt.
Im Gegenzug haben die Parlamentarier erreicht, dass ENISA weiterhin einige Informationen erhält, um eventuelle Systemrisiken für den Binnenmarkt zu überwachen. Die EU-Agentur soll über den Hersteller und das betroffene Produkt informiert werden, zusammen mit einigen allgemeinen Informationen über die Sicherheitslücke.
Ein weiterer Punkt, auf den die Parlamentarier drängten, war die Formulierung, dass ENISA mit ausreichenden Ressourcen ausgestattet werden soll, um die neuen Aufgaben zu bewältigen. Dieser Punkt wurde zwar nicht in das Gesetz aufgenommen, er wird aber Teil einer gemeinsamen Erklärung der EU-Institutionen sein.
Open-Source-Software
Ein weiterer Verhandlungspunkt ist der Umgang mit Open-Source-Software, die in kommerzielle Produkte integriert ist. Hier wurde eine Einigung auf technischer Ebene erzielt und auf politischer Ebene gebilligt.
Die Idee war, nur Softwares zu erfassen, die im Rahmen kommerzieller Aktivitäten entwickelt wurde. Außerdem sollten die Regeln für die Verwalter von Open-Source-Software hinsichtlich der Dokumentation und des Umgangs mit Sicherheitslücken weniger streng sein.
In der endgültigen Fassung des Textes, die Euractiv einsehen konnte, wurden gemeinnützige Organisationen, die Open-Source-Software auf dem Markt verkaufen, aber alle Einnahmen in gemeinnützige Aktivitäten reinvestieren, ebenfalls vom Anwendungsbereich ausgeschlossen.
Ausnahme für die nationale Sicherheit
Die Mitgliedstaaten haben erreicht, dass Geräte, die ausschließlich zu Zwecken der nationalen Sicherheit oder Verteidigung entwickelt oder verändert wurden, vom Anwendungsbereich der Verordnung ausgenommen sind.
Sekundäres Recht
Eine immer wiederkehrende Diskussion bei der EU-Gesetzgebung ist die Art der Sekundärgesetzgebung, da bei delegierten Rechtsakten das Parlament beteiligt ist, was bei Durchführungsrechtsakten nicht der Fall ist.
Die Definition des Förderzeitraums wird in einem delegierten Rechtsakt detailliert festgelegt, während die Definition für spezielle Produktkategorien in einem Durchführungsrechtsakt erfolgt.
Zuweisung der Einnahmen aus Sanktionen
Das EU-Parlament drängte darauf, eine Formulierung einzuführen, die verlangt, dass die Einnahmen durch Sanktionen im Rahmen dieser Gesetzgebung in Aktivitäten zum Aufbau von Cybersicherheitskapazitäten reinvestiert werden müssen. Dieser Punkt hat es nicht in den Gesetzestext geschafft, aber es wird einen Verweis im einleitenden Text des Gesetzes geben.
Quelle : Euractiv