Cyberresilienzgesetz Schutz vor Cyberkriminalität dank dem Cyber Resilience Act Autor: Hannah Yeboah

Die EU hat das Cyberresilienzgesetz entworfen, um für mehr Schutz vor unzureichenden IT-Sicherheitsfunktionen zu sorgen. Erfahrt hier, welche Veränderungen mit dem Gesetz einhergehen sollen, wie euer Unternehmen von dem neuen Beschluss profitieren kann und was es darüber hinaus zu beachten gibt.

Themen in diesem Beitrag

Leistungen Erstklassige Absicherung ab 83,- EUR mtl.

Bestellung von Fachkraft für Arbeitssicherheit und Betriebsarzt
Erstellung von Gefährdungsbeurteilungen, Unterweisungen und vieles mehr
Dauerhafte Preisgarantie

Jetzt Angebot erhalten

Mit welchen Sicherheitsproblemen ist die IT konfrontiert?

Sowohl Hardware- als auch Softwareprodukte sind zunehmend Gegenstand von Cyberangriffen. Bisher fehlte es an einer Verpflichtung von Herstellern zur Gewährleistung von IT-Sicherheit. Das bedeutete, dass Nutzer:innen im digitalen Alltag Risiken ausgesetzt waren, derer sie sich nicht bewusst waren.

Ramona Pop, Vorsitzende des Bundesverbandes der Verbraucherzentrale (vzbv), beschreibt diese Risiken und Gefahren als unzumutbar. Unter anderem führt sie das Beispiel der digitalen Türschlösser auf, welche mit wenig Aufwand gehackt werden können. Betroffen seien auch Produkte wie Autos, Haushaltsgeräte, Handys und selbstverständlich Computer, so Binnenmarktkommissar Thierry Breton. Die verbreiteten Schwachstellen gepaart mit unzureichenden oder uneinheitlichen Sicherheitsupdates zu deren Behebung sind Probleme, welche digitale Produkte bislang mit sich bringen.

Häufig fehlt es Nutzer:innen an dem nötigen Wissen und Zugängen zu Informationen. Das erschwert es, Produkte mit angemessenen Cybersicherheitseigenschaften auszuwählen oder diese sicher zu nutzen. Ramona Pop kritisiert, dass diese Verantwortung auf Verbraucher:innen abgewälzt wird.

Immense Kosten sind die Folgen fehlender Cybersicherheit. © Shutterstock, Tero Vesalainen — Fehlende Cybersicherheit bringt jährlich immense Kosten mit sich. © Shutterstock, Tero Vesalainen

Was sind die Folgen dieser Sicherheitslücken?

Derzeit sind keine EU-Rechtsvorschriften vorhanden, die das Thema Cybersicherheit von nicht eingebetteter Software aufgreifen. Gerade auf die Schwachstellen an diesen Produkten zielen Hackerangriffe jedoch ab, was erhebliche gesellschaftliche und wirtschaftliche Kosten verursacht. Allein durch Ransomware-Angriffe, welche alle 11 Sekunden stattfinden, wurden im Jahr 2021 weltweit Kosten in Höhe von 20 Milliarden Euro verursacht. Die weltweiten jährlichen Kosten der Cyberkriminalität betrugen in dem Jahr sogar 5,5 Billionen Euro.

Um diese Probleme einzudämmen, hat die EU den Beschluss des Cyberresilienzgesetzes, auch Cyber Resilience Act, entworfen.

Nutzer:innen sollen die Möglichkeit bekommen, digitale Produkte sicher nutzen zu können. — Digitale Produkte müssen cybersicher sein und ihre Verwendung den Nutzer:innen erleichtert werden.

Was ist der Cyber Resilience Act und worauf zielt er ab?

Beim Cyber Resilience Act handelt es sich um einen Vorschlag der EU für eine Verordnung über Cybersicherheitsanforderungen für digitale Produkte. Die Cybersicherheitsvorschriften sollen gestärkt werden, damit sichere Hardware- und Softwareprodukte gewährleistet werden können. Verbraucher:innen müssen sich nach dem Cyber Resilience Act darauf verlassen können, dass die Produkte im europäischen Binnenmarkt cybersicher sind. Sie sollen also zukünftig mit einer “integrierten Cybersicherheit“ auf den Markt gebracht werden.

Der Cyber Resilience Act verfolgt zwei Hauptziele und vier spezifische Ziele.

Hauptziele

Die Produkte sollen zum einen bestimmte Anforderungen an Gestaltung, Entwicklung und Herstellung erfüllen müssen und Wirtschaftsteilnehmende sollen dazu verpflichtet werden, die Cybersicherheit über den gesamten Produktlebenszyklus aufrechtzuerhalten. Zudem müssen Bedingungen geschaffen werden, die es Nutzer:innen ermöglichen, bei der Auswahl und Nutzung digitaler Elemente die Cybersicherheit zu berücksichtigen.

Spezifische Ziele

Es soll sichergestellt werden, dass Hersteller bereits in der Entwurfs- und Entwicklungsphase die Sicherheit ihrer digitalen Produkte verbessern und diese Änderungen über den gesamten Produktlebenszyklus aufrechterhalten.
Es soll ein Cyber-Sicherheitsrahmen gewährleistet werden, der es Herstellern von Software und Hardware erleichtert, die Vorschriften einzuhalten.
Die Transparenz der Sicherheitseigenschaften von digitalen Produkten soll verbessert werden.
Unternehmen und Verbraucher:innen sollen die Möglichkeit erhalten, digitale Produkte sicher zu nutzen.

Digitale Produkte sollen bereits ab dem ersten Verkaufstag frei von Sicherheitslücken sein. — Bereits ab dem ersten Verkaufstag sollen digitale Produkte frei von Sicherheitslücken sein.

Welche konkreten Forderungen werden an die Hersteller gestellt?

Sowohl in der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Lieferungs- und Wartungsphase soll die Cybersicherheit berücksichtigt werden. Konkret bedeutet dies beispielsweise, dass ein Schwachstellen-Management eingeführt und Vorschriften für die Marktüberwachung und Durchsetzung umgesetzt werden müssen.
Hersteller müssen ab dem Verkauf des Produktes während der gesamten erwarteten Produktlebensdauer bzw. über einen Zeitraum von fünf Jahren sicherstellen, dass etwaige Schwachstellen beseitigt werden.
Für die gesamte Laufzeit eines Produkts müssen Updates garantiert werden.
Es müssen klare und verständliche Gebrauchsanweisungen entworfen werden.
Mindestens fünf Jahre lang müssen von den Herstellern Sicherheitsupdates zur Verfügung gestellt werden.
Hersteller müssen Schwachstellen und Vorfälle melden, die sie aktiv ausgenutzt haben.

Welcher Zeitrahmen ist für die Umsetzung angesetzt?

Die Wirtschaftsteilnehmer und Mitgliedstaaten werden nach Verabschiedung des Gesetzes zwei Jahre Zeit haben, um sich auf die neuen Anforderungen einzustellen. Die Pflicht, Schwachstellen zu melden, wird jedoch schon nach einem Jahr gelten.

Das Gesetz trägt dazu bei, dass die gesamte Lieferkette in der EU gestärkt wird. © Shutterstock, asharkyu — Mit dem Gesetz kann die Sicherheit der gesamten Lieferkette in der EU gestärkt werden. © Shutterstock, asharkyu

Welche Vor- und Nachteile bringen die Veränderungen mit sich?

Aufgrund der verschärften Vorgaben kann es in Zukunft zu Verzögerungen in der EU beim Einsatz digitaler Produkte kommen. Ein weiterer Nachteil ist die Bedrohung für freie Software. Nicht zu vergessen ist nämlich, dass an ehrenamtliche Programmierer dieselben Anforderungen gestellt werden wie an Unternehmen. Expert:innen kritisieren daneben auch die Umsetzungsfrist von 24 Monaten. Diese würden Unternehmen bei deutlich längeren Entwicklungszyklen vor große Herausforderungen stellen.

Dadurch, dass das Cybersicherheitsgesetz auf EU-Normen beruht, wird seine Umsetzung jedoch um einiges erleichtert und außerdem für die EU-Cybersicherheitsbranche auf den globalen Märkten von Vorteil sein. Darüber hinaus ergänzt das Gesetz die europäischen Sicherheitsvorschriften. Damit stärkt es die Sicherheit der gesamten Lieferkette. Dass etablierte Prozesse konform gemacht werden, kann zudem die Rolle der europäischen Normung stärken.

Bestens geschützt mit der Arbeitssicherheit Sofort

Cybersicherheit ist eine wichtige Angelegenheit, wenn es um den Schutz eures Unternehmens geht. Wir von der Arbeitssicherheit Sofort unterstützen euch bei allen Themen rund um den Arbeitsschutz. Holt euch dafür ganz einfach ein unverbindliches Angebot bei uns ein. Bei uns erhaltet ihr neben der gesetzlich vorgeschriebenen Gefährdungsbeurteilung wichtige Unterweisungen. Außerdem stehen wir euch bei der Bereitstellung von Betriebsbeauftragten wie Betriebsärzt:innen und einer Fachkraft für Arbeitssicherheit zur Seite.