18
Jun
2021

Update zu Cybersicherheitsanforderungen vernetzter Produkte

Hintergrund

Bis 2024 werden voraussichtich 22,3 Milliarden Geräte weltweit mit dem Internet verbunden sein.[1] Mit der rasant zunehmenden Zahl vernetzter Geräte steigen auch die Cybersicherheitsrisiken.

Zur Eindämmung dieser Risiken ist im Jahr 2019 der EU Rechtsakt zur Cybersicherheit in Kraft getreten. Dieser sieht unter anderem einen europäischen Zertifizierungsrahmen für die Cybersicherheit von Informations- und Kommunikationstechnik („IKT“) vor. Sofern nichts anderes bestimmt ist, sind die Ausstellung einer EU-Konformitätserklärung oder die Cybersicherheitszertifizierung bisher freiwillig angedacht (vgl. Art. 53 Abs. 4 und Art. 56 Abs. 2 des Rechtsakts zur Cybersicherheit).

Mit Blick auf die aktuellen Entwicklungen könnte es zukünftig allerdings auch verpflichtende Vorgaben für Hersteller vernetzter Produkte geben. Erste Ansätze zeichnen sich schon ab im Zusammenhang mit der Revision der Funkanlagenrichtline (Radio Equipment Directive, „RED“ 2014/53/EU).

Aktuelle Entwicklungen auf Unionsebene

Im Dezember 2020 hat die Europäische Kommission die „Cybersicherheitsstrategie der EU für die digitale Dekade“ vorgestellt.[2] In der diesbezüglichen gemeinsamen Mitteilung der Kommission und des Hohen Vertreters der Union für Außen- und Sicherheitspolitik an das Europäische Parlament und den Rat vom 16. Dezember 2020 sind auch Erwägungen zu Regulierungsmaßnahmen für ein „Internet der sicheren Dinge“ als Teil des Handlungsbereichs „Resilienz, technologische Souveränität und Führungsrolle“ enthalten.

Dort heißt es: „Die Kommission wird ein umfassendes Herangehen in Erwägung ziehen, möglicherweise auch neue horizontale Vorschriften zur Verbesserung der Cybersicherheit aller vernetzten Produkte und zugehörigen Dienste im Binnenmarkt. Solche Vorschriften könnten eine neue Sorgfaltspflicht für Hersteller vernetzter Geräte umfassen, damit Software-Schwachstellen beseitigt, Software laufend gepflegt und Sicherheitsaktualisierungen durchgeführt werden, aber auch damit personenbezogene und sonstige sensible Daten am Ende der Lebensdauer solcher Geräte sicher gelöscht werden.“[3]

Die wesentliche Bedeutung von Cybersicherheit für den Aufbau eines widerstandsfähigen, grünen und digitalen Europas wird noch einmal in dem am 22. März 2021 angenommenen Entwurf von Schlussfolgerungen des Rates zur Cybersicherheitsstrategie der EU für die digitale Dekade vom 9. März 2021 (6722/21) und die Frage nach der Entwicklung horizontaler und damit bindender Rechtsvorschriften hervorgehoben.[4]

Der Ausschuss für Industrie, Forschung und Energie hat in einer Anfrage zur mündlichen Beantwortung an die Kommission (O-000037/2021) vom 31. Mai 2021 um eine Konkretisierung ersucht, wobei die erste Frage auf die Schaffung eines Rechtsrahmens zur Cybersicherheit vernetzter Produkte und damit verbundener Dienstleistungen zielt, einschließlich Lieferketten. Die Kommission hat bis zum 1. September 2021 Zeit, die an sie gestellten Fragen zu beantworten.

Auch in einer jüngst mit 670 Stimmen gegen 4 Stimmen bei 12 Enthaltungen angenommenen[5] Entschließung des Europäischen Parlaments vom 10. Juni 2021 zu der Cybersicherheitsstrategie der EU für die digitale Dekade wird eine Harmonisierung der nationalen Rechtsvorschriften unter Berücksichtigung der bestehenden Rechtsvorschriften gefordert, um eine rechtliche Fragmentierung des Binnenmarkts zu vermeiden. Mit den „bestehenden Rechtsvorschriften“ sind dabei der Rechtsakt zur Cybersicherheit, der New Legislative Framework („NLF“) und die Verordnung zur Normung gemeint. Das Europäische Parlament „fordert die Kommission auf, die Notwendigkeit eines Vorschlags für eine horizontale Verordnung zu prüfen, mit der bis 2023 Cybersicherheitsanforderungen für Anwendungen, Software, eingebettete Software und Betriebssysteme eingeführt werden.“[6]

Mögliche Neuerungen und Auswirkungen

Mit konkreten Vorschlägen zur Ausgestaltung horizontaler Vorschriften hält sich die Europäische Kommission bislang noch bedeckt. Wie die Einführung verpflichtender horizontaler Cybersicherheitsanforderungen für vernetze Produkte unter Berücksichtigung der oben genannten „bestehenden Rechtsvorschriften“ aussehen könnte, führen der Bundesverband der Deutschen Industrie e. V. („BDI“), das Deutsche Institut für Normung e. V. („DIN“) und die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik („DKE“) bereits in einem gemeinsamen Positionspapier vom 1. Februar 2021 mit dem Titel „Europaweite Cyberregulierung“ aus. Danach sollten die grundlegenden Cybersicherheitsanforderungen nach den Grundsätzen des NLF gesetzlich festgelegt und die Anforderungen dann durch harmonisierte europäische Normen konkretisiert werden. DIN und DKE haben hierfür in Vorbereitung darauf Ende Mai 2021 ein DIN DKE Gemeinschaftsgremium „Cybersecurity“ gegründet.[7] Die Cybersicherheitsanforderungen ließen sich nach Auffassung von BDI, DIN und DKE mit den Zertifizierungsschemata des Rechtsakts zur Cybersicherheit verknüpfen, da Art. 54 Abs. 3 des Rechtsakts zur Cybersicherheit eine taugliche Rechtsgrundlage biete.[8] Würde dies so umgesetzt, wären Hersteller vernetzter Produkte in Zukunft verpflichtet, die Konformität ihres Produkts auch bezogen auf Cybersicherheitsanforderungen zu erklären, um eine CE-Kennzeichnung anbringen zu dürfen.

Ausblick

Der Ball liegt derzeit bei der Europäischen Kommission. Verpflichtende Vorgaben für Hersteller vernetzter Produkte könnten dabei schneller kommen als gedacht: Die Europäische Kommission könnte schon bald Änderungen in Zusammenhang mit produktgruppenspezifischen Rechtsvorschriften – etwa der RED  – auf den Weg bringen.[9] Ein erster Entwurf eines entsprechenden Binnenmarktrechtsakts wird spätestens im vierten Quartal 2021 erwartet.[10]

Zudem hat die Europäische Kommission, wie oben dargestellt, zu prüfen, ob sie generell einen Entwurf einer „Cybersicherheits-Verordnung“ für erforderlich hält.

[1] https://www.consilium.europa.eu/de/policies/cybersecurity/.

[2] Bereits in den Schlussfolgerungen des Rates zur Cybersicherheit vernetzter Geräte vom 2. Dezember 2020 (13629/20) wird auf Seite 4 unterstrichen, „wie wichtig es ist zu bewerten, ob langfristig horizontale Rechtsvorschriften, in denen auch die Bedingungen für das Inverkehrbringen festgelegt werden, notwendig sind, um alle einschlägigen Aspekte der Cybersicherheit vernetzter Geräte, wie Verfügbarkeit, Integrität und Vertraulichkeit, anzugehen„.

[3] Gemeinsame Mitteilung der Kommission und des Hohen Vertreters der Union für Außen- und Sicherheitspolitik an das Europäische Parlament und den Rat vom 16. Dezember 2020 mit dem Titel „Die Cybersicherheitsstrategie der EU für die digitale Dekade“, S. 11.

[4] https://www.consilium.europa.eu/de/press/press-releases/2021/03/22/cybersecurity-council-adopts-conclusions-on-the-eu-s-cybersecurity-strategy/.

[5] https://www.europarl.europa.eu/news/de/press-room/20210604IPR05531/parlament-fordert-verstarkten-eu-einsatz-gegen-cyber-bedrohungen.

[6] Entschließung des Europäischen Parlaments vom 10. Juni 2021 zu der Cybersicherheitsstrategie der EU für die digitale Dekade, S. 5.

[7] https://www.din.de/de/din-und-seine-partner/presse/mitteilungen/cybersecurity-din-und-dke-gruenden-gemeinschaftsgremium-799358.

[8] BDI/DIN/DKE, „Europaweite Cyberregulierung“, 1. Februar 2021, S. 7.

[9] https://www.din.de/de/din-und-seine-partner/presse/mitteilungen/cybersecurity-din-und-dke-gruenden-gemeinschaftsgremium-799358; https://www.europarl.europa.eu/doceo/document/E-9-2020-003364-ASW_EN.pdf; https://www.cen.eu/news/brief-news/pages/news-2021-007.aspx.

[10] BDI/DIN/DKE, „Europaweite Cyberregulierung“, 1. Februar 2021, S. 3.