Präsidentin Ursula von der Leyen hat in ihrer Rede zur Lage der Europäischen Union im September 2021 einen Vorschlag für einen neuen Rechtsakt zur Cyber-Resilienz vorgelegt. Auf der Grundlage der EU-Cybersicherheitsstrategie von 2020 und der EU-Strategie für eine Sicherheitsunion aus demselben Jahr wird dieser Rechtsakt sicherstellen, dass digitale Produkte, wie drahtlose und drahtgebundene Produkte und Software, für Verbraucher in der gesamten EU sicherer sind.
Cybersicherheit ist eine der obersten Prioritäten der Kommission und ein Eckpfeiler für ein digitales und vernetztes Europa. Die Zunahme der Cyberangriffe während der Coronavirus-Krise hat gezeigt, wie wichtig es ist, Krankenhäuser, Forschungszentren und andere Infrastrukturen zu schützen. Im Interesse der Wettbewerbsfähigkeit der Wirtschaft und Gesellschaft in der EU müssen wir in diesem Bereich entschlossen handeln. Schätzungen zufolge belaufen sich die jährlichen Kosten von Datenschutzverletzungen auf mindestens 10 Mrd. EUR und die jährlichen Kosten böswilliger Versuche zur Störung des Internetverkehrs auf mindestens 65 Mrd. EUR (siehe Bericht über die Folgenabschätzung zur Delegierten Verordnung der Kommission zur Ergänzung der Delegierten Verordnung zur Funkanlagenrichtlinie).
Die heute vorgeschlagenen Maßnahmen stützen sich auf den neuen Rechtsrahmen für EU-Produktvorschriften und werden Folgendes enthalten:
- Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um ihre Cybersicherheit zu gewährleisten;
- grundlegende Anforderungen an die Gestaltung, Entwicklung und Herstellung von Produkten mit digitalen Elementen und Verpflichtungen der Wirtschaftsteilnehmer in Bezug auf diese Produkte;
- grundlegende Anforderungen an die von den Herstellern anzuwendenden Verfahren zur Behebung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus zu gewährleisten, sowie Verpflichtungen der Wirtschaftsteilnehmer hinsichtlich dieser Verfahren. Zudem müssen die Hersteller aktiv ausgenutzte Schwachstellen und Vorfälle melden;
- Vorschriften für die Marktüberwachung und Durchsetzung.
Mit den neuen Vorschriften erhalten die Hersteller mehr Verantwortung, da sie dafür sorgen müssen, dass Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, mit den Sicherheitsanforderungen übereinstimmen. Dies kommt Verbrauchern, Bürgerinnen und Bürgern sowie Unternehmen, die digitale Produkte verwenden, zugute, weil die Sicherheitsmerkmale transparenter werden, das Vertrauen in Produkte mit digitalen Elementen gestärkt wird und Grundrechte, wie das Recht auf Privatsphäre und Datenschutz, besser geschützt werden.
Die vorgeschlagene Verordnung wird für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Es gibt einige Ausnahmen für Produkte, die bereits unter die bestehenden EU-Vorschriften für die Cybersicherheit fallen, wie Medizinprodukte, Luftfahrtprodukte oder Pkw.
Nächste Schritte
Der Entwurf des Gesetzes über Cyberresilienz wird nun vom Europäischen Parlament und dem Rat geprüft. Nach der Verabschiedung haben Wirtschaftsteilnehmer und Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Abweichend davon soll die Meldepflicht der Hersteller in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle bereits ein Jahr ab dem Inkrafttreten gelten, da dafür weniger organisatorische Anpassungen erforderlich sind als für die anderen neuen Verpflichtungen. Die Kommission wird das Cyberresilienzgesetz regelmäßig überprüfen und über seine Funktionsweise Bericht erstatten.
Contexte
In der Cybersicherheitsstrategie vom Dezember 2020 wird vorgeschlagen, die Cybersicherheit in alle Elemente der Lieferkette einzubeziehen und die Tätigkeiten und Ressourcen der EU in den vier Bereichen der Cybersicherheit – Binnenmarkt, Strafverfolgung, Diplomatie und Verteidigung – weiter zu bündeln. Die Strategie baut auf der Mitteilung zur Gestaltung der digitalen Zukunft Europas und der EU-Strategie für eine Sicherheitsunion auf und stützt sich auf eine Reihe von Rechtsakten, Maßnahmen und Initiativen, die die EU umgesetzt hat, um die Cybersicherheitskapazitäten auszubauen und die Cyberresilienz Europas zu stärken.
Das neue Cyberresilienzgesetz wird den bestehenden EU-Rahmen für Cybersicherheit ergänzen, nämlich die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie), auf die sich das Europäische Parlament und der Rat vor Kurzem geeinigt haben, und den EU-Rechtsakt zur Cybersicherheit.
Weitere Informationen
- Pressemitteilung
- Fragen und Antworten: Cyberresilienzgesetz
- Factsheet zum Cyberresilienzgesetz
- Vorschlag für ein Cyberresilienzgesetz
Einzelheiten
- Datum der Veröffentlichung
- 15. September 2022
- Autor
- Vertretung in Belgien