Kategorien
CE-Kennzeichnung

EU-Kommission plant Cyberresilienzgesetz

Die Risiken und Gefahren durch Cyberangriffe für die Wirtschaft und die Gesellschaft sind in den letzten Jahren immer stärker in das Bewusstsein der Wirtschaftsakteure und Politiker vorgedrungen. Aktuelle Beispiele aus dem Jahr 2022 sind z.B. die Cyberattacke auf den Traktorenhersteller Fendt im Mai oder die Probleme der IHKs im Sommer 2022, als für Tage die Websites der IHK offline gingen und die Mitarbeitenden weder telefonisch noch per E-Mail erreichbar waren. Verschiedene interne und externe Software-Anwendungen der IHK funktionierten nicht mehr. Ein größerer Schaden konnte aber durch das rechtzeitige Herunterfahren der Systeme vermieden werden.

Verordnung zur Cybersicherheit geplant

Laut EU-Kommission gibt es alle 11 Sekunden eine Ransomware-Attacke. Und allein solche Ransomware-Attacken verursachten weltweit geschätzte Kosten in Höhe von 20 Milliarden Euro im Jahr 2021. Dem will die EU-Kommission nun mit einem Cyberresilienzgesetz entgegentreten – eigentlich kein „Gesetz“, sondern ein Vorschlag für eine Verordnung:

„… on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020)“.

(https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act)

Die Regelungen sollen dabei in die Systematik der Harmonisierungsrechtsvorschriften (CE-Vorschriften) eingefügt werden, d.h. die Vorschrift definiert wesentliche Anforderungen für Hersteller und Entwickler von Produkten mit digitalen Elementen. Diese decken sowohl Hardware als auch Software ab. Die Verordnung soll dafür sorgen, dass drahtgebundene und drahtlos mit dem Internet verbundene Produkte und Software, die in der EU in Verkehr gebracht werden, sicherer sind und dass die Hersteller während des gesamten Lebenszyklus eines Produkts für seine Cybersicherheit verantwortlich bleiben. Die Konformität der Produkte wird dann mit einem CE-Kennzeichen zum Ausdruck gebracht.

Zwei Probleme im Fokus

Zum Inhalt der Regelungen stellt die EU-Kommission in einem Fact-Sheet zum Cyberresilienzgesetz (https://ec.europa.eu/commission/presscorner/detail/de/QANDA_22_5375) heraus, dass sich Cyberangriffe innerhalb von Minuten über die Grenzen des Binnenmarkts hinweg verbreiten können. Sie will deshalb zwei Probleme angehen:

Zum einen geht es grundsätzlich um das zu geringe Cybersicherheitsniveau vieler Produkte und vor allem um die Tatsache, dass zahlreiche Hersteller keine Updates bereitstellen, um Schwachstellen zu beheben. Zwar leidet der Ruf der Hersteller von Produkten mit digitalen Elementen bisweilen, wenn ihre Produkte nicht sicher sind, die Kosten für Schwachstellen werden aber in erster Linie von den gewerblichen Nutzern und den Verbrauchern getragen. Deshalb haben Hersteller kaum Anreize, in die sichere Konzeption und Entwicklung zu investieren und Sicherheitsupdates bereitzustellen.

Zum anderen verfügen Unternehmen und Verbraucher oftmals nicht über ausreichende und genaue Informationen für die Auswahl sicherer Produkte und wissen oft nicht, wie sie sichergehen können, dass die von ihnen gekauften Produkte auch sicher eingerichtet sind.

Mit den neuen Vorschriften werden diese beiden Aspekte angegangen, indem das Problem der fehlenden Updates und der mangelnden Bereitstellung aktueller Informationen für die Kunden beseitigt wird.

Über die weiteren Beratungen zu dieser neuen CE-Vorschrift werden wir Sie natürlich auf dem Laufenden halten.

Sie haben eine Frage an einen erfahrenen CE-Berater?

Senden Sie uns Ihre Anfrage. Im Gespräch mit Ihnen finden wir den für Sie optimalen Berater. Die Vereinbarungen mit Ihnen sind individuell auf Ihre Aufgabenstellung zugeschnitten und können von einem beratenden Telefongespräch bis hin zu einer mehrtägigen Begleitung in Ihrem Unternehmen und der vollständigen Durchführung der CE-Kennzeichnung reichen. Die Beratungskosten richten sich nach Art und Umfang Ihrer Anforderung.

Individuelle Beratung anfordern