Vorschläge für herstellerseitige Cybersicherheits- und Updatepflichten
Neue EU-Vorgaben zur Cybersicherheit vernetzter Produkte

Zur Stärkung der Cybersicherheit von Produkten mit digitalen Elementen hat die EU-Kommission am 15. September 2022 ein Gesetz über Cyberresilienz vorgelegt. Der Verordnungsvorschlag beinhaltet herstellerseitige Pflichten für die Cybersicherheit ihrer Produkte. Als Endverbraucher könnten kommunale Unternehmen hiervon maßgeblich profitieren.

05.10.22

Durch die Zunahme von Cyber-Attacken rückt der Bedarf an zuverlässigen Sicherheitsstandards stärker in den Fokus. Nachdem die EU mit der NIS 2-Richtlinie bereits umfangreiche Cybersicherheitspflichten für eine große Zahl von Unternehmen geschaffen hat, bringt die EU-Kommission nun das Gesetz über Cyberresilienz (Cyber Resilience Act, CRA) auf den Weg, um bei ausgelieferten Produkten selbst für Sicherheit zu sorgen.

Von den neu vorgesehenen Pflichten wären primär Hersteller, Händler und Importeure von sogenannten Produkten mit digitalen Elementen betroffen. Konkret enthält der Gesetzesvorschlag verschiedene Cybersicherheitsanforderungen. So würde etwa die Verpflichtung zur Lieferung von Produkten ohne bekannte Schwachstellen festgeschrieben und die von Werk aus konfigurierte Sicherheitseinstellung der Produkte festgelegt. Ferner werden Vorgaben für autorisierte Zugänge, Verschlüsselungen zur Sicherung vertraulicher Daten und Schutzmaßnahmen gegen verteilte Netzwerkangriffe (DoS-Attacken) vorgeschlagen.

Dabei verfolgt die EU-Kommission mit ihrem Verordnungsvorschlag einen Security-by-Design-Ansatz, wonach Hersteller dazu verpflichtet wären, Sicherheit als Kriterium für das Design ihrer Produkte miteinfließen zu lassen. Zudem sieht der Vorschlag eine Verpflichtung der Hersteller zur Bereitstellung von Updates für bis zu fünf Jahre vor, um ein geeignetes Sicherheitsniveau zu gewährleisten. Das Bereitstellen von kostenlosen Sicherheitsupdates wäre insbesondere bei Bekanntwerden von Schwachstellen von den Herstellern zu garantieren.

Die Konformität mit den Designpflichten weisen Produkthersteller nach, indem sie für das Produkt eine Risikoabschätzung durchführen und beilegen. Ferner müssen sie eine technische Dokumentation über die Sicherheit des Produkts und dessen ordnungsgemäße Handhabung beifügen. Diese technische Dokumentation soll darlegen, wie das Produkt die Cybersicherheitsanforderungen des CRA erfüllt.

Besondere Anforderungen würden an sogenannte kritische Produkte mit digitalen Elementen gestellt. Während einfache Produkte mit digitalen Elementen vom Hersteller selbst als sicherheitskonform deklariert werden könnten, wäre bei kritischen Produkten eine umfangreiche Konformitätsprüfung notwendig. Bei einer Untergruppe besonders kritischer Produkte wäre sogar eine behördliche Autorisierung unerlässlich. Zu kritischen Produkten zählen beispielsweise Smart Meter (intelligentes Messsystem), IoT-Geräte kritischer Infrastrukturen (smarte Informationssysteme) sowie Router für Industrieanwendungen, welche auch in der Kommunalwirtschaft genutzt werden.

Aus VKU-Sicht ist die Stärkung der Cybersicherheit, wie sie von der Kommission vorgesehen ist, begrüßenswert. Insbesondere der Security-by-Design-Ansatz und die Updatepflicht sind wesentliche Pfeiler der IT-Sicherheit. Nun bleibt es abzuwarten, wie sich Parlament und Rat zum Vorschlag der Kommission äußern werden. Der VKU verfolgt die Entwicklungen und bringt sich aktiv in den Gesetzgebungsprozess ein. 

Die gemeinsame VKU-BDEW-Stellungnahme zum Kommissionsvorschlag in englischer Sprache können Sie hier herunterladen. 

Schlagworte