Am 15. September 2022 stellte die Europäische Kommission ihren Entwurf für den bereits seit geraumer Zeit erwarteten „Cyber Resilience Act“ (CRA, „Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020“) vor. Wie die Bezeichnung des Rechtsaktes bereits vermuten lässt, steht die Stärkung der horizontalen Cybersicherheit für dieses europäische Gesetz im Mittelpunkt – ein Thema, das von Branchenverbänden schon lange als unzureichend kritisiert wurde. Besorgnis besteht vor allem dahingehend, dass die intensive Cybersecurity-Gesetzgebung der EU in den letzten Jahren insbesondere seit der ersten Netz- und Informationssicherheitsrichtlinie (NIS, 2016) dazu führen könnte, dass die Anschlussfähigkeit an die zahlreichen branchenrelevanten Gesetze aus dem New Legislative Framework (NLF) verpasst wird. Horizontale Regelungen sollen mithin produktgruppenspezifischen und damit vertikalen Rechtsakten vorgezogen werden, um eine Fragmentierung der Regulatorik zu vermeiden und für mehr Kohärenz in den Anforderungen zu sorgen. Das Impact Assessment, das dem heute veröffentlichten Gesetzentwurf inhaltlich vorangeht, fand im Rahmen einer öffentlichen Konsultation der EU-Kommission vom 16.3. bis zum 25.5.2022 statt.
Klare Ziele: Digitale Resilienz für die gesamte IT-Wertschöpfungskette
Der Entwurf des CRA steckt ausweislich seiner Begründung klare Ziele: Einerseits ist die europäische Union mit einer großen Zahl mannigfaltiger digitaler Produkte im Alltag umfassend vernetzt, andererseits nehmen Cyberangriffe und Cybercrime immer weiter zu. Hierfür werden zwei Faktoren verantwortlich gemacht: ein niedriges Cybersecurity-Niveau, das sich in weit verbreiteten Schwachstellen und der unzureichenden Bereitstellung von entsprechenden Sicherheitsupdates widerspiegelt, sowie ein unzureichendes Verständnis und ein unzureichender Zugang zu Informationen seitens der Nutzer, wodurch sie daran gehindert werden, Produkte mit angemessener Cybersicherheit auszuwählen bzw. Produkte auf sichere Weise zu nutzen. Die EU leitet ihren aus diesen Risiken resultierenden Regulierungsauftrag daraus ab, dass sich ein einzelner, eigentlich produktbezogener Cybersicherheitsvorfall auf diese Weise zu einer grenzüberschreitenden Gefahr für die IT-Sicherheit entwickeln kann, die schwerwiegende Folgen für den gesamten digitalen europäischen Binnenmarkt zur Folge hat. In der Begründung explizit genannt wird in diesem Zusammenhang die suboptimale Produktsicherheit. Dementsprechend verfolgt der CRA vier spezifische regulatorische Ziele:
- Die Gewährleistung, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen von der Entwurfs- und Entwicklungsphase an und während des gesamten Lebenszyklus verbessern („cybersecurity by design“).
- Die Gewährleistung eines kohärenten Rahmens für die Cybersicherheit, der den Herstellern von Hardware und Software die Einhaltung der Compliance-Vorgaben erleichtert.
- Die Verbesserung der Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen.
- Die Befähigung von Unternehmen und Verbrauchern, Produkte mit digitalen Elementen sicher zu nutzen.