Die EU stellt ihren Plan zur Sicherheit intelligenter Geräte vor

Die Gesetzgeber der Europäischen Union haben eine Reihe neuer Produktregeln für intelligente Geräte vorgeschlagen, die Hersteller von mit dem Internet verbundenen Hardware – wie „intelligenten“ Waschmaschinen oder vernetzten Spielzeugen – dazu zwingen sollen, der Gerätesicherheit größte Aufmerksamkeit zu schenken.

Mit dem vorgeschlagenen EU-Cyber-Resilience-Gesetz werden verbindliche Cybersicherheitsanforderungen für Produkte mit „digitalen Elementen“ eingeführt, die im gesamten Block verkauft werden, wobei die Anforderungen während ihres gesamten Lebenszyklus gelten – was bedeutet, dass Gerätehersteller fortlaufende Sicherheitsunterstützung und Updates bereitstellen müssen, um neu auftretende Schwachstellen zu beheben, so die Kommission sagte heute.

Der Verordnungsentwurf konzentriert sich auch darauf, dass Hersteller intelligenter Geräte den Verbrauchern „ausreichende und genaue Informationen“ übermitteln, um sicherzustellen, dass Käufer Sicherheitsaspekte beim Kauf verstehen und Geräte nach dem Kauf sicher einrichten können.

Die von der Kommission vorgeschlagenen Strafen für die Nichteinhaltung „wesentlicher“ Cybersicherheitsanforderungen belaufen sich auf bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, wobei die Höchststrafe für andere Verstöße gegen Vorschriften bei 10 Millionen Euro oder 2 % des Umsatzes liegt.

Die EU-Exekutive sagte, die vorgeschlagene Verordnung werde für alle Produkte gelten, die „entweder direkt oder indirekt mit einem anderen Gerät oder Netzwerk“ verbunden sind – mit einigen Ausnahmen für Produkte, für die Cybersicherheitsanforderungen bereits in bestehenden EU-Vorschriften festgelegt sind, wie z. B. medizinische Geräte. Luftfahrt und Autos.

In einer Zusammenfassung der vorgeschlagenen Maßnahmen, die auf einem 2008 aktualisierten Rechtsrahmen für die EU-Produktgesetzgebung basieren, sagte die Kommission, dass sie Folgendes festlegen werden:

(a) Regeln für das Inverkehrbringen von Produkten mit digitalen Elementen, um deren Cybersicherheit zu gewährleisten;

(b) grundlegende Anforderungen an die Gestaltung, Entwicklung und Produktion von Produkten mit digitalen Elementen und Pflichten für Wirtschaftsakteure in Bezug auf diese Produkte;

(c) grundlegende Anforderungen an die von den Herstellern eingeführten Prozesse zum Umgang mit Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während des gesamten Lebenszyklus zu gewährleisten, und Verpflichtungen für Wirtschaftsakteure in Bezug auf diese Prozesse. Hersteller müssen zudem aktiv ausgenutzte Schwachstellen und Vorfälle melden;

(d) Vorschriften zur Marktüberwachung und -durchsetzung.

„Die neuen Regeln werden die Verantwortung gegenüber den Herstellern neu ausbalancieren, die die Konformität mit den Sicherheitsanforderungen von Produkten mit digitalen Elementen sicherstellen müssen, die auf dem EU-Markt verfügbar gemacht werden“, hieß es in einer Pressemitteilung. „Dadurch kommen sie Verbrauchern und Bürgern sowie Unternehmen, die digitale Produkte nutzen, zugute, indem sie die Transparenz der Sicherheitseigenschaften erhöhen und das Vertrauen in Produkte mit digitalen Elementen fördern sowie einen besseren Schutz ihrer Grundrechte gewährleisten, z wie Privatsphäre und Datenschutz.“

In einer Frage-und-Antwort-Runde der Kommission zu der Initiative heißt es außerdem, dass Hersteller „einem Prozess der Konformitätsbewertung unterzogen werden, um nachzuweisen, ob die festgelegten Anforderungen an ein Produkt erfüllt wurden“. Es wird darauf hingewiesen, dass dies „abhängig von der Kritikalität des betreffenden Produkts“ durch eine Selbstbewertung oder durch eine Konformitätsbewertung durch einen Dritten erfolgen kann.

Wenn die Einhaltung der geltenden Anforderungen nachgewiesen wurde, könnten Gerätehersteller das EU-CE-Zeichen anbringen – was die Konformität digitaler Elemente mit der Produktsicherheitsverordnung anzeigt.

Die Nichteinhaltung würde von den von den Mitgliedstaaten ernannten Marktüberwachungsbehörden gehandhabt, die für die Durchsetzung verantwortlich wären – mit vorgeschlagenen Befugnissen, nicht nur die Unterbindung der Nichteinhaltung anzuordnen, sondern auch „das Risiko zu beseitigen“, indem sie den Verkauf eines Produkts verbieten oder andere Beschränkungen auferlegen seine Marktverfügbarkeit. Die zuständigen Behörden könnten auch die Rücknahme oder den Rückruf rechtsverletzender Produkte anordnen. Die Übermittlung falscher, unvollständiger oder irreführender Informationen an Regulierungs- und Überwachungsbehörden würde mit einer Geldstrafe von bis zu 5 Millionen Euro oder 1 % des Umsatzes drohen.

Intelligente Geräte sind seit Jahren ein Schauplatz für Sicherheits-Horrorgeschichten. Allerdings gab es bereits frühere gesetzgeberische Schritte, um eklatante Sicherheitslücken zu schließen – etwa ein kalifornisches Gesetz aus dem Jahr 2018, das es Herstellern verbietet, leicht zu erratende Standardkennwörter in Geräten festzulegen.

Auch das Vereinigte Königreich arbeitet seit einigen Jahren an einem „Security by Design“-Gesetz für vernetzte Geräte und veröffentlichte bereits 2019 einen Entwurf (obwohl dieser Gesetzesentwurf zur Produktsicherheit, der Sicherheitsbestimmungen für die Telekommunikationsinfrastruktur bündelt, immer noch auf dem Weg ist). Britisches Parlament).

Auch wenn die EU bei der Sicherheit intelligenter Geräte nicht die Erste ist, hofft sie, dass ihr neuer Ansatz zu einem internationalen Bezugspunkt wird. In der Pressemitteilung der Kommission heißt es: „EU-Standards auf der Grundlage des Cyber ​​Resilience Act werden seine Umsetzung erleichtern und werden es auch sein.“ ein Gewinn für die EU-Cybersicherheitsbranche auf den Weltmärkten.“

Es ist jedoch noch ein ziemlich langer Weg, bis der Vorschlag in EU-Gesetz umgesetzt werden kann, da das Europäische Parlament und der Rat den Entwurf prüfen müssen – und möglicherweise versuchen, ihn zu ändern.

Die Kommission hat außerdem einen Zeitrahmen von zwei Jahren nach Verabschiedung der Verordnung vorgeschlagen, in dem sich Gerätehersteller und EU-Mitgliedstaaten an den gesamten Umfang der neuen Vorschriften anpassen können. Daher dürfte die Regelung vor 2025 keine großen Auswirkungen haben.

Allerdings gibt es einen kürzeren Zeitrahmen für die Meldepflicht der Hersteller für „aktiv ausgenutzte Schwachstellen und Vorfälle“, die ein Jahr ab dem Datum des Inkrafttretens der Verordnung gelten würde, da die Kommission erwartet, dass dieser Teil einfacher umzusetzen ist .

Das britische IoT-Gesetz „Security by Design“ gilt auch für Smartphones