5 Jahre Updatepflicht für alle: EU-Cyberresilienzgesetz vorgelegt

Die Europäische Kommission hat heute ihren Vorschlag für das sogenannte Cyberresilienzgesetz gemacht und beschreibt erstmals die groben Anforderungen, die Unternehmen zukünftig erfüllen sollen, um die Mitgliedstaaten der Europäischen Union widerstandsfähiger beziehungsweise resilienter gegen Cyberangriffe zu machen.

We will ensure that digital products are more secure for consumers across the EU.

Today we present the Cyber Resilience Act, which introduces mandatory cybersecurity requirements for hardware and software products, throughout their whole lifecycle.

Read more ↓#DigitalEU

— European Commission 🇪🇺 (@EU_Commission) September 15, 2022

Meldepflicht für Schwachstellen

Eine der zentralen Vorgaben ist dabei, die Verpflichtung von Hard- und Software-Anbietern aktiv ausgenutzte Schwachstellen und Vorfälle melden zu müssen.

Geplant ist, mit dem Gesetz alle Produkte „mit digitalen Elementen“ zu erfassen und so sicherzustellen, dass diese europäische Sicherheitsanforderungen erfüllen, ehe diese im Europäischen Wirtschaftsraum in Verkehr gebracht werden dürfen. Dabei sollen die neuen Regelungen für alle Produkte gelten, die mit dem Netz oder anderen Geräten verbunden werden können.

5 Jahre Updatepflicht

Anbieter entsprechender Produkte sollen zudem verpflichtet werden Softwareaktualisierungen für die Dauer von fünf Jahren bereitstellen zu müssen, um umgehend reagieren zu können, wenn Schwachstellen festgestellt wurden.

Die wichtigsten Eckpunkt:

• Die Cybersicherheit muss in der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphase berücksichtigt werden.
  Alle Cybersicherheitsrisiken müssen dokumentiert werden.
• Die Hersteller müssen aktiv ausgenutzte Schwachstellen und Vorfälle melden.
• Ab dem Verkauf müssen die Hersteller während der erwarteten Produktlebensdauer oder über einen Zeitraum von fünf Jahren (je nachdem, welcher Zeitraum kürzer ist) sicherstellen, dass etwaige Schwachstellen wirksam beseitigt werden.
• Sie müssen klare und verständliche Gebrauchsanweisungen für Produkte mit digitalen Elementen geben.
• Sie müssen mindestens fünf Jahre lang Sicherheitsupdates zur Verfügung stellen.

Alle 11 Sekunden ein Angriff

Nach Angaben der Europäische Kommission erfolgt weltweit etwa 8000 Ransomware-Angriffe pro Tag, mit dem Gesetzesvorhaben soll nun dafür gesorgt werden, dass innerhalb Europas Hebel zur Verfügung stehen, um schneller auf diese und ähnliche Bedrohungen reagieren zu können.

Noch handelt es sich bei dem Gesetzesvorhaben nur um einen Entwurf, der in einem nächsten Schritt nun vom vom Europäischen Parlament und dem Europäischen Rat geprüft werden muss. Anschließend müssen die Mitgliedsstaaten die neuen Vorgaben umsetzen. Vor 2025 dürfet das EU-Cyberresilienzgesetz damit nicht in Kraft treten.

Angekündigt wurde das EU-Cyberresilienzgesetz bereits im vergangenen Jahr und ist Teil der EU-Cybersicherheitsstrategie.