Meldepflicht für Schwachstellen
5 Jahre Updatepflicht für alle: EU-Cyberresilienzgesetz vorgelegt
Die Europäische Kommission hat heute ihren Vorschlag für das sogenannte Cyberresilienzgesetz gemacht und beschreibt erstmals die groben Anforderungen, die Unternehmen zukünftig erfüllen sollen, um die Mitgliedstaaten der Europäischen Union widerstandsfähiger beziehungsweise resilienter gegen Cyberangriffe zu machen.
We will ensure that digital products are more secure for consumers across the EU.
Today we present the Cyber Resilience Act, which introduces mandatory cybersecurity requirements for hardware and software products, throughout their whole lifecycle.
Read more ↓#DigitalEU
— European Commission 🇪🇺 (@EU_Commission) September 15, 2022
Meldepflicht für Schwachstellen
Eine der zentralen Vorgaben ist dabei, die Verpflichtung von Hard- und Software-Anbietern aktiv ausgenutzte Schwachstellen und Vorfälle melden zu müssen.
Geplant ist, mit dem Gesetz alle Produkte „mit digitalen Elementen“ zu erfassen und so sicherzustellen, dass diese europäische Sicherheitsanforderungen erfüllen, ehe diese im Europäischen Wirtschaftsraum in Verkehr gebracht werden dürfen. Dabei sollen die neuen Regelungen für alle Produkte gelten, die mit dem Netz oder anderen Geräten verbunden werden können.
5 Jahre Updatepflicht
Anbieter entsprechender Produkte sollen zudem verpflichtet werden Softwareaktualisierungen für die Dauer von fünf Jahren bereitstellen zu müssen, um umgehend reagieren zu können, wenn Schwachstellen festgestellt wurden.
Die wichtigsten Eckpunkt:
- Die Cybersicherheit muss in der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphase berücksichtigt werden.
Alle Cybersicherheitsrisiken müssen dokumentiert werden.- Die Hersteller müssen aktiv ausgenutzte Schwachstellen und Vorfälle melden.
- Ab dem Verkauf müssen die Hersteller während der erwarteten Produktlebensdauer oder über einen Zeitraum von fünf Jahren (je nachdem, welcher Zeitraum kürzer ist) sicherstellen, dass etwaige Schwachstellen wirksam beseitigt werden.
- Sie müssen klare und verständliche Gebrauchsanweisungen für Produkte mit digitalen Elementen geben.
- Sie müssen mindestens fünf Jahre lang Sicherheitsupdates zur Verfügung stellen.
Alle 11 Sekunden ein Angriff
Nach Angaben der Europäische Kommission erfolgt weltweit etwa 8000 Ransomware-Angriffe pro Tag, mit dem Gesetzesvorhaben soll nun dafür gesorgt werden, dass innerhalb Europas Hebel zur Verfügung stehen, um schneller auf diese und ähnliche Bedrohungen reagieren zu können.
Noch handelt es sich bei dem Gesetzesvorhaben nur um einen Entwurf, der in einem nächsten Schritt nun vom vom Europäischen Parlament und dem Europäischen Rat geprüft werden muss. Anschließend müssen die Mitgliedsstaaten die neuen Vorgaben umsetzen. Vor 2025 dürfet das EU-Cyberresilienzgesetz damit nicht in Kraft treten.
Angekündigt wurde das EU-Cyberresilienzgesetz bereits im vergangenen Jahr und ist Teil der EU-Cybersicherheitsstrategie.
Cyberresillienz? Da lohnt sich ja glatt das Linguistikstudium…
Dafür gabs bestimmt ne Wortfindungskomission…
Nein einfach vom englischen übersetzt
Geil, endlich weg mit den Billig-Smartphones!
?? Warum soll es dafür keine 5 Jahre Updates geben? Und was ist an „billig Telefonen“ denn so schlecht? Du scheinst sie nicht zu nutzen .. warum regst du dich da auf??
Wichtig ist auch, zu welchem Zeitpunkt soll es Updates geben, steht nirgends. Heißt ein Sicherheitsupdate nach 4 Jahren und 11 Monaten würde die Anforderungen erfüllen …
Natürlich wird es nur Sicherheitsupdates bei Android geben. Funktional wird da nichts kommen.
Vielleicht meint er mit billig-Telefonen auch einfach die, die Smartfähig sind und jede einzelne Taste größer als das Display ist.
Weil die ihren Saftladen regelmäßig gegen die Wand laufen lassen und den nächsten aufmachen.
Wer kein Geld hat soll gefälligst kein Smartphone haben. Schwieriger Ansatz.
Habe Hoffnung dass dann nicht jeder Hersteller 125 Modelle anbietet.
Hat doch selbst Apple schon :D
Der Ansatz bedeutet nicht „kein Geld – kein SmartPhone“, sondern nach heutigen Maßstäben „an der falschen Stelle sparen – kann (sicherheitsbedingt) teuer werden“.
Wobei hier zuergänzen ist, dass…
1. auch heutezutage ein teures Gerät nicht unbedingt sicherheitstechnisch ein beruhigendes Gerät sein muss
2. das Cyberresillienzgesetz vielleicht gerade dazu beitragen wird, dass auch günstige(re) Geräte zukünftig ein Mindestmaß an Sicherheit gewähren. Dass aufgrund des Gesetzes alle günstigen Geräte vom Markt verschwinden bzw. deutlich teurer werden ist nämlich nicht zu erwarten … dafür ist dieses Marktsegment viel zu attraktiv!
Wäre ich ein Hersteller, der diese Vorgaben umgehen möchte (Kostenersparnis), ich würde am Produktanfang ein Softwareupdate herausbringen und ein Mini-Update für 5 Jahre im Tresor liegen lassen.
Nach 5 Jahren wird das dann veröffentlicht! Vorgaben erfüllt!
Ich würde n software update abo einführen, gekoppelt mit gamification bullshit und anderen smartphone typischen sachen wie cloud krempel usw… so kann man sich den software support sogar noch bezahlen lassen und kann so die kosten für den Aufwand finanziell kompensieren und ganz auf dem Rücken der Verbraucher auslagern …
Das Update könnte ja ein neues Hintergrundbild mitbringen. Update ist Update. Wieder schwammigste Gesetzgebung.
„Die wichtigsten Eckpunkt:“ muss erweitert werden. Geräte, die nicht mehr mit Updates etc. versorgt werden müssen ein letztes Update bekommen, dass das Gerät vollumfänglich „öffnet“, so dass es weiter verwendet werden kann und nicht ein Briefbeschwerer ist.
der grundsätzliche Fehler wird durch das Öffnen doch nicht behoben:
Warum gibt es kein OS das auf jeder Hardware läuft
Das bewerte ich als „andere Baustelle“. Ich finde es nicht richtig, wenn Hersteller nach fünf Jahren das Gerät unbenutzbar machen, obwohl es einwandfrei funktioniert.
Du kannst es doch aufschrauben so viel du willst :)
iOS gehört nicht dir auch nicht beim Kauf
Ich habe auch nicht von iOS gesprochen. Aktuelles Beispiel, Smart Home Anbieter, die ihre Cloud eingestellt haben. Alles an Hardware hier, nicht mehr zu verwenden. Homekit Omna 180 Kamera nicht mehr zu verwenden, da seit zwei drei Jahren kein Update mehr, aber keine fünf Jahre alt. Solche Geräte gehören geöffnet. Warum muss ein iPhone nach x Jahren über Apple aktiviert werden? Wenn die die Aktivierungsserver einstellen, dann ist das Gerät wertlos. Mit einem finalen Update gehört das geöffnet und Software sollte frei installierbar sein, ohne Apple dazwischen. Das ist mein Gerät, weil ich es bezahlt habe. Ich kann heute noch auf meinem c64 etc. Software installieren.
Mein altes iphone, welches nur 3g konnte ist auch wertlos, weil die provider die Antennen weggerissen haben… *schnief*
aber mein FAxgerät funktioniert noch *g*
Das Argumentation mit 3G/Netzbetreiber hinkt. Ich spare mir eine langen Text warum das so ist. Hoch interessant finde ich hingegen, wie hier dagegen geredet wird. Da wird Jahre für das Recht auf Reparatur, Software Support für x Jahre, Entsorgung Kleingeräte, Recycling, Nachhaltigkeit, Benutzen bis kaputt etc. und Du/ihr verteidigt das abschließen von Geräten. Das sie im Zyklus zu sind ist das eine, aber wenn der Hersteller keine Lust mehr hat, dann hat er es zu öffnen. Apple ist vor wenigen Jahren ein Fehler mit abgelaufenen Zertifikaten bei alten Installer passiert. Auf alten Macs konnte auf einmal kein Mac OS X mehr installiert werden. Solche Mechanismen gehören beim letzten Update abgeschalten. Hier endet die “Verantwortung” vom Hersteller.
Fax forever +1
Ohne iOS (welches du nicht mitgekauft hast sondern nur ein Nutzungsrecht hast) kannst du das iPhone nicht verwenden. Es gibt keine Alternative Software.
Die EU sollte sich auf ihre Kernkompetenzen beschränken: die Krümmungsradien von Bananen.
Warum nur 5 Jahre ? Warum nicht gleich 15 Jahre dann würden wir der Natur doch mal echt was gutes tun. !
Gut, daß die EU sonst keine großen Probleme hat.
Produkthaftung für Software einführen. Wurde ich gehackt aufgrund von Softwarelücken dann ist der Hersteller der Software dafür haftbar zu machen. Somit besteht ein starker Anreiz Software sicher zu bauen und zu pflegen. Außerdem müssen alle Staatlichen Behörden, auch Geheimdienste, verpflichtet werden entdeckte Sicherheitslücken an den Hersteller zu melden. Diese Maßnahmen würden deutlich mehr bringen als das was da präsentiert wurde.