Mit der Verbreitung digitaler Produkte nehmen Cyberangriffe auf Hardware- und Softwareprodukte zu. Solche Cyberangriffe haben weitreichende Auswirkungen, nicht nur auf die Opfer der Angriffe, sondern auch auf ihre Lieferketten. Um solche Schäden zu verhindern, müssen die vertriebenen Produkte über Cybersicherheitsmaßnahmen verfügen. Als Reaktion auf diese Probleme wurden in der EU Gesetzgebungsverfahren eingeleitet. Am 12. März 2024 verabschiedete das Parlament neue Vorschriften zur Cybersicherheit, um digitale Produkte in der EU vor Cyberbedrohungen zu schützen. Um Gesetz zu werden, müssen sie nun vom Rat förmlich gebilligt werden.
Die Verordnung wird erhebliche Auswirkungen auf diejenigen haben, die digitale Produkte auf dem EU-Markt in Verkehr bringen, insbesondere auf die Hersteller. Aus diesem Grund wird der Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über horizontale Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 (im Folgenden der „Rechtsakt“), der veröffentlicht wurde, im Folgenden beschrieben.
I.-Anwendungsbereich
Artikel 2 Absatz 1 des Rechtsakts sieht vor, dass der Rechtsakt für Produkte mit digitalen Elementen gilt, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk umfasst.
Artikel 3.1 des Gesetzes besagt, dass „Produkt mit digitalen Elementen“ jedes Produkt ist, das aus Software oder Hardware und den dazugehörigen Datenfernverarbeitungslösungen besteht, einschließlich Komponenten von Software oder Hardware, die separat in Verkehr gebracht werden.
II-Grundlegende Cybersicherheitsanforderungen
Artikel 10.1 des Gesetzes besagt, dass Hersteller, die ein Produkt mit digitalen Elementen in Verkehr bringen, sicherstellen müssen, dass es in Übereinstimmung mit den grundlegenden Anforderungen in Abschnitt 1 von Anhang I des Gesetzes entworfen, entwickelt und hergestellt wurde.
Abschnitt 1 von ANHANG I des Gesetzes legt die folgenden Anforderungen fest:
1) Produkte mit digitalen Elementen sind so zu konzipieren, zu entwickeln und herzustellen, dass ein angemessenes Niveau der Cybersicherheit auf der Grundlage der bestehenden Risiken gewährleistet ist;
2) Produkte mit digitalen Elementen müssen ohne bekannte Schwachstellen, die ausgenutzt werden könnten, ausgeliefert werden;
3) Auf der Grundlage der in Artikel 10 Absatz 2 genannten Risikobewertung und sofern zutreffend, werden Produkte mit digitalen Elementen
a) mit einer sicheren Standardkonfiguration ausgeliefert werden, einschließlich der Möglichkeit, das Produkt in seinen ursprünglichen Zustand zurückzusetzen;
b) Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen, einschließlich u. a. Authentifizierungs-, Identitäts- oder Zugangsmanagementsysteme;
c) die Vertraulichkeit der gespeicherten, übermittelten oder anderweitig verarbeiteten personenbezogenen oder sonstigen Daten zu schützen, beispielsweise durch Verschlüsselung der betreffenden Daten im Ruhezustand oder bei der Übertragung unter Verwendung von dem Stand der Technik entsprechenden Mechanismen;
d) die Integrität gespeicherter, übermittelter oder anderweitig verarbeiteter personenbezogener oder sonstiger Daten, Befehle, Programme und Einstellungen vor Manipulationen oder unbefugten Änderungen durch den Nutzer zu schützen und Fälle von Datenverfälschung zu melden;
e) nur personenbezogene oder andere Daten zu verarbeiten, die angemessen und relevant sind und sich auf das beschränken, was für die beabsichtigte Nutzung des Produkts erforderlich ist („Datenminimierung“);
f) die Verfügbarkeit wesentlicher Funktionen zu schützen, einschließlich der Widerstandsfähigkeit gegen Denial-of-Service-Angriffe (DoS-Angriffe) und der Abmilderung ihrer Auswirkungen;
g) ihre eigenen negativen Auswirkungen auf die Verfügbarkeit von Diensten, die von anderen Geräten oder Netzen bereitgestellt werden, auf ein Mindestmaß beschränken;
h) so konzipiert, entwickelt und hergestellt werden, dass Angriffsflächen, einschließlich externer Schnittstellen, begrenzt werden;
i) Sie müssen so konzipiert, entwickelt und hergestellt werden, daß die Auswirkungen eines Zwischenfalls durch geeignete Mechanismen und Techniken zur Eindämmung der Ausnutzung von Schwachstellen verringert werden;
j) sicherheitsrelevante Informationen durch Protokollierung oder Überwachung relevanter interner Aktivitäten, einschließlich des Zugriffs auf und der Änderung von Daten, Diensten oder Funktionen, liefern;
k) sicherstellen, dass Schwachstellen durch Sicherheitsaktualisierungen behoben werden können, gegebenenfalls einschließlich automatischer Aktualisierungen und Benachrichtigung der Benutzer über verfügbare Aktualisierungen.
III. Anforderungen an das Schwachstellenmanagement
Artikel 10.6 des Gesetzes besagt, dass die Hersteller beim Inverkehrbringen eines Produkts mit digitalen Elementen und während der voraussichtlichen Lebensdauer des Produkts oder während eines Zeitraums von fünf Jahren nach dem Inverkehrbringen des Produkts, je nachdem, welcher Zeitraum kürzer ist, sicherstellen müssen, dass die Schwachstellen in diesem Produkt wirksam und in Übereinstimmung mit den in Abschnitt 2 von Anhang I des Gesetzes festgelegten grundlegenden Anforderungen verwaltet werden.
Abschnitt 2 von ANHANG I des Gesetzes enthält die folgenden Anforderungen
- die in dem Produkt vorhandenen Schwachstellen und Komponenten zu identifizieren und zu dokumentieren, insbesondere durch die Entwicklung einer Software-Materialnomenklatur in einem allgemein gebräuchlichen, maschinenlesbaren Format, die mindestens die Abhängigkeiten der höchsten Ebene des Produkts enthält
- im Hinblick auf die Risiken von Produkten mit digitalen Elementen die Schwachstellen unverzüglich anzugehen und zu beheben, insbesondere durch die Bereitstellung von Sicherheitsupdates;
- wirksame und regelmäßige Überprüfungen und Tests der Sicherheit des Produkts für digitale Güter durchführen;
- wenn ein Sicherheitsupdate verfügbar ist, Informationen über die behobenen Schwachstellen offenlegen, einschließlich einer Beschreibung der Schwachstellen, Informationen, die es den Nutzern ermöglichen, die betroffenen digitalen Güter zu identifizieren, die Auswirkungen und den Schweregrad der Schwachstellen sowie Informationen, die den Nutzern helfen, die Schwachstellen zu beheben;
- eine koordinierte Politik zur Offenlegung von Sicherheitslücken einzuführen und umzusetzen;
- Maßnahmen zur Erleichterung des Informationsaustauschs über potenzielle Schwachstellen in ihrem Produkt mit digitalen Elementen sowie in Komponenten von Drittanbietern, die in dem Produkt vorhanden sind, ergreifen, insbesondere durch die Bereitstellung einer Kontaktadresse für die Meldung von Schwachstellen, die in dem Produkt mit digitalen Elementen entdeckt wurden;
- Mechanismen für die sichere Verteilung von Updates für das Produkt mit digitalen Elementen bereitstellen, um sicherzustellen, dass ausnutzbare Schwachstellen rechtzeitig behoben oder entschärft werden;
- dafür sorgen, dass Sicherheitspatches oder -updates, die zur Behebung festgestellter Sicherheitsprobleme zur Verfügung stehen, unverzüglich und kostenlos verbreitet werden, zusammen mit Warnmeldungen, die den Nutzern einschlägige Informationen, insbesondere über mögliche Maßnahmen, liefern.
IV.-Technische Dokumentation
Bevor ein Produkt mit digitalen Elementen in Verkehr gebracht wird, erstellt der Hersteller eine technische Dokumentation (Art. 10.7 des Gesetzes).
Die technischen Unterlagen müssen alle relevanten Daten oder Einzelheiten über die Mittel enthalten, die der Hersteller verwendet, um sicherzustellen, dass das Produkt mit digitalen Elementen und die vom Hersteller eingesetzten Verfahren den grundlegenden Anforderungen in Anhang I des Gesetzes entsprechen. Diese Unterlagen müssen außerdem mindestens die in Anhang V aufgeführten Elemente enthalten (Art. 23.1 des Gesetzes).
Darüber hinaus sind die technischen Unterlagen vor dem Inverkehrbringen des Produkts mit digitalen Elementen zu erstellen und gegebenenfalls während der voraussichtlichen Lebensdauer des Produkts oder während eines Zeitraums von fünf Jahren nach dem Inverkehrbringen eines Produkts mit digitalen Elementen kontinuierlich zu aktualisieren, je nachdem, welcher Zeitraum kürzer ist (Art. 23.2 des Gesetzes).
- – Verfahren der Konformitätsbewertung
Der Hersteller muss eine Konformitätsbewertung des Produkts mit digitalen Elementen durchführen (Art. 24.1 des Gesetzes).
Dies kann durch eine Selbstbewertung oder durch eine Konformitätsbewertung durch einen Dritten geschehen, je nachdem, welches Risiko mit dem betreffenden Produkt verbunden ist.
Eine Konformitätsbewertung durch Dritte ist für kritische Produkte mit digitalen Elementen erforderlich, die in Anhang III des Gesetzes aufgeführt sind.
Bei Produkten mit digitalen Elementen, die nicht in die oben genannten Kategorien fallen, können die Hersteller neben der Konformitätsbewertung durch Dritte auch eine (weniger aufwändige) Selbstbewertung vornehmen.
Wenn die Konformität nachgewiesen ist, bringen die Hersteller die CE-Kennzeichnung an (Art. 10.7 des Gesetzes).
Es ist vorgesehen, dass dieses Gesetz in der zweiten Hälfte des Jahres 2024 in Kraft tritt und dass die Hersteller ihre Produkte bis 2027 in Übereinstimmung mit dem Gesetz auf den EU-Markt bringen müssen.
Die Grundlegenden Anforderungen an die Cybersicherheit und die Anforderungen an das Schwachstellenmanagement müssen bereits bei der Produktplanung und -gestaltung berücksichtigt werden, und Hersteller, die auf den EU-Markt abzielen, werden dringend aufgefordert, Maßnahmen zu ergreifen, um diese Verordnung so bald wie möglich zu erfüllen.
Satoshi Minami
Vilá Abogados
Für weitere Informationen wenden Sie sich an:
12. Juli 2024