{"id":13579,"date":"2024-07-12T14:02:40","date_gmt":"2024-07-12T14:02:40","guid":{"rendered":"https:\/\/vila.es\/?p=13579"},"modified":"2024-07-12T14:11:14","modified_gmt":"2024-07-12T14:11:14","slug":"cyberresilienzgesetz-erforderliche-verfahren-fuer-digitale-produkte-in-der-eu","status":"publish","type":"post","link":"https:\/\/vila.es\/de\/gemeinschaftsrecht\/cyberresilienzgesetz-erforderliche-verfahren-fuer-digitale-produkte-in-der-eu\/","title":{"rendered":"CYBERRESILIENZGESETZ. ERFORDERLICHE VERFAHREN F\u00dcR DIGITALE PRODUKTE IN DER EU"},"content":{"rendered":"

ES<\/span><\/a>|EN<\/span><\/a>|\u65e5\u672c\u8a9e<\/span><\/a>|DE<\/strong><\/p>\n

Mit der Verbreitung digitaler Produkte nehmen Cyberangriffe auf Hardware- und Softwareprodukte zu. Solche Cyberangriffe haben weitreichende Auswirkungen, nicht nur auf die Opfer der Angriffe, sondern auch auf ihre Lieferketten. Um solche Sch\u00e4den zu verhindern, m\u00fcssen die vertriebenen Produkte \u00fcber Cybersicherheitsma\u00dfnahmen verf\u00fcgen. Als Reaktion auf diese Probleme wurden in der EU Gesetzgebungsverfahren eingeleitet. Am 12. M\u00e4rz 2024 verabschiedete das Parlament neue Vorschriften zur Cybersicherheit, um digitale Produkte in der EU vor Cyberbedrohungen zu sch\u00fctzen. Um Gesetz zu werden, m\u00fcssen sie nun vom Rat f\u00f6rmlich gebilligt werden.<\/p>\n

Die Verordnung wird erhebliche Auswirkungen auf diejenigen haben, die digitale Produkte auf dem EU-Markt in Verkehr bringen, insbesondere auf die Hersteller. Aus diesem Grund wird der Vorschlag f\u00fcr eine Verordnung des Europ\u00e4ischen Parlaments und des Rates \u00fcber horizontale Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen und zur \u00c4nderung der Verordnung (EU) 2019\/1020 (im Folgenden der „Rechtsakt“), der ver\u00f6ffentlicht wurde, im Folgenden beschrieben.<\/p>\n

I.-Anwendungsbereich<\/strong><\/p>\n

Artikel 2 Absatz 1 des Rechtsakts sieht vor, dass der Rechtsakt f\u00fcr Produkte mit digitalen Elementen gilt, deren bestimmungsgem\u00e4\u00dfe oder vern\u00fcnftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Ger\u00e4t oder Netzwerk umfasst.<\/p>\n

Artikel 3.1 des Gesetzes besagt, dass „Produkt mit digitalen Elementen“ jedes Produkt ist, das aus Software oder Hardware und den dazugeh\u00f6rigen Datenfernverarbeitungsl\u00f6sungen besteht, einschlie\u00dflich Komponenten von Software oder Hardware, die separat in Verkehr gebracht werden.<\/p>\n

II-Grundlegende Cybersicherheitsanforderungen<\/strong><\/p>\n

Artikel 10.1 des Gesetzes besagt, dass Hersteller, die ein Produkt mit digitalen Elementen in Verkehr bringen, sicherstellen m\u00fcssen, dass es in \u00dcbereinstimmung mit den grundlegenden Anforderungen in Abschnitt 1 von Anhang I des Gesetzes entworfen, entwickelt und hergestellt wurde.<\/p>\n

Abschnitt 1 von ANHANG I des Gesetzes legt die folgenden Anforderungen fest:<\/p>\n

1) Produkte mit digitalen Elementen sind so zu konzipieren, zu entwickeln und herzustellen, dass ein angemessenes Niveau der Cybersicherheit auf der Grundlage der bestehenden Risiken gew\u00e4hrleistet ist;<\/p>\n

2) Produkte mit digitalen Elementen m\u00fcssen ohne bekannte Schwachstellen, die ausgenutzt werden k\u00f6nnten, ausgeliefert werden;<\/p>\n

3) Auf der Grundlage der in Artikel 10 Absatz 2 genannten Risikobewertung und sofern zutreffend, werden Produkte mit digitalen Elementen<\/p>\n

a) mit einer sicheren Standardkonfiguration ausgeliefert werden, einschlie\u00dflich der M\u00f6glichkeit, das Produkt in seinen urspr\u00fcnglichen Zustand zur\u00fcckzusetzen;<\/p>\n

b) Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen, einschlie\u00dflich u. a. Authentifizierungs-, Identit\u00e4ts- oder Zugangsmanagementsysteme;<\/p>\n

c) die Vertraulichkeit der gespeicherten, \u00fcbermittelten oder anderweitig verarbeiteten personenbezogenen oder sonstigen Daten zu sch\u00fctzen, beispielsweise durch Verschl\u00fcsselung der betreffenden Daten im Ruhezustand oder bei der \u00dcbertragung unter Verwendung von dem Stand der Technik entsprechenden Mechanismen;<\/p>\n

d) die Integrit\u00e4t gespeicherter, \u00fcbermittelter oder anderweitig verarbeiteter personenbezogener oder sonstiger Daten, Befehle, Programme und Einstellungen vor Manipulationen oder unbefugten \u00c4nderungen durch den Nutzer zu sch\u00fctzen und F\u00e4lle von Datenverf\u00e4lschung zu melden;<\/p>\n

e) nur personenbezogene oder andere Daten zu verarbeiten, die angemessen und relevant sind und sich auf das beschr\u00e4nken, was f\u00fcr die beabsichtigte Nutzung des Produkts erforderlich ist („Datenminimierung“);<\/p>\n

f) die Verf\u00fcgbarkeit wesentlicher Funktionen zu sch\u00fctzen, einschlie\u00dflich der Widerstandsf\u00e4higkeit gegen Denial-of-Service-Angriffe (DoS-Angriffe) und der Abmilderung ihrer Auswirkungen;<\/p>\n

g) ihre eigenen negativen Auswirkungen auf die Verf\u00fcgbarkeit von Diensten, die von anderen Ger\u00e4ten oder Netzen bereitgestellt werden, auf ein Mindestma\u00df beschr\u00e4nken;<\/p>\n

h) so konzipiert, entwickelt und hergestellt werden, dass Angriffsfl\u00e4chen, einschlie\u00dflich externer Schnittstellen, begrenzt werden;<\/p>\n

i) Sie m\u00fcssen so konzipiert, entwickelt und hergestellt werden, da\u00df die Auswirkungen eines Zwischenfalls durch geeignete Mechanismen und Techniken zur Eind\u00e4mmung der Ausnutzung von Schwachstellen verringert werden;<\/p>\n

j) sicherheitsrelevante Informationen durch Protokollierung oder \u00dcberwachung relevanter interner Aktivit\u00e4ten, einschlie\u00dflich des Zugriffs auf und der \u00c4nderung von Daten, Diensten oder Funktionen, liefern;<\/p>\n

k) sicherstellen, dass Schwachstellen durch Sicherheitsaktualisierungen behoben werden k\u00f6nnen, gegebenenfalls einschlie\u00dflich automatischer Aktualisierungen und Benachrichtigung der Benutzer \u00fcber verf\u00fcgbare Aktualisierungen.<\/p>\n

III. Anforderungen an das Schwachstellenmanagement<\/strong><\/p>\n

Artikel 10.6 des Gesetzes besagt, dass die Hersteller beim Inverkehrbringen eines Produkts mit digitalen Elementen und w\u00e4hrend der voraussichtlichen Lebensdauer des Produkts oder w\u00e4hrend eines Zeitraums von f\u00fcnf Jahren nach dem Inverkehrbringen des Produkts, je nachdem, welcher Zeitraum k\u00fcrzer ist, sicherstellen m\u00fcssen, dass die Schwachstellen in diesem Produkt wirksam und in \u00dcbereinstimmung mit den in Abschnitt 2 von Anhang I des Gesetzes festgelegten grundlegenden Anforderungen verwaltet werden.<\/p>\n

Abschnitt 2 von ANHANG I des Gesetzes enth\u00e4lt die folgenden Anforderungen<\/p>\n