Cyberresilienzgesetz (cepAnalyse zu COM(2022) 454)
Cyberattacken auf Soft- und Hardwareprodukte verursachen weltweit enorme finanzielle Schäden, allein 2021 mehr als 5,5 Billionen Euro. Mit dem Cyberresilienzgesetz will die Kommission einheitliche Cybersicherheitsvorschriften für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen (PmdE) etablieren. Das Centrum für Europäische Politik (cep) bewertet den Entwurf positiv. Ausnahme: die intransparente Differenzierung zwischen kritischen Produkten.
cepAnalyse
„Brüssel will die IT-Branche verpflichten, Cybersicherheit bereits in der Konzeptions- und Entwicklungsphase massiv zu verbessern. Verbraucher sollen künftig schon beim Kauf die Sicherheitseigenschaften erkennen können. Zusammen mit dem Festlegen eines Zeitraumes zur Behebung von Schwachstellen stärkt dies das Vertrauen der Kunden. Man kann der Kommission zu ihrem Vorschlag nur gratulieren“, sagt cep-Ökonom Philipp Eckhardt, der den Gesetzentwurf mit cep-Juristin Anastasia Kotovskaia analysiert hat. Nach Ansicht der cep-Experten besteht ein Schwachpunkt in der Einstufung von kritischen Produkten in die Klassen 1 und 2. „Diese Einteilung ist undurchsichtig und nicht schlüssig“, sagt Kotovskaia. Die Übertragung von Befugnissen der Mitgliedstaaten an die Kommission zum Erlass delegierter Rechtsakte sei vor diesem Hintergrund juristisch heikel.
Hinzu komme, dass der Cyber Resilience Act (CRA) bereits zwei Jahre nach seiner Verabschiedung in Kraft treten soll. Dieses Ziel hält das cep für zu ambitioniert. Der CRA soll zu einem einheitlichen und hohen Cybersicherheitsniveau bei Hard- und Softwareprodukten führen – vom Drucker über den Router bis hin zu smarten Haushaltshelfern und industriellen Steuerungssystemen. „Der Kommissionsvorschlag ist hierfür zwar absolut geeignet. Aber alle Beteiligten benötigen ausreichend Zeit, um den Rechtsakt sorgfältig umzusetzen“, betonen die cep-Experten.
|