Cyberresilienz-Verordnung

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Flagge der Europäischen Union

Verordnung (EU) 2024/...

Titel: Verordnung (EU) 2024/... des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2019/1020
Kurztitel: Cyberresilienz-Verordnung
Geltungsbereich: EWR
Grundlage: AEUV, insbesondere Artikel 114
Verfahrensübersicht: Europäische Kommission
Europäisches Parlament
IPEX Wiki
Volltext Grundfassung
Regelung ist ein aktueller Vorschlag im Rechtsetzungsprozess.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Die Cyberresilienz-Verordnung (CRV) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Cybersicherheit von Produkten mit digitalen Elementen EU-weit vereinheitlicht werden. Dadurch soll ein hohes Cybersicherheitsniveau in der Union sichergestellt und der freie Verkehr von Produkten mit digitalen Elementen im europäischen Binnenmarkt gewährleistet werden.

Das Gesetzgebungsverfahren der Verordnung steht kurz vor dem Abschluss: Die Verordnung wurde am 12. März 2024 vom Europäischen Parlament und am 10. Oktober 2024 vom Rat der Europäischen Union beschlossen.[1] Die Verordnung wird somit voraussichtlich ab 2027 gelten.

Sie ergänzt die Datenschutz-Grundverordnung und die NIS-2-Richtlinie.

Die Regulierung gilt insbesondere auch für freie und Open-Source-Produkte, sofern sie in kommerziellen Produkten eingesetzt werden.

Ziel

[Bearbeiten | Quelltext bearbeiten]

Bereits im ersten Erwägungsgrund stellt die Verordnung fest:

„Die Cybersicherheit bedeutet eine der größten Herausforderungen für die Union.“[2]

Die Verordnung sollte ursprünglich zwei Hauptprobleme angehen, die hohe Kosten für Nutzer und die Gesellschaft verursachen und zu erheblichen, teils lebensbedrohlichen Risiken, führen:

  1. Weit verbreitete Schwachstellen in Produkten mit digitalen Elementen und die unzureichende sowie inkonsistente Bereitstellung von Sicherheitsupdates seitens der Hersteller.
  2. Mangelhaftes Wissen bei nutzenden Personen und unzureichende Informationen für nutzende Stellen, um Produkte mit angemessenen Sicherheitsmerkmalen auszuwählen oder sie sicher zu nutzen.

Das bestehende EU-Recht enthält bereits Cybersicherheitsvorschriften für bestimmte Produktkategorien wie Medizinprodukte, In-vitro-Diagnostika, Kraftfahrzeuge und Luftfahrtprodukte, die auch sicherheitsrelevante Aspekte abdecken. Diese konzentrieren sich jedoch auf meist bestimmte Aspekte wie die Sicherheit von Netz- und Informationssystemen oder die Zertifizierung. Für diese bereits regulierten Produkte gilt auch die Verordnung nicht.

Beide Probleme, die nach Ansicht der EU-Institutionen durch den fehlenden umfassenden Rechtsrahmen für alle „anderen“ Produkten entstehen, sollen durch die Einführung von verbindlichen horizontalen Cybersicherheitsanforderungen und durch die Verbesserung der Transparenz und des Informationszugangs für nutzende Personen und Stellen angegangen werden.

Die Regulierung soll technologieneutral erfolgen.

Inhalt

[Bearbeiten | Quelltext bearbeiten]

Kern der Regulierung sind „Produkte mit digitalen Elementen“, welche nicht in bestehende Regulierungsrahmen fallen.[3] Dies sind Software oder Hardware und die zu dieser Software oder Hardware zugehörige Lösung zur entfernt stattfindenden Datenverarbeitung, ohne die das Produkt nicht funktionieren würde.[4]

Verschiedene Arten von Produkten werden verschiedenen Kategorien von Regulierungen unterworfen[5]:

Produkte mit digitalen Elementen Wichtige Produkte mit digitalen Elementen Kritische Produkte mit digitalen Elementen
Klasse-Ⅰ-Produkte Klasse-Ⅱ-Produkte
Alle Produkte mit digitalen Elementen, die nicht
  • wichtige Produkte sind,
  • kritische Produkte sind,
  • in einen anderen Regulierungsrahmen fallen
 Identitätsmanagementsysteme,
Soft- und Hardware zur Zugangsverwaltung,
wie Kartenleser oder Fingerabdruckscanner

Webbrowser

Kennwortmanager

Antivirenprogramme

VPN-Software und Hardware

Netzmanagementsysteme

SIEM-Systeme

Bootmanager

Public-Key-Infrastruktur,
Software zur Ausstellung von digitalen Zertifikaten

physische und virtuelle Netzschnittstellen

Betriebssysteme

Router, Modems, Switches

Mikrocontroller, Mikroprozessoren,
ASICs und FPGAs
jeweils mit sicherheitsrelevanten Funktionen

virtuelle Assistenten für das Smart Home

Smart Home Produkte mit Sicherheitsbezug,
wie intelligente Türschlösser,
Überwachungskameras, Babyfone und Alarmanalagen

Hypervisoren und Container-Runtime-Systeme

Firewalls, Angriffserkennungs- und -präventionssysteme

manipulationssichere Mikroprozessoren und Mikrocontroller

Hardwaregeräte mit Sicherheitsboxen

Smart-Meter-Gateways und anderen Geräten für fortgeschrittene Sicherheitszwecke

Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente

Alle Produkte mit digitalen Elementen müssen eine umfassende Liste von Cybersicherheitsanforderungen erfüllen. Dazu gehören unter anderem Anforderungen, dass Produkte:

  • ohne bekannte Sicherheitslücken auf den Markt gebracht werden,
  • mit sicheren Standardkonfigurationen ausgeliefert werden und die Möglichkeit bieten, in diesen Zustand zurückgesetzt zu werden,
  • Sicherheitslücken durch Updates beheben können, idealerweise automatisch,
  • vor unbefugtem Zugriff schützen durch Authentifizierungssysteme und andere Kontrollmechanismen und unbefugten Zugriff melden,
  • die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleisten, einschließlich personenbezogener Daten, durch Maßnahmen wie Verschlüsselung und Datenminimierung,
  • die negativen Auswirkungen auf andere Geräte oder Netzwerke minimieren,
  • eine möglichst geringe Angriffsfläche bieten und die Auswirkungen von Sicherheitsvorfällen reduzieren,
  • sicherheitsrelevante Informationen aufzeichnen und/oder überwachen,
  • Nutzern die Möglichkeit geben, alle Daten und Einstellungen sicher zu löschen.

Darüber hinaus müssen Hersteller von Produkten mit digitalen Elementen sicherstellen, dass:

  • Schwachstellen und Komponenten der Produkte identifiziert und dokumentiert werden, gegebenenfalls durch eine Software-Stückliste.
  • Schwachstellen unverzüglich behoben werden, idealerweise durch Sicherheitsupdates, die getrennt von Funktionsupdates bereitgestellt werden sollten.
  • Die Sicherheit der Produkte regelmäßig getestet und überprüft wird.
  • Informationen über behobene Schwachstellen veröffentlicht werden, es sei denn, dies würde die Sicherheit gefährden.
  • Ein Konzept für die koordinierte Offenlegung von Schwachstellen (Responsible Disclosure) erstellt und umgesetzt wird.
  • Der Austausch von Informationen über mögliche Schwachstellen erleichtert wird.
  • Mechanismen für die sichere Verbreitung von Updates bereitgestellt werden.
  • Sicherheitsupdates unverzüglich und kostenlos bereitgestellt werden, sofern nicht anders vereinbart.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Europäischer Rat: Cyberresilienzgesetz: Rat verabschiedet neues Gesetz über Sicherheitsanforderungen für digitale Produkte. Europäischer Rat, 10. Oktober 2024, abgerufen am 2. November 2024.
  2. Erwägungsgrund 1, Satz 1
  3. Artikel 2 Absatz 2
  4. Artikel 3 Nummern 1 und 2
  5. Anhänge Ⅲ und Ⅳ
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Cyberresilienz-Verordnung&oldid=249981320