Die EU-Kommission will Hersteller von digital vernetzten Produkten – von Kühlschränken bis zu Autos – zu höheren Sicherheitsstandards verpflichten. Die Brüsseler Behörde legte am Donnerstag einen Vorschlag für einen Cyber Resilience Act vor, laut dem der Hersteller während des gesamten Produkt-Lebenszyklus – mindestens aber fünf Jahre lang – die Cyber-Sicherheit garantieren muss. Dazu gehören zum Beispiel regelmäßige Softwareupdates.

EU-Binnenmarktkommissar Thierry Breton sagte in Brüssel, die hunderte Millionen von vernetzten Produkten, zu denen Computer, Handys, Haushaltsgeräte, virtuelle Hilfsgeräte, Autos oder auch Spielzeuge gehörten, seien „eine potenzielle Schwachstelle, über die Cyberangriffe erfolgen können“. Für die meisten Hardware- und Softwareprodukte würden heute dennoch noch keine Cybersicherheitsanforderungen gelten.

Die EU-Kommission verweist in diesem Zusammenhang auf Schätzungen, wonach sich die Kosten der Cyberkriminalität allein 2021 auf 5,5 Bill. Euro summiert haben. Die Gesetzesvorlage umfasst daher jetzt Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, grundlegende Anforderungen an die Gestaltung, Entwicklung und Herstellung dieser Produkte sowie an die Verfahren zur Behebung von Schwachstellen.

Aus der Wirtschaft kamen positive erste Bewertungen. Der Bundesverband der Deutschen Industrie (BDI) begrüßte unter anderem, dass die Kommission zwischen zwei Produktkategorien und ihren Sicherheitsanforderungen unterscheidet. „Mit dem Cyber Resilience Act beschränkt die EU richtigerweise den rechtlichen Wildwuchs von Cybersicherheitsanforderungen an Produkte in Europa“, erklärte BDI-Hauptgeschäftsführerin Iris Plöger. Es müsse gewährleistet sein, dass für Komponenten der kritischen Infrastruktur und für Alltagsprodukte wie smarte Fernseher unterschiedlich hohe Cybersicherheitsanforderungen und Prüfverfahren gelten.

Auch nach Einschätzung von Bitkom-Präsident Achim Berg kommt der Gesetzesvorschlag genau zur richtigen Zeit. Er verwies aber auch darauf, dass die neuen Regeln auch einen hohen bürokratischen Aufwand für die Unternehmen mit sich bringen – unter anderem durch um­fangreiche Dokumentationspflichten. Kritisch sieht der Branchenverband zudem die Umsetzungsfrist von 24 Monaten nach Inkrafttreten der neuen Regeln. Die Entwicklungszyklen vieler Unternehmen seien deutlich länger.

Patrick Breyer, EU-Abgeordneter der Piratenpartei, forderte zugleich, dass Hersteller für selbst verschuldete Sicherheitslücken auch haftbar gemacht werden müssten, damit sich IT-Sicherheit für die Unternehmen auch finanziell lohne.