Cyberresilienz-Verordnung
Verordnung (EU) 2024/2847 | |
---|---|
Titel: | Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 |
Kurztitel: | Cyberresilienz-Verordnung |
Geltungsbereich: | EWR |
Grundlage: | AEUV, insbesondere Artikel 114 |
Verfahrensübersicht: | Europäische Kommission Europäisches Parlament IPEX Wiki |
Inkrafttreten: | 10. Dezember 2024 |
Anzuwenden ab: | 11. Dezember 2027 (Berichtspflicht ab 11. September 2026) |
Fundstelle: | ABl. L, 2024/2847, 20.11.2024 |
Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
Regelung ist in Kraft getreten, aber noch nicht anwendbar. | |
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union |
Die Cyberresilienz-Verordnung (CRV) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Cybersicherheit von Produkten mit digitalen Elementen EU-weit vereinheitlicht werden. Dadurch soll ein hohes Cybersicherheitsniveau in der Union sichergestellt und der freie Verkehr von Produkten mit digitalen Elementen im europäischen Binnenmarkt gewährleistet werden.
Die Verordnung wurde am 12. März 2024 vom Europäischen Parlament und am 10. Oktober 2024 vom Rat der Europäischen Union beschlossen.[1] Sie gilt ab dem 11. Dezember 2027.[2]
Sie ergänzt die Datenschutz-Grundverordnung und die NIS-2-Richtlinie.
Die Regulierung gilt insbesondere auch für freie und Open-Source-Produkte, sofern sie in kommerziellen Produkten eingesetzt werden.
Ziel
[Bearbeiten | Quelltext bearbeiten]Bereits im ersten Erwägungsgrund stellt die Verordnung fest:
„Die Cybersicherheit bedeutet eine der größten Herausforderungen für die Union.“[3]
Die Verordnung sollte ursprünglich zwei Hauptprobleme angehen, die hohe Kosten für Nutzer und die Gesellschaft verursachen und zu erheblichen, teils lebensbedrohlichen Risiken, führen:
- Weit verbreitete Schwachstellen in Produkten mit digitalen Elementen und die unzureichende sowie inkonsistente Bereitstellung von Sicherheitsupdates seitens der Hersteller.
- Mangelhaftes Wissen bei nutzenden Personen und unzureichende Informationen für nutzende Stellen, um Produkte mit angemessenen Sicherheitsmerkmalen auszuwählen oder sie sicher zu nutzen.
Das bestehende EU-Recht enthält bereits Cybersicherheitsvorschriften für bestimmte Produktkategorien wie Medizinprodukte, In-vitro-Diagnostika, Kraftfahrzeuge und Luftfahrtprodukte, die auch sicherheitsrelevante Aspekte abdecken. Diese konzentrieren sich jedoch auf meist bestimmte Aspekte wie die Sicherheit von Netz- und Informationssystemen oder die Zertifizierung. Für diese bereits regulierten Produkte gilt auch die Verordnung nicht.
Beide Probleme, die nach Ansicht der EU-Institutionen durch den fehlenden umfassenden Rechtsrahmen für alle „anderen“ Produkten entstehen, sollen durch die Einführung von verbindlichen horizontalen Cybersicherheitsanforderungen und durch die Verbesserung der Transparenz und des Informationszugangs für nutzende Personen und Stellen angegangen werden.
Die Regulierung soll technologieneutral erfolgen.
Inhalt
[Bearbeiten | Quelltext bearbeiten]Kern der Regulierung sind „Produkte mit digitalen Elementen“, welche nicht in bestehende Regulierungsrahmen fallen.[4] Dies sind Software oder Hardware und die zu dieser Software oder Hardware zugehörige Lösung zur entfernt stattfindenden Datenverarbeitung, ohne die das Produkt nicht funktionieren würde.[5]
Verschiedene Arten von Produkten werden verschiedenen Kategorien von Regulierungen unterworfen[6]:
Produkte mit digitalen Elementen | Wichtige Produkte mit digitalen Elementen | Kritische Produkte mit digitalen Elementen | |
---|---|---|---|
Klasse-Ⅰ-Produkte | Klasse-Ⅱ-Produkte | ||
Alle Produkte mit digitalen Elementen, die nicht
|
Identitätsmanagementsysteme, Soft- und Hardware zur Zugangsverwaltung, wie Kartenleser oder Fingerabdruckscanner VPN-Software und Hardware Public-Key-Infrastruktur, physische und virtuelle Netzschnittstellen Mikrocontroller, Mikroprozessoren, virtuelle Assistenten für das Smart Home Smart Home Produkte mit Sicherheitsbezug, |
Hypervisoren und Container-Runtime-Systeme
Firewalls, Angriffserkennungs- und -präventionssysteme manipulationssichere Mikroprozessoren und Mikrocontroller |
Hardwaregeräte mit Sicherheitsboxen
Smart-Meter-Gateways und anderen Geräten für fortgeschrittene Sicherheitszwecke Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente |
Alle Produkte mit digitalen Elementen müssen eine umfassende Liste von Cybersicherheitsanforderungen erfüllen. Dazu gehören unter anderem Anforderungen, dass Produkte:
- ohne bekannte Sicherheitslücken auf den Markt gebracht werden,
- mit sicheren Standardkonfigurationen ausgeliefert werden und die Möglichkeit bieten, in diesen Zustand zurückgesetzt zu werden,
- Sicherheitslücken durch Updates beheben können, idealerweise automatisch,
- vor unbefugtem Zugriff schützen durch Authentifizierungssysteme und andere Kontrollmechanismen und unbefugten Zugriff melden,
- die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleisten, einschließlich personenbezogener Daten, durch Maßnahmen wie Verschlüsselung und Datenminimierung,
- die negativen Auswirkungen auf andere Geräte oder Netzwerke minimieren,
- eine möglichst geringe Angriffsfläche bieten und die Auswirkungen von Sicherheitsvorfällen reduzieren,
- sicherheitsrelevante Informationen aufzeichnen und/oder überwachen,
- Nutzern die Möglichkeit geben, alle Daten und Einstellungen sicher zu löschen.
Darüber hinaus müssen Hersteller von Produkten mit digitalen Elementen sicherstellen, dass:
- Schwachstellen und Komponenten der Produkte identifiziert und dokumentiert werden, gegebenenfalls durch eine Software-Stückliste.
- Schwachstellen unverzüglich behoben werden, idealerweise durch Sicherheitsupdates, die getrennt von Funktionsupdates bereitgestellt werden sollten.
- Die Sicherheit der Produkte regelmäßig getestet und überprüft wird.
- Informationen über behobene Schwachstellen veröffentlicht werden, es sei denn, dies würde die Sicherheit gefährden.
- Ein Konzept für die koordinierte Offenlegung von Schwachstellen (Responsible Disclosure) erstellt und umgesetzt wird.
- Der Austausch von Informationen über mögliche Schwachstellen erleichtert wird.
- Mechanismen für die sichere Verbreitung von Updates bereitgestellt werden.
- Sicherheitsupdates unverzüglich und kostenlos bereitgestellt werden, sofern nicht anders vereinbart.
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ Europäischer Rat: Cyberresilienzgesetz: Rat verabschiedet neues Gesetz über Sicherheitsanforderungen für digitale Produkte. Europäischer Rat, 10. Oktober 2024, abgerufen am 2. November 2024.
- ↑ Artikel 71 Cyberresilienz-Verordnung. 20. November 2024, abgerufen am 20. November 2024.
- ↑ Erwägungsgrund 1, Satz 1
- ↑ Artikel 2 Absatz 2
- ↑ Artikel 3 Nummern 1 und 2
- ↑ Anhänge Ⅲ und Ⅳ