Regulierung der Cybersicherheit

Gesetz zur Cyberwiderstandsfähigkeit – EU beginnt öffentliche Konsultation

Bereits letztes Jahr hat die EU angekündigt, ein Gesetz zur Cyberwiderstandsfähigkeit (Cyber Resilience Act – CRA) zu schaffen, da bislang noch kein ausreichender Rechtsrahmen existiert, der spezifische Cybersicherheitsanforderungen für den gesamten Lebenszyklus eines digitalen Produkts verankert. Das Gesetzesvorhaben dient der Stärkung des Verbraucherschutzes und der Wettbewerbsfähigkeit der EU im Bereich der Digitalisierung (von Produkten).

Das geplante Gesetz regelt Cybersicherheitsanforderungen für ein breites Spektrum digitaler Produkte und zugehöriger Nebendienstleistungen. Gegenstand des Gesetzes sind materielle digitale (drahtlose und drahtgebundene) Produkte und nicht eingebettete Software in ihrem gesamten Lebenszyklus. Damit erfasst das Gesetz Hardware und Software gleichermaßen. Als horizontaler Rechtsakt ergänzt das Gesetz punktuell bestehende Cybersicherheitsregelungen wie etwa den Rechtsakt zur Cybersicherheit (Verordnung (EU) 2019/881) oder die Delegierte Verordnung (EU) 2022/30.

Die Gesetzesinitiative definiert die drei folgenden Hauptziele:

  • „Erstens zielt sie darauf ab, ein gleichbleibend hohes Cybersicherheitsniveau für digitale Produkte und Nebendienstleistungen zu gewährleisten und dieses Niveau weiter zu verbessern.
  • Zweitens sollen die Nutzerinnen und Nutzer in die Lage versetzt werden, die Sicherheitseigenschaften solcher Produkte auf ihre Bedürfnisse abzustimmen, indem unter anderem die Transparenz der Cybersicherheitsmerkmale erhöht wird. Dadurch würden die Nutzerinnen und Nutzer vor unsicheren digitalen Produkten und Nebendienstleistungen geschützt und den Anbietern Anreize gegeben, sicherere Produkte anzubieten, wodurch wiederum das Vertrauen in den digitalen Binnenmarkt gestärkt würde.
  • Drittens soll das Funktionieren des Binnenmarkts verbessert werden, indem gleiche Wettbewerbsbedingungen für Anbieter digitaler Produkte und Nebendienstleistungen geschaffen werden.“

Der Gesetzesinitiative liegt der sog. New Legislative Framework (NLF) zugrunde. Danach soll das Gesetz die grundlegenden Cybersicherheitsanforderungen festlegen, die durch (rechtlich nicht verbindliche) harmonisierte Standards für die verschiedenen Produktkategorien konkretisiert werden. Daneben führt der Rechtsakt Pflichten der Wirtschaftsakteure sowie Bestimmungen zur Konformitätsbewertung, zur Notifizierung von Konformitätsbewertungsstellen und zur Marktüberwachung ein.

Diese Initiative unterstreicht noch einmal die zunehmende Bedeutung der Cybersicherheit als Zielgröße in der Produktregulierung. Schließlich wirkt sich die Cybersicherheit maßgeblich auf die Produktsicherheit aus. Ob mit diesem Gesetz tatsächlich ein höheres Schutzniveau erreicht wird und welche konkreten zusätzlichen Pflichten für die Wirtschaftsakteure damit einhergehen, bleibt abzuwarten.

Zur Vertiefung: Wiebe, InTeR 2021, 66 ff. (hier abrufbar); Schucht, NVwZ 2021, 532 ff.

Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe

31. März 2022 Dr. Gerhard Wiebe

Das könnte Sie auch interessieren: