Der Entwurf des Cyber Resilience Acts (CRA) zielt darauf ab, einen Standard mit Anforderungen an die Cyber-Sicherheit für Produkte mit „digitalen Elementen“ zu schaffen. Dazu gehören Produkte wie Smartphones, IoT-Sensoren, Kameras, aber auch Software über den gesamten Lebenszyklus, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Nach Beratung im Parlament und im Council erfolgt die Überarbeitung und Veröffentlichung. Die Pflicht zur Umsetzung beträgt gegenwärtig zwei Jahre, so dass noch einige Zeit ins Land gehen wird, bevor diese Regulierung wirksam wird.
Cyber-Sicherheit wird bei der Entwicklung von Produkten nun zum Prinzip „Cybersecurity by Design“. Hersteller sollen verpflichtet werden, Unterstützung und Softwareaktualisierungen bereitzustellen, um Schwachstellen zu beheben und Verbraucher ausreichend über die Cybersicherheit der Produkte zu informieren. Exekutiv-Vizepräsidentin Vestager: „Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind. Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen.“
Etwas spät, aber mal eine sinnvolle EU-Regulierung. Nur die Umsetzung bzw. die Prüfung der Umsetzung sehe ich als schwierig an. So werden im Anhang im Detail alle möglichen Produktkategorien aufgeführt, die in den Geltungsbereich dieses Gesetzes fallen; damit sind alle neuen Produkte „außen vor“ ;-). Das gilt auch für die vorgeschriebenen Maßnahmen, die sich im Zeitablauf in ihrem Nutzen durchaus ändern können. Die möglichen „Strafen“ bei Non-Compliance sind eher homöopathisch für internationale Unternehmen.
Da lob ich mir das deutsche Produkthaftungsgesetz. Einfach „ordentlich“ funktionierende Produkte verkaufen und es braucht keine 100 Seiten Regulierung und Erläuterung. Ein Vorschlag zur Ergänzung und Diskussion:
„Wird durch den Fehler eines Produkts jemand getötet, sein Körper (ergänzen: seine Persönlichkeit) oder seine Gesundheit verletzt oder eine Sache beschädigt (ergänzen: oder eine strafbare Handlung veranlasst oder steht das Produkt nicht mit der vereinbarten Leistung zur Verfügung), so ist der Hersteller des Produkts verpflichtet, dem Geschädigten den daraus entstehenden Schaden zu ersetzen.“
