Cyber-Security Made in EU: Cyber Resilience Act und die NIS 2-Richtlinie
Die europäische Cybersicherheitsgesetzgebung besteht aus verschiedenen Rechtsakten. Wie fügt sich der neu vorgeschlagene Cyber Resilience Act (CRA) in dieses System ein?
In diesem Artikel erläutern wir kurz, wie der CRA-Vorschlag mit anderen Teilen der EU-Cybersicherheitsgesetzgebung interagiert. Wir beleuchten die Interaktion zwischen dem CRA-Vorschlag und der NIS-2-Richtlinie (Network and Information Security Directive) und zeigen insbesondere die Wechselwirkungen in Bezug auf Risikomanagementmaßnahmen, koordinierte Sicherheitsrisikobewertungen, Meldepflichten und Vorgaben zur Marktüberwachung auf.
Darüber hinaus gehen wir näher auf die Beziehung zwischen dem CRA-Vorschlag und der NIS-2-Richtlinie hinsichtlich der Klassifizierung kritischer Produkte mit digitalen Elementen ein und zeigen auf, was die Kommission unter "Kritikalität" versteht.
Wir skizzieren, wie der CRA-Vorschlag wesentlichen und wichtigen Unternehmen die Einhaltung der komplexen Due-Diligence-Pflichten der NIS-2-Richtlinie erleichtern und zur Vergleichbarkeit von Informationen über Produkte mit digitalen Elementen beitragen soll.
Der CRA-Vorschlag wird für wesentliche und wichtige Unternehmen einen zusätzlichen Nutzen bringen, da er die Unternehmen bei der Suche nach vertrauenswürdigen Produkten mit digitalen Elementen unterstützt. Wir stellen jedoch auch einige vermeidbare Unzulänglichkeiten des CRA-Vorschlags fest.
1. Einleitung
Im digitalen Zeitalter gewinnen Cybersicherheit und Resilienz zunehmend an Bedeutung. Tatsächlich betreffen Cybersicherheitsbedrohungen und das Risiko von Cyberangriffen fast alle Sektoren und alle Arten von Produkten mit digitalen Elementen.
Zahlreiche Arten von Schadsoftware und die Entwicklung von Mechanismen für Cyberangriffe und -einbrüche haben es geschafft, Lieferketten sowie die Integrität, Verfügbarkeit und Vertraulichkeit von Daten zu bedrohen. Viele Unternehmen weltweit äußern derzeit Bedenken hinsichtlich ihrer Verantwortung für die Gewährleistung der Cybersicherheit. Bis 2021 wurden die jährlichen globalen Verluste durch Cyberkriminalität auf 5,5 Billionen Euro geschätzt.
Im schlimmsten Fall können finanzielle und Reputationsschäden durch Cyberangriffe zur Schließung eines Unternehmens führen, was vor allem kleine und mittlere Unternehmen betrifft [Bericht CNBC].
Hardware- und Softwareprodukte sind besonders anfällig für Cyberangriffe. Produkte mit digitalen Elementen wie Laptops, Smartphones, Chips, Betriebssysteme, mobile und Desktop-Anwendungen sind Teil des Alltags moderner Nutzer und Unternehmen. Die Ausnutzung von Cybersicherheitsschwachstellen erfolgt oft ohne physischen Zugang zu Netzwerken, sodass Angriffe weltweit aus der Ferne stattfinden.
Unzureichende Produktsicherheit kann zu erfolgreichen Cyberangriffen führen, die die gesamte Lieferkette betreffen und grenzüberschreitende Auswirkungen haben. Moderne Produkte mit digitalen Elementen koexistieren in einer vernetzten Umgebung, sodass sich Cybervorfälle schnell über Organisationen und Märkte hinweg ausbreiten.
Der Angriff des WannaCry-Wurms auf Windows-basierte Computer, der mehr als 200.000 Geräte in 150 Ländern traf, ist eines der prominentesten Beispiele, das die Risiken mangelnder Cybersicherheit in Produkten veranschaulicht. Darüber hinaus gibt es Belege dafür, dass das Cybersicherheitsniveau je nach Markt und Produkttyp stark variiert ["Studie zum Bedarf an Cybersicherheitsanforderungen für IKT-Produkte", Europäischen Kommision, 2021].
Sektorspezifische Gesetzgebung hat das Bewusstsein einiger Marktteilnehmer für Cybersicherheitsrisiken in den entsprechenden Märkten geschärft. Die Cybersicherheit mehrerer Verbrauchergeräte und Softwareprodukte ist jedoch noch nicht durch EU-Gesetzgebung abgedeckt und sehr anfällig für Angriffe. Zudem mangelte es auf Ebene der Mitgliedstaaten an Bemühungen, die Cybersicherheit von Produkten mit digitalen Elementen zu stärken.
Um diese Regelungslücke zu schließen, veröffentlichte die Europäische Kommission Mitte September 2022 ihren lang erwarteten Entwurf des Cyber Resilience Act (CRA-Vorschlag). Diese europäische Initiative legt horizontale Regeln fest, die darauf abzielen, das Niveau der Cyberresilienz aller Produkte mit digitalen Elementen zu erhöhen und Rechtssicherheit für ein breites Spektrum von Wirtschaftsakteuren zu schaffen, die mit diesen Produkten umgehen.
Der CRA-Vorschlag führt Regeln für Design, Entwicklung, Herstellung und Inverkehrbringen von fast allen "Produkten mit digitalen Elementen" ein, unabhängig von spezifischen Sektoren oder Märkten. Laut dem Vorschlag umfassen Produkte mit digitalen Elementen alle Hardware- und Softwareprodukte sowie Lösungen zur Fernverarbeitung von Daten, deren Nutzung eine Datenverbindung zu einem Gerät oder Netzwerk beinhaltet. Somit gilt der CRA für ein breites Spektrum von Produkten, unabhängig davon, ob sie in kritischen Infrastrukturen, zur Erfüllung wesentlicher Funktionen oder zum Umgang mit sensiblen Informationen verwendet werden.
Das Gesetz legt auch Verpflichtungen für Marktteilnehmer (d.h. Hersteller, Importeure und Händler) fest, Anforderungen für den Umgang mit Schwachstellen sowie Bestimmungen für die Marktüberwachung und die Durchsetzung der Anforderungen des CRA-Vorschlags. Mit diesen einheitlichen Regeln für alle Produkte mit digitalen Elementen strebt die Kommission an, das Risiko von Cyberangriffen zu minimieren und das reibungslose Funktionieren des Binnenmarktes zu ermöglichen.
2. CRA im System des EU-Cybersicherheitsrahmens
Die aktuelle EU-Cybersicherheitsgesetzgebung deckt jedoch nur einige Aspekte der Cybersicherheit ab und bleibt fragmentiert. Wie fügt sich der CRA-Vorschlag in das System der europäischen Cybersicherheitsgesetzgebung ein?
In diesem Abschnitt erläutern wir , wie der CRA-Vorschlag mit anderen zentralen Teilen der Cybersicherheitsgesetzgebung in der EU interagiert. Der CRA-Vorschlag legt horizontale Cybersicherheitsanforderungen für die meisten Produkte mit digitalen Elementen fest. Der Geltungsbereich ist jedoch begrenzt, da einige dieser Produkte bereits entweder durch sektorspezifische EU-Gesetzgebung oder aufgrund ihrer besonderen Merkmale abgedeckt sind.
So gilt der CRA-Vorschlag nicht für Produkte mit digitalen Elementen, die als Medizinprodukte oder In-vitro-Diagnostika zur Anwendung beim Menschen gemäß den Verordnungen (EU) 2017/745 und 2017/746 gelten. Gemäß diesen Verordnungen müssen Hersteller Risikomanagement- und IT-Sicherheitsmaßnahmen anwenden sowie Konformitätsbewertungen durchführen.
Das Gesetz gilt auch nicht für Kraftfahrzeuge oder deren Systeme, Komponenten und selbstständige technische Einheiten gemäß der Verordnung (EU) 2019/2144.
Luftfahrtprodukte, -teile und -ausrüstungen gemäß der Verordnung (EU) 2018/1139, die nach der Verordnung zur Zivilluftfahrt (EU) 2018/1139 zertifiziert sind, sind ebenfalls ausgenommen. Für diese Produkte gelten sektorspezifische Cybersicherheitsvorschriften, die den besonderen Merkmalen der Produkte Rechnung tragen.
Darüber hinaus sind Produkte, die für nationale Sicherheits- oder militärische Zwecke oder speziell für die Verarbeitung von vertraulichen Informationen konzipiert sind, ebenfalls vom Geltungsbereich des CRA-Vorschlags ausgeschlossen.
Funkgeräte: Artikel 3 Absatz 3 Buchstaben d, e und f der Funkgeräterichtlinie (RED) enthält bereits Anforderungen, die für einige Produkte mit digitalen Elementen gelten und einige Aspekte der Cybersicherheit betreffen.
Gleichzeitig stimmen die wesentlichen Cybersicherheitsanforderungen des CRA-Vorschlags mit den durch die RED festgelegten Anforderungen überein. Der CRA-Vorschlag sieht vor, dass die relevanten Produkte mit digitalen Elementen, die derzeit den Bestimmungen der RED unterliegen, nur die CRA-Anforderungen erfüllen müssen, sobald der CRA in Kraft tritt. Dazu strebt die Kommission an, Änderungen an der RED-delegierten Verordnung (EU) 2022/30 zu erlassen, um eine regulatorische Überschneidung zu vermeiden. Somit werden die Anforderungen des CRA für diese Produkte Vorrang haben.
Messgeräte: Der CRA wird für Produkte mit digitalen Elementen gelten, die als Messgeräte betrachtet werden, und ergänzt damit die Richtlinie 2014/32/EU, die wesentliche Anforderungen an die Eignung und den Schutz vor Verfälschung für Produkte in ihrem Anwendungsbereich festlegt.
Verbraucherprodukte: Die vorgeschlagene Verordnung zur allgemeinen Produktsicherheit (GPSR) befasst sich mit der Produktsicherheit im engeren Sinne und enthält keine spezifischen Cybersicherheitsanforderungen. Es ist vorgesehen, dass einige Bestimmungen der GPSR weiterhin für Produkte mit digitalen Elementen gelten, um zusätzlich jene Sicherheitsrisiken zu behandeln, die nicht durch den CRA-Vorschlag abgedeckt sind.
Systeme der künstlichen Intelligenz: Produkte mit digitalen Elementen, die als Hochrisiko-KI-Systeme gemäß der vorgeschlagenen Verordnung über künstliche Intelligenz (KI-Verordnung) gelten, müssen die wesentlichen Anforderungen des CRA-Vorschlags erfüllen. Bei der Erfüllung dieser Anforderungen wird davon ausgegangen, dass sie auch den Cybersicherheitsanforderungen der KI-Verordnung entsprechen, sofern diese Anforderungen durch eine im Rahmen des CRA ausgestellte EU-Konformitätserklärung abgedeckt sind. Solche Hochrisiko-KI-Systeme unterliegen auch den Konformitätsbewertungsverfahren der KI-Verordnung anstelle derer des CRA-Vorschlags. Wenn jedoch ein Hochrisiko-KI-System einem Konformitätsbewertungsverfahren auf der Grundlage interner Kontrolle gemäß der KI-Verordnung unterliegt und gleichzeitig ein Produkt mit digitalen Elementen ist, das gemäß dem CRA-Vorschlag als kritisch eingestuft wird, sollten die Konformitätsbewertungsverfahren des CRA-Vorschlags Vorrang haben, soweit es um die wesentlichen Anforderungen des CRA geht. Für andere Aspekte, die nicht mit diesen wesentlichen Anforderungen zusammenhängen, gelten die Verfahren der KI-Verordnung.
Maschinenprodukte: Für Produkte mit digitalen Elementen, die in den Anwendungsbereich der vorgeschlagenen Maschinenverordnung (MR) fallen und für die eine EU-Konformitätserklärung gemäß dem CRA-Vorschlag ausgestellt wird, wird davon ausgegangen, dass sie die in der vorgeschlagenen MR festgelegten grundlegenden Gesundheits- und Sicherheitsanforderungen erfüllen, wenn das durch diese Anforderungen vorgeschriebene Schutzniveau in der genannten Konformitätserklärung nachgewiesen wird.
Der CRA-Vorschlag ist weiterhin mit anderen europäischen Politiken wie dem Cybersecurity Act (CSA) verknüpft. Der CSA zielt darauf ab, die Sicherheit von Produkten, Dienstleistungen und Prozessen der Informations- und Kommunikationstechnologie (IKT) durch die Einführung freiwilliger europäischer Cybersicherheitszertifizierungssysteme zu fördern.
Solche Systeme können auch Produkte mit digitalen Elementen umfassen. In diesem Fall werden diese Systeme die im CRA-Vorschlag festgelegten Konformitätsbewertungsverfahren erleichtern, insofern als Produkte, die zertifiziert wurden oder für die eine EU-Konformitätserklärung oder ein Zertifikat im Rahmen solcher Systeme ausgestellt wurde, als konform mit den wesentlichen Anforderungen des CRA-Vorschlags gelten.
Darüber hinaus ergänzt der CRA-Vorschlag die verschiedenen Anforderungen für wesentliche und wichtige Einrichtungen, die in der Richtlinie zur Netz- und Informationssicherheit 2 (NIS 2) festgelegt sind. Das Zusammenspiel zwischen diesen Rechtsakten wird im folgenden Abschnitt ausführlicher beschrieben.
3 CRA und NIS 2: Punkte der (Nicht-)Interaktion
Im Jahr 2016 wurde die erste EU-weite Cybersicherheitsgesetzgebung, die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS 1-Richtlinie), verabschiedet. Die seit dem 10. Mai 2018 geltende Richtlinie legt "gemeinsame Mindestanforderungen für den Kapazitätsaufbau und die Planung, den Informationsaustausch, die Zusammenarbeit und gemeinsame Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste" fest, um "das Funktionieren des Binnenmarktes zu verbessern".
Am 16. Dezember 2020 legte die Europäische Kommission einen Vorschlag zur Aufhebung der NIS 1-Richtlinie und zu deren Ersetzung durch eine neue Richtlinie (NIS 2-Richtlinie) vor, um "das allgemeine Cybersicherheitsniveau in der Union weiter zu erhöhen". Am 13. Mai 2022 erzielten Unterhändler des Europäischen Parlaments (EP) und des Rates eine vorläufige Einigung über die neue NIS 2-Richtlinie [zur Richtlinie]. Der endgültige Text dieser Richtlinie wurde dann am 10. November 2022 vom EP [4] und am 28. November 2022 vom Rat [5] formell angenommen. Während sich die NIS 2-Richtlinie unter anderem darauf konzentriert, das Cybersicherheitsniveau der von privaten und öffentlichen Einrichtungen erbrachten Dienstleistungen zu stärken, die als kritisch für das Funktionieren einer Gesellschaft erachtet werden, priorisiert der CRA-Vorschlag Maßnahmen zur Verbesserung des Cybersicherheitsniveaus von Hardware- und Softwareprodukten. Dennoch haben die beiden Rechtsakte einige enge Verbindungen. Dieses Zusammenspiel wird im Folgenden dargestellt.
3.1 Risikomanagementmaßnahmen gemäß der NIS 2-Richtlinie und dem CRA
Gemäß der neuen NIS 2-Richtlinie sind Betreiber wesentlicher Dienste und Anbieter digitaler Dienste verpflichtet, "angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der von ihnen genutzten Netz- und Informationssysteme zu bewältigen". Darüber hinaus müssen sie sicherstellen, dass die Auswirkungen von Cybervorfällen auf ihre Dienstleistungsempfänger durch solche Risikomanagementmaßnahmen verhindert oder minimiert werden. Durch diese Maßnahmen müssen sie ein Sicherheitsniveau erreichen, das "dem Risiko angemessen ist".
Im Rahmen solcher Risikomanagementanforderungen betont die NIS 2-Richtlinie Cybersicherheitsrisiken innerhalb der Lieferketten der wesentlichen und wichtigen Einrichtungen sowie deren Beziehung zu ihren Lieferanten. Der Gesetzgeber hielt einen solchen Fokus für besonders wichtig, da die Einrichtungen "Opfer von Cyberangriffen" auf ihre Netz- und Informationssysteme aufgrund von "Schwachstellen in Produkten und Dienstleistungen Dritter" geworden sind.
Folglich verlangt die NIS 2-Richtlinie von wesentlichen und wichtigen Einrichtungen die Umsetzung von Lieferkettensicherheitsmaßnahmen, um ihre Netz- und Informationssysteme vor cyberbezogenen Vorfällen zu schützen. Solche Maßnahmen werden sich auf die Verbindung zwischen der spezifischen Einrichtung und ihren "direkten Lieferanten und Dienstleistern" konzentrieren. In dieser Hinsicht werden insbesondere die Qualität und Widerstandsfähigkeit der Produkte und Dienstleistungen dieser Lieferanten und Anbieter, ihre Cybersicherheitspraktiken und Entwicklungsverfahren sowie ihre spezifischen Schwachstellen von den Einrichtungen berücksichtigt. Darüber hinaus werden wesentliche und wichtige Einrichtungen ermutigt, Cybersicherheit als Element in ihre vertraglichen Vereinbarungen mit ihren direkten Lieferanten und Dienstleistern aufzunehmen.
Positiv zu vermerken ist, dass diese neuen Sorgfaltspflichten, die wesentlichen und wichtigen Einrichtungen in Bezug auf ihre Lieferketten auferlegt werden, das Niveau der Cybersicherheit erhöhen. Nachteilig ist jedoch, dass dies die alleinige Verantwortung auf diese Einrichtungen am Ende der Wertschöpfungskette legt, da eine intensive Prüfung jedes einzelnen Lieferanten und Dienstleisters zeitaufwendig und kostspielig ist. Hier kommt der CRA-Vorschlag ins Spiel. Der CRA-Vorschlag soll wesentliche und wichtige Einrichtungen bei der Einhaltung anspruchsvoller Sorgfaltspflichten unterstützen. Gleichzeitig übt er mehr Druck auf Hersteller aus, Hardware- und Softwareprodukte zu liefern, die cybersicher sind und die entsprechenden hohen Standards erfüllen, die diese Einrichtungen benötigen.
Erstens strebt der CRA-Vorschlag an, sicherzustellen, dass Hardware- und Softwareprodukte, die von wesentlichen und wichtigen Einrichtungen zur Erbringung ihrer Dienstleistungen verwendet werden, zumindest Mindestanforderungen an die Cybersicherheit erfüllen. Beispielsweise wird der CRA-Vorschlag garantieren, dass Produkte mit digitalen Elementen vor dem Inverkehrbringen so konzipiert, entwickelt und hergestellt werden müssen, dass sie ein angemessenes Cybersicherheitsniveau gewährleisten; ohne bekannte ausnutzbare Schwachstellen geliefert werden müssen; und in einer sicheren Standardkonfiguration bereitgestellt werden müssen.
Darüber hinaus muss jeder Hersteller von Produkten mit digitalen Elementen Konformitätsbewertungsverfahren durchführen, die nachweisen, dass ihre Produkte die Cybersicherheitsanforderungen des CRA-Vorschlags erfüllen. Während dies wesentliche und wichtige Einrichtungen nicht von der Verpflichtung befreit, ihre Lieferanten und Dienstleister angemessen zu überprüfen, können sie zumindest ein bestimmtes Qualitäts- und Widerstandsfähigkeitsniveau bei allen verwendeten Hardware- und Softwareprodukten erwarten. Somit würde der CRA-Vorschlag "den Kreis der Lieferkettensicherheitsgarantien schließen", indem er als Instrument dient, um eine Situation zu vermeiden, in der "selbst der sorgfältigste Risikomanagementprozess kein hohes Maß an organisatorischer Sicherheit bieten kann", weil "der Markt für Produkte mit digitalen Elementen nicht den Sicherheitsbedürfnissen von Organisationen entspricht".
Zweitens fehlen wesentlichen und wichtigen Einrichtungen häufig vergleichbare Informationen über die Sicherheitseigenschaften von Produkten mit digitalen Elementen, die von Herstellern geliefert werden, was sie daran hindert, eine fundierte Kaufentscheidung zu treffen und ihre Bemühungen zur Erfüllung der Sorgfaltspflichten behindert. In dieser Hinsicht könnten die neuen Transparenzanforderungen des CRA-Vorschlags hinsichtlich der Cybersicherheitsmerkmale von Produkten mit digitalen Elementen es wesentlichen und wichtigen Einrichtungen ermöglichen, geeignete und zuverlässige Produkte leichter zu identifizieren.
Insbesondere müssen Hersteller technische Dokumentationen erstellen, bevor sie ihr Produkt mit digitalen Elementen auf den Markt bringen. Die technische Dokumentation wird Informationen über die vom Hersteller verwendeten Mittel zur Erfüllung der wesentlichen Cybersicherheitsanforderungen enthalten. Darüber hinaus müssen Hersteller den Produktnutzern Informationen bereitstellen, beispielsweise über die Umstände, unter denen Cybersicherheitsrisiken bei der Verwendung des Produkts auftreten können, und darüber, wie lange Nutzer Sicherheitsupdates erwarten können. Somit können die Transparenzverpflichtungen des CRA-Vorschlags zumindest "fachkundigen Nutzern oder Unternehmen [...] ermöglichen, Sicherheitsanforderungen mit Sicherheitseigenschaften zu vergleichen".
Infolgedessen erwartet die Europäische Kommission, dass der CRA-Vorschlag "erhebliche Kosteneinsparungen" für die wesentlichen und wichtigen Einrichtungen im Anwendungsbereich der NIS 2-Richtlinie bringen wird, da die Cybersicherheit der in ihrer gesamten Lieferkette verwendeten Produkte mit digitalen Elementen verbessert wird. Insbesondere betont die Kommission, dass der CRA-Vorschlag "darauf abzielt, die Einhaltung der Lieferkettenanforderungen (der NIS2-Richtlinie) durch Anbieter digitaler Infrastrukturen zu erleichtern, indem sichergestellt wird, dass die Produkte mit digitalen Elementen, die sie zur Erbringung ihrer Dienstleistungen verwenden, auf sichere Weise entwickelt werden".
3.2 Koordinierte Sicherheitsrisikobewertungen der NIS 2-Richtlinie und des CRA
Um wesentlichen und wichtigen Einrichtungen bei der Bewältigung ihrer wichtigsten Lieferkettenrisiken zu helfen, sieht die NIS 2-Richtlinie vor, dass die "Kooperationsgruppe", die sich aus Vertretern der Mitgliedstaaten, der Europäischen Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) zusammensetzt, "koordinierte Sicherheitsrisikobewertungen spezifischer kritischer IKT- und ICS-Dienstleistungen, -Systeme oder -Produkte-Lieferketten" durchführen kann.
Das Ziel dieser Bewertungen, die sowohl technische als auch nicht-technische Überlegungen berücksichtigen sollten, ist es, für jeden Sektor diejenigen IKT- und ICS-Dienste, -Systeme oder -Produkte zu identifizieren, die als kritisch erachtet werden, und die Einrichtungen zu ermutigen, diese Bewertungen zu berücksichtigen. Die Europäische Kommission ist ermächtigt, die "kritischen IKT- und ICS-Dienste, -Systeme oder -Produkte" zu identifizieren, die Gegenstand solcher Bewertungen sein können, basierend auf Kriterien wie dem Umfang, in dem wesentliche und wichtige Einrichtungen diese Dienste, Systeme oder Produkte nutzen und sich auf sie verlassen, oder ihrer Relevanz für die Ausführung kritischer oder sensibler Funktionen.
In dieser Hinsicht mag eine Verbindung zum CRA-Vorschlag nicht unmittelbar ersichtlich sein. Der CRA-Vorschlag legt jedoch unterschiedliche Kritikalitätsstufen für Kategorien von Produkten mit digitalen Elementen fest, wobei die Kritikalität von der Europäischen Kommission bestimmt wird, einerseits durch die Erstellung von Listen kritischer Produkte im Basisrechtsakt selbst und andererseits durch ihre Spezifizierung mittels delegierter Rechtsakte nach der Annahme des CRA (für weitere Details siehe nächstes Unterkapitel).
Die NIS 2-Richtlinie betrachtet die koordinierten Sicherheitsrisikobewertungen für kritische IKT-Produkte sowie IKT-Dienste und -Systeme umfassend. Obwohl sie sich nicht speziell auf Produkte mit digitalen Elementen konzentriert, kann es dennoch Überschneidungen geben, da solche Produkte gleichzeitig als IKT-Produkte betrachtet werden können. Infolgedessen wird es einige Überschneidungen zwischen der NIS 2-Richtlinie und dem CRA-Vorschlag geben, wenn es darum geht, jene Produkte zu identifizieren, die als kritisch für die Lieferketten der Einrichtungen erachtet werden.
3.3 Klassifizierung kritischer Produkte mit digitalen Elementen im CRA-Vorschlag und der NIS 2-Richtlinie
Die erste Gruppe besteht aus weniger kritischen Produkten, wie Textverarbeitungssoftware, Festplatten und Spielen; die zweite aus kritischeren Produkten (Klasse 1), wie Browsern und Passwort-Managern; und die dritte aus noch kritischeren Produkten (Klasse 2), wie Betriebssystemen, Firewalls für industrielle Nutzung und sicheren Elementen. Darüber hinaus wurde eine vierte Gruppe hochkritischer Produkte eingerichtet, zu der, zumindest ab Inkrafttreten des CRA-Vorschlags, keine spezifische Produktklasse gehört. Der CRA-Vorschlag etabliert diese vier Gruppen, um strengere Konformitätsbewertungsverfahren für kritische Produkte mit digitalen Elementen zu ermöglichen.
Die Europäische Kommission hat bereits zwei Listen kritischer Produkte in Anhang III des CRA-Vorschlags erstellt; eine für diejenigen, die zur Klasse 1 gehören, und eine für diejenigen, die zur Klasse 2 gehören. Innerhalb dieser Listen ist eine spezifische Verbindung zur NIS 2-Richtlinie erkennbar. Zu den Produkten der Klasse 1 gehören "anwendungsspezifische integrierte Schaltkreise (ASIC) und feldprogrammierbare Gate-Arrays (FPGA)" und zu den Produkten der Klasse 2 gehören "industrielle Automatisierungs- und Kontrollsysteme (IACS)" und das "industrielle Internet der Dinge", aber jeweils nur, wenn sie "zur Verwendung durch wesentliche Einrichtungen" gemäß der NIS 2-Richtlinie bestimmt sind.
Der CRA-Vorschlag sieht weiterhin vor, dass die Kommission ermächtigt wird, Produktkategorien über delegierte Rechtsakte zu den Listen der Produkte der Klassen 1 und 2 hinzuzufügen oder daraus zu entfernen, "unter Berücksichtigung des Cybersicherheitsrisikoniveaus im Zusammenhang mit der Kategorie von Produkten mit digitalen Elementen". Bei der Bestimmung, welche Produktkategorien hinzugefügt oder entfernt werden sollten, muss die Europäische Kommission mehrere Kriterien berücksichtigen, unter anderem ob die Kategorie des Produkts mit digitalen Elementen zur Verwendung in einer "sensiblen Umgebung" bestimmt ist. Eine solche "sensible Umgebung" kann unter anderem die Verwendung der Produktkategorie durch wesentliche Einrichtungen gemäß der NIS 2-Richtlinie umfassen.
Eine solche beabsichtigte Nutzung durch wesentliche Einrichtungen spielt auch eine Schlüsselrolle bei der Bestimmung jener Kategorien von Produkten mit digitalen Elementen, die unter die vierte Gruppe fallen sollten, die auf hochkritische Produkte mit digitalen Elementen abzielt. Die Kommission kann solche Kategorien per delegiertem Rechtsakt spezifizieren. Dabei muss sie - zusätzlich zur Berücksichtigung der Kriterien für die Produktkategorien der Klassen 1 und 2 - auch prüfen: (1) ob sie "von den wesentlichen Einrichtungen" gemäß der NIS 2-Richtlinie "verwendet oder auf sie vertraut wird" oder (2) ob sie "potenzielle zukünftige Bedeutung für die Aktivitäten [der wesentlichen] Einrichtungen" haben."
Somit verknüpft die Europäische Kommission, zumindest für diese Produkttypen, die Kritikalität von Produktkategorien damit, ob sie zur Verwendung durch wesentliche Einrichtungen bestimmt sind, und begründet dies damit, dass "die Schwere der Auswirkungen eines Cybersicherheitsvorfalls [...] zunehmen kann, wenn man die beabsichtigte Verwendung des Produkts" durch diese Einrichtungen berücksichtigt.
3.3 Klassifizierung kritischer Produkte mit digitalen Elementen im CRA-Vorschlag und der NIS 2-Richtlinie
Die Meldung erheblicher Vorfälle muss in einem "mehrstufigen Ansatz" erfolgen. Zunächst muss eine erste Meldung ("Frühwarnung") unverzüglich, spätestens jedoch innerhalb von 24 Stunden übermittelt werden. Innerhalb von 72 Stunden muss eine zweite Meldung folgen. Diese aktualisiert die Frühwarnmeldung und liefert eine erste Bewertung des Vorfalls. Die Frist für beide Meldungen beginnt in dem Moment, in dem die jeweilige Einrichtung Kenntnis von dem Vorfall erlangt. Zu einem späteren Zeitpunkt müssen die Einrichtungen weitere Berichte liefern, unter anderem einen Zwischenbericht über relevante Statusaktualisierungen und einen Abschlussbericht innerhalb eines Monats nach Übermittlung des ersten 72-Stunden-Berichts. Adressaten der Vorfallsmeldungen sind die nationalen Computer-Notfallteams (CSIRTs), die von den Mitgliedstaaten benannt und eingerichtet werden und für die Vorfallsbearbeitung zuständig sind, sowie gegebenenfalls die nationalen zuständigen Behörden. Wenn eine Meldung bei einer nationalen zuständigen Behörde eingeht, muss diese Behörde sie nach Erhalt an das zuständige CSIRT weiterleiten.
Der CRA-Vorschlag verfolgt einen etwas anderen Ansatz. Erstens sieht er keinen mehrstufigen Ansatz vor. Die einzige und alleinige Meldung muss "unverzüglich und in jedem Fall innerhalb von 24 Stunden" gesendet werden. Es gibt danach keine weiteren Berichtspflichten. Zweitens gelten die Meldepflichten, die für die Hersteller von Produkten mit digitalen Elementen gelten, nicht nur für "Vorfälle", die Auswirkungen auf die Sicherheit der Produkte haben, sondern auch für alle "aktiv ausgenutzte Schwachstellen", die in ihnen enthalten sind. Drittens muss im Gegensatz zur NIS 2-Richtlinie "jeder" Vorfall und/oder "jede" aktiv ausgenutzte Schwachstelle gemeldet werden. Ihre jeweilige Bedeutung spielt also überhaupt keine Rolle. Schließlich sind die ersten Adressaten von Meldungen gemäß dem CRA-Vorschlag nicht die CSIRTs oder die zuständigen nationalen Behörden, sondern ENISA.
Dies wird von der Kommission damit begründet, dass "die meisten Produkte mit digitalen Elementen im gesamten Binnenmarkt vermarktet werden, [so dass] jede ausgenutzte Schwachstelle [...] als Bedrohung für das Funktionieren des Binnenmarkts betrachtet werden sollte". Sobald eine Meldung bei ENISA eingegangen ist, muss ENISA im Falle einer Schwachstelle die besagte Meldung, vorbehaltlich begründeter cybersicherheitsbezogener Gründe, an die CSIRTs und die Marktüberwachungsbehörde(n) weiterleiten, oder im Falle eines Vorfalls an die einzige Kontaktstelle des Mitgliedstaats und die Marktüberwachungsbehörde.
Zusammenfassend lässt sich sagen, dass der CRA-Vorschlag einstufige Meldepflichten anstelle eines mehrstufigen Ansatzes einführt, sich nicht auf die Bedeutung von Schwachstellen oder Vorfällen konzentriert und einen anderen Adressaten für Meldungen festlegt. Infolgedessen müssen wesentliche und wichtige Einrichtungen im Sinne der NIS 2-Richtlinie, die auch Hersteller im Sinne des CRA-Vorschlags sind und umgekehrt, unterschiedliche Arbeitsabläufe und Verfahren für die Meldung von Vorfällen und/oder Schwachstellen einrichten.
3.5 Die Rolle von Software as a Service (SaaS)
Der Schwerpunkt des CRA-Vorschlags liegt also eindeutig darauf, ein hohes Maß an Cybersicherheit für "Produkte" zu gewährleisten. Er deckt jedoch keine "Dienstleistungen" ab, mit Ausnahme der oben erwähnten "Fernverarbeitungslösungen für Daten". Folglich wird die Cybersicherheit von Diensten, die üblicherweise als Software-as-a-Service (SaaS) bezeichnet werden, nicht über den CRA-Vorschlag adressiert, mit Ausnahme von Fernverarbeitungslösungen, die sich auf ein Produkt mit digitalen Elementen beziehen. Im Gegenteil, die Europäische Kommission ist der Ansicht, dass die Widerstandsfähigkeit solcher Cloud-Computing-Dienste und Cloud-Service-Modelle ausschließlich durch die Cybersicherheits- und Meldeanforderungen der NIS 2-Richtlinie adressiert werden sollte, die für wesentliche und wichtige Einrichtungen gelten, einschließlich Cloud-Computing-Diensteanbieter, die den Schwellenwert für mittelgroße Unternehmen erreichen oder überschreiten.
3.6 Marktüberwachung gemäß dem CRA-Vorschlag und der NIS 2-Richtlinie
Es gibt eine erste Verbindung zwischen dem CRA-Vorschlag und der NIS 2-Richtlinie bei der Wahl der zuständigen Aufsichtsbehörde(n). Bei der Auswahl der nationalen Marktüberwachungsbehörde(n) ist es dem jeweiligen Mitgliedstaat auch erlaubt, die nationale(n) zuständige(n) Behörde(n) zu benennen, die für die Überprüfung der Einhaltung der Anforderungen der NIS 2-Richtlinie zuständig sind. Die Kommission beabsichtigt also, es zu ermöglichen - aber nicht vorzuschreiben -, dass die Aufsicht über wesentliche und wichtige Einrichtungen im Sinne der NIS 2-Richtlinie in denselben Händen liegt wie die Aufsicht über Hersteller, Importeure und Händler von Produkten mit digitalen Elementen im Sinne des CRA-Vorschlags.
Eine zweite Verbindung betrifft Regeln im CRA-Vorschlag, die darauf abzielen, Risiken zu mindern, die auftreten können, wenn ein Produkt mit digitalen Elementen, obwohl es den CRA-Anforderungen entspricht, dennoch ein Risiko für "die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Dienstleistungen darstellt, die unter Verwendung eines elektronischen Informationssystems von wesentlichen Einrichtungen" im Sinne der NIS 2-Richtlinie angeboten werden. Falls eine Marktüberwachungsbehörde im Rahmen einer Bewertung feststellt, dass ein solches Risiko besteht und das Produkt zudem ein erhebliches Cybersicherheitsrisiko darstellt, "muss sie vom betreffenden Wirtschaftsakteur verlangen, alle geeigneten Maßnahmen zu ergreifen", um sicherzustellen, dass das Produkt dieses Risiko nicht mehr darstellt, es vom Markt zu nehmen oder zurückzurufen, je nach spezifischem Risiko.
Darüber hinaus bemüht sich der CRA-Vorschlag darum, der Europäischen Kommission zu ermöglichen, die Marktüberwachungsbehörde(n) aufzufordern, eine solche Bewertung durchzuführen, wenn sie "hinreichende Gründe zu der Annahme hat", dass solche Risiken für "die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Dienstleistungen bestehen, die unter Verwendung eines elektronischen Informationssystems von wesentlichen Einrichtungen" angeboten werden. Und falls die jeweilige(n) Marktüberwachungsbehörde(n) keine "wirksamen Maßnahmen" ergreifen, kann die Europäische Kommission auch ENISA auffordern, eine solche Bewertung durchzuführen, zumindest unter "außergewöhnlichen Umständen" und um das ordnungsgemäße Funktionieren des Binnenmarkts zu gewährleisten. "Außergewöhnliche Umstände" können beispielsweise eine Situation sein, in der das betreffende Produkt bekannte Schwachstellen enthält, die ausgenutzt werden, und "in Schlüsselsektoren von Einrichtungen [verwendet wird], die in den Anwendungsbereich der NIS 2-Richtlinie fallen". Auf der Grundlage einer solchen Bewertung ist es der Kommission erlaubt, "Korrektur- oder Beschränkungsmaßnahmen" zu erlassen, einschließlich Rücknahmen und Rückrufe der Produkte, durch Durchführungsrechtsakte und "verhältnismäßig zur Art des Risikos".
Infolgedessen können sowohl die nationale(n) Marktüberwachungsbehörde(n), die die zuständige(n) Behörde(n) gemäß der NIS 2-Richtlinie sein können, als auch die Kommission gemäß dem CRA-Vorschlag eingreifen, falls spezifische Risiken für wesentliche Einrichtungen bestehen, die von Produkten mit digitalen Elementen ausgehen, und diese Eingriffe können sogar zu Rücknahmen oder Rückrufen besagter Produkte führen.
4. Schlussfolgerung
Mit ihrem CRA-Vorschlag hat die Europäische Kommission eine lang erwartete und absolut kritische neue Verordnung zur Förderung der Cybersicherheit von Produkten mit digitalen Elementen vorgelegt. Als horizontaler Rechtsakt fügt der CRA eine weitere Ebene zur umfassenden europäischen cyberbezogenen Gesetzgebung hinzu. Diese umfasst bereits ein Flickwerk aus zahlreichen sektoralen und produktspezifischen Rechtsvorschriften wie der RED und horizontalen Rechtsrahmen wie der NIS 2-Richtlinie, die Cybersicherheitsanforderungen für private und öffentliche Einrichtungen festlegt, die als kritisch für eine Gesellschaft erachtet werden. Natürlich ist ein reibungsloses Zusammenspiel zwischen diesen verschiedenen cyberbezogenen Rechtsakten notwendig, um regulatorische Überschneidungen zu vermeiden, Rechtssicherheit für alle relevanten Marktakteure zu gewährleisten und ein hohes Cybersicherheitsniveau innerhalb der EU zu fördern.
In diesem Artikel haben wir kurz das Zusammenspiel zwischen verschiedenen bestehenden sektoralen und produktspezifischen EU-Richtlinien und -Verordnungen aufgezeigt, was jedoch weitere Forschung und genaue Prüfung während des bevorstehenden Gesetzgebungsverfahrens erfordern wird.
Bei der Betrachtung der Beziehung zwischen dem CRA-Vorschlag und der NIS 2-Richtlinie haben wir mehrere wichtige Bereiche des Zusammenspiels identifiziert. Vor allem können die vorgeschlagenen Cybersicherheitsanforderungen des CRA wesentlichen und wichtigen Einrichtungen helfen, die Risikomanagementanforderungen der NIS 2-Richtlinie in Bezug auf ihre Lieferketten zu erfüllen. Darüber hinaus hilft die im CRA-Vorschlag vorgesehene erhöhte Transparenz bezüglich der cyberbezogenen Merkmale von Produkten mit digitalen Elementen wesentlichen und wichtigen Einrichtungen, cybersichere Produkte leichter zu identifizieren und zu vergleichen.
Gleichzeitig können jedoch mehrere Interaktionspunkte eine Nachbearbeitung erfordern. Dies gilt insbesondere für die Meldepflichten, die in der NIS 2-Richtlinie festgelegt und im CRA-Vorschlag vorgesehen sind. Eine Angleichung dieser Bestimmungen erscheint ratsam, um die Belastung für meldende Akteure sowie für die Behörden, die die Meldungen erhalten, zu verringern und die notwendige Kohärenz herzustellen. Darüber hinaus sollten das Europäische Parlament und der Rat genauer betrachten, wie die "Kritikalität" von Produkten mit digitalen Elementen bestimmt wird.
In dieser Hinsicht sollte die Tatsache, dass ein bestimmtes Produkt mit digitalen Elementen von wesentlichen oder wichtigen Einrichtungen im Sinne der NIS 2-Richtlinie verwendet wird, eine wichtigere Rolle bei der Bestimmung der Kritikalität des Produkts spielen, als derzeit vorgesehen.
Telefon: 0160 950 18984
Mail: info@staysafe-academy.com