BSI erhält weitreichende Befugnisse für Cyber Resilience Act
Das Bundesamt für Sicherheit in der Informationstechnik wird zur zentralen Kontrollinstanz für IT-Sicherheit und kann künftig Millionen-Bußgelder verhängen sowie Produkte vom Markt nehmen.
Die Bundesregierung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell als notifizierende und marktüberwachende Behörde für den Cyber Resilience Act (CRA) gegenüber der Europäischen Kommission benannt. Laut BSI wird der CRA den Markt für IT-Produkte und Geräte mit digitalen Elementen grundlegend verändern, da IT-Sicherheitseigenschaften künftig ein entscheidendes Kriterium für den Marktzugang in der EU darstellen.
Mit der neuen Rolle erhält das BSI umfassende Kontroll- und Sanktionsbefugnisse. Als marktüberwachende Behörde kann die Institution stichprobenartig oder gezielt IT-Produkte auf Cybersicherheit überprüfen und bei Verstößen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes vom vorangegangenen Geschäftsjahr verhängen. Darüber hinaus erhält das BSI die Befugnis, Produkte mit digitalen Elementen vom Markt zu nehmen, wenn diese den CRA-Anforderungen nicht entsprechen.
Aktive und reaktive Marktüberwachung geplant
Das BSI will seine Marktüberwachungsaufgaben sowohl aktiv als auch reaktiv wahrnehmen, wie die Behörde mitteilte. Im aktiven Modus sollen Produkte im Rahmen der Marktüberwachungsstrategie anlasslos überprüft werden. Reaktiv will das BSI auf Informationen durch Dritte eingehen und Ursachen sowie Auswirkungen von Vorfällen, Mängeln oder Schwachstellen analysieren, um geeignete Maßnahmen zu ergreifen.
Als notifizierende Behörde übernimmt das BSI zusätzlich die Bewertung und Notifizierung von Drittstellen, damit diese IT-Produkte unabhängig auf die CRA-Anforderungen prüfen können. Prüfstellen müssen die in Artikel 39 des CRA gelisteten Anforderungen erfüllen, um als Konformitätsbewertungsstelle tätig werden zu dürfen. Die notwendigen Verfahren für die CRA-Notifizierung sollen laut BSI in den kommenden Monaten erarbeitet werden.
BSI-Präsidentin Claudia Plattner erklärte, dass der CRA das Cybersicherheitsniveau zahlreicher Geräte in Europa steigern werde. Das BSI werde seine Rolle sehr gewissenhaft ausfüllen und darauf achten, dass Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können, so Plattner. Die Behörde hat bereits weitreichende Informationen zum CRA zur Verfügung gestellt, die kontinuierlich ausgebaut werden sollen.