Horizontale Cybersecurity

Neue europäische Anforderungen – Regulierungspakete zu Cyber Resilience Act und RED Delegated Act

Ein wesentlicher Bestandteil der aktuellen EU-Pläne zur Verbesserung der unionsweiten Cybersecurity ist die Stärkung der „horizontalen“ Regulierung in diesem Bereich, um eine bessere Anschlussfähigkeit zum New Legislative Framework (NLF, [4]) zu gewährleisten. So wurden bereits kurz nach Verabschiedung des EU Cybersecurity Act (CSA, [5]) Forderungen aus verschiedenen Technologie- und Industrieverbänden laut, zur Integration gesetzlicher Cybersicherheitsanforderungen horizontale Regelungen vertikalen und produktgruppenspezifischen Rechtsakten vorzuziehen: Nur mithilfe eines horizontalen Ansatzes könne die Fragmentierung von Cybersicherheitsanforderungen verhindert und die Kohärenz zu treffender Maßnahmen gewährleistet werden [6].

Außerdem wird argumentiert, dass die Stärke des NLF im Zusammenspiel von gesetzlichen Vorgaben und harmonisierten Europäischen Normen (hEN) besteht. Dadurch ist es möglich, die gesetzliche Definition von Anforderungen zur Cybersicherheit auf Schutzziele zu beschränken – weitere technische Details ihrer Ausgestaltung und Umsetzung werden dann durch die Normung konkretisiert. Dies spielt besonders für die Entwicklung des „Stands der Technik“ in der IT-Sicherheit eine Rolle. Gleichzeitig aber besteht auch eine enorme Sorge dahingehend, dass die Koexistenz von NLF und Zertifizierungsschemata nach CSA zu einer Parallelregulierung führen könnte, die für umsetzende Unternehmen mit Mehraufwand verbunden ist. Eine überschneidungsfreie und lückenlose Regulierung von Cybersecurity über verschiedene Produktgruppen hinweg könne daher nur auf der Grundlage des NLF mit einem horizontalen Ansatz verfolgt werden.

Cyber Resilience Act (CRA)

Vom 16. März bis zum 25. Mai 2022 fand die öffentliche Konsultation [1] der Europäischen Kommission zum neuen Cyber Resilience Act (CRA) statt, der produktübergreifende, europäisch vereinheitlichte und lebenszyklusbezogene Anforderungen für die Cybersecurity zum Thema hat. Das Gesetz soll sich künftig einerseits in den bestehenden politischen Rahmen der EU Cybersicherheitsstrategie 2020 und in den regulatorischen Rahmen rund um die Richtlinie zur Netz- und Informationssicherheit (NIS bzw. NIS 2) und den CSA mit seinem europaweiten Zertifizierungsrahmen einfügen. Ergänzen soll der CRA andererseits die delegierte Verordnung vom Oktober 2021 zur Konkretisierung der Funkanlagenrichtlinie, um „horizontale“ Cybersicherheitsanforderungen festzusetzen.

Das künftige Gesetz wird voraussichtlich auf ein breites Spektrum digitaler Produkte und zugehöriger Nebendienstleistungen anwendbar sein. Erfasst werden von der Regelung sollen „materielle digitale Produkte“ (drahtlos und drahtgebunden) sowie nicht-eingebettete Software. Im Sinne des Grundsatzes „Security by Design“, der zwar schon vielfach politisch anklang, bislang aber nicht ausdrücklich gesetzlich festgeschrieben wurde, sollen die neuen Anforderungen aus dem CRA den gesamten Lebenszyklus von Produkten abdecken.

Schutz der Lieferkette unter Einbezug von Produkten aus Drittstaaten

Der CRA hat zweierlei Prämissen: den Schutz zunehmend vernetzter Umgebungen vor Cybersicherheitsvorfällen unter Einbeziehung der Lieferkette sowie fehlende Umsetzungsmaßnahmen zur IT-Sicherheit von Produkten, die durch Hardwarehersteller, Softwareentwickler, Händler und Einführer (aus Drittstaaten) auf den Markt gebracht werden. Als Gründe für die unzureichende IT-Sicherheitslage werden genannt: „Netzwerkeffekte“, der Druck, Produkte als erster Hersteller auf den Markt zu bringen, der Mangel an qualifizierten Experten in der Cybersecurity sowie fehlende wirtschaftliche Anreize. Das führt laut den Feststellungen der EU-Kommission letztlich zu unzureichendem Schwachstellenmanagement, fehlenden Angaben zur Produktsicherheit und unzureichendem Verbraucherschutz.

Der CRA will diesen Missstand aufgreifen und Cybersicherheit, Verbraucherschutz, Resilienz und Cybersecurity-Innovation horizontal produktübergreifend und über den gesamten Lebenszyklus hinweg unionsweit vereinheitlicht regeln, da die derzeitige EU-Cybersecurity-Gesetzgebung nur ausschnittsweise entsprechende Rechtspflichten enthält. Die EU-Kommission verweist dabei auf die Produktsicherheits- und die Maschinenrichtlinie sowie auf die Tatsache, dass eine Vielzahl weitverbreiteter Hardware nicht unter bestimmte rechtliche Rahmenbedingungen, wie die Funkanlagenrichtlinie, fällt. Embedded Systems fänden aktuell ebenfalls eine nur unzureichende gesetzliche Berücksichtigung in der Cybersicherheit.

Technischer Umsetzungsmaßstab für die rechtlichen Vorgaben aus dem CRA sollen die harmonisierten technischen Standards für die verschiedenen Produktkategorien sein. Dadurch erhofft man sich, politisch wie wirtschaftlich eine globale Führungsrolle in der Entwicklung von Cybersecurity-Standards zu erlangen, um „globale Benchmarks“ zu setzen.

Abschwächung in der konkreten Umsetzung neuer Anforderungen

In Hinblick auf das erklärte Ziel – die Cybersicherheit unionsweit signifikant zu erhöhen – machen die vorgeschlagenen Umsetzungsoptionen des CRA aber nicht unerhebliche Abstriche, indem sie prinzipiell von einer Beibehaltung des Status quo über freiwillige Zertifizierungssysteme bis hin zu standardmäßigen Selbstbewertungsverfahren zur Konformität reichen – wobei nur für bestimmte Produktkategorien eine Konformitätsbewertung durch Dritte vorgeschrieben werden soll. Für Software wird ein „gestaffelter Ansatz“ vorgeschlagen, der mit unverbindlichen Maßnahmen wie Leitlinien/Empfehlungen startet und woran sich gegebenenfalls ein regulatorischer Eingriff anschließt

Radio Equipment Directive (RED)

Der RED Delegated Act [2] behandelt die Konkretisierung der grundlegenden Cybersecurity-Anforderungen für Produkte mit Funkanlage. Die Cybersecurity und der Datenschutz von Internet-of-Things-(IoT)-Anwendungen ist ein bereits seit mehreren Jahren in Hersteller- und Anwenderkreisen diskutiertes Problemfeld. Da der IoT-Begriff keiner konkreten gesetzlichen Definition unterliegt, ist er in seiner praktischen Ausgestaltung mannigfaltig und kann beispielsweise neben Geräten aus dem Smart Home auch Wearables, verbundenes Spielzeug und die sogenannte „weiße Ware“ umfassen.

In Art. 3 der RED [3] werden grundlegende Anforderungen für Konstruktion und Betrieb von Funkanlagen bestimmt. Gemäß der Definition nach Art. 2 Abs. 1 Nr. 1 RED handelt sich bei einer Funkanlage um ein elektrisches oder elektronisches Erzeugnis, das zum Zweck der Funkkommunikation und/oder der Funkortung bestimmungsgemäß Funkwellen ausstrahlt und/oder empfängt, oder ein elektrisches oder elektronisches Erzeugnis, das Zubehör, etwa eine Antenne, benötigt, damit es zum Zweck der Funkkommunikation und/oder der Funkortung bestimmungsgemäß Funkwellen ausstrahlen und/oder empfangen kann. Der Begriff der Funkanlage ist gesetzlich somit denkbar weit gefasst und betrifft daher eine Vielzahl moderner vernetzter Geräte, die gegenwärtig auf dem Markt erhältlich sind.

Spezielle Anforderungen zu Cybersecurity und Datenschutz

Die in Art. 3 RED bestimmten grundlegenden Anforderungen beziehen sich im Besonderen auch auf Cybersicherheit und Datenschutz. Hierzu werden in Art. 3 Abs. 3 lit. d, e und f spezielle Bestimmungen festgelegt:

• (d) Funkanlagen haben weder schädliche Auswirkungen auf das Netz oder seinen Betrieb noch bewirken sie eine missbräuchliche Nutzung von Netzressourcen, wodurch eine unannehmbare Beeinträchtigung des Dienstes verursacht würde
• (e) Funkanlagen verfügen über Sicherheitsvorrichtungen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden
• (f) Funkanlagen unterstützen bestimmte Funktionen zum Schutz vor Betrug

Die Sicherheitsziele sind dabei im Gesetz nur abstrakt formuliert und werden durch die jeweiligen Normen technisch näher konkretisiert – allem voran den im Amtsblatt der EU („Official Journal of the European Union“ – OJEU, https://eur-lex.europa.eu/oj/direct-access.html) gelisteten harmonisierten Standards (hENs).

Konkretisierter Anwendungsbereich der Anforderungen für spezifische Funkanlagen

Der EU-Kommission wurde die Befugnis übertragen, Kategorien oder Klassen von Funkanlagen festzulegen, für welche die in Art. 3 Abs. 3 RED definierten Schutzziele gelten. Dies ist mit dem Delegated Act [2] für die vorgenannten drei Schutzziele aus lit. d, e und f geschehen, sodass insoweit eine Konkretisierung des Anwendungsbereichs der RED vorgenommen wurde. Die Regulierung, die ab dem 1. August 2024 gilt, erfolgt dabei nach dem Regel-Ausnahme-Prinzip:

• Art. 1 Abs. 1 der delegierten Verordnung bestimmt zunächst, dass die grundlegende Anforderung nach Art. 3 Abs. 3 lit. d RED für alle Funkanlagen gilt, die selbst über das Internet kommunizieren können, unabhängig davon, ob sie direkt oder über andere Geräte kommunizieren (sog. „mit dem Internet verbundene Funkanlagen“).
• Art. 1 Abs. 2 betrifft den Datenschutz: So gilt die grundlegende Anforderung gemäß Art. 3 Abs. 3 lit. e RED für einen Kreis von Funkanlagen, die personenbezogene Daten, Verkehrsdaten oder Standortdaten verarbeiten können. Auch hier ist die Definition betroffener Funkanlagen weit gefasst: Genannt werden unter anderem Anlagen zur Kinderbetreuung, solche, die unter die EU-Richtlinie über die Sicherheit von Spielzeug fallen, sowie Funkanlagen, die ausschließlich oder nicht ausschließlich dazu konzipiert oder bestimmt sind, an Körperteilen oder Kleidungsstücken getragen oder befestigt zu werden (sog. Wearables).
• Der Betrugstatbestand nach Art. 3 Abs. 3 lit. f RED wird durch Art. 1 Abs. 3 des delegierten Rechtsaktes konkretisiert: So gelten die diesbezüglich in der RED genannten grundlegenden Anforderungen für alle mit dem Internet verbundenen Funkanlagen, wenn diese dem Nutzer ermöglichen, Geld, monetäre Werte oder virtuelle Währungen zu übertragen.

Diese vorgenannten Grundsätze werden durch entsprechende Ausnahmen flankiert, die Art. 2 der delegierten Verordnung nennt. Hier steht vor allem die Abgrenzung zu bereichsspezifischen und spezialgesetzlichen Vorschriften im Mittelpunkt – namentlich der Verordnungen (EU) 2017/745 (Medizinprodukte), 2017/746 (In-vitro-Diagnostika), 2018/1139 (Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt), 2019/2144 (Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge im Hinblick auf ihre allgemeine Sicherheit und den Schutz der Fahrzeuginsassen und von ungeschützten Verkehrsteilnehmern) sowie der Richtlinie (EU) 2019/520 (Interoperabilität elektronischer Mautsysteme).

Neu definierte Risiken bei der Entwicklung und Verwendung von Funkanlagen

In den zugehörigen Erwägungen der delegierten Verordnung zur Ergänzung der RED verweist die Kommission vor allem auf folgende Aspekte, die maßgeblich für die aktuelle Bewertung der Risikolage von Funkanlagen sind:

• Die zunehmende Rolle des 5G-Ausbaus für die Entwicklung der digitalen Wirtschaft und Gesellschaft wirkt sich auf alle Aspekte des alltäglichen Lebens aus – insoweit sei auch auf das EU-Instrumentarium für die 5G-Cybersicherheit verwiesen (siehe etwa https://ec.europa.eu/newsroom/dae/redirection/document/64511 sowie [7]).
• Das in der RED bestimmte Sicherheitsniveau darf das auf nationaler Ebene geforderte hohe Sicherheitsniveau für dezentrale intelligente Netze im Energiebereich, wo intelligente Zähler verwendet werden, für 5G-Netzgeräte von Anbietern öffentlicher elektronischer Kommunikationsnetze sowie öffentlich zugänglicher Kommunikationsdienste nicht beeinträchtigen.
• Die Vielfalt möglicher Anwendungsszenarien und unterschiedlicher Personengruppen, die Funkanlagen nutzen – von Experten über Verbraucher bis hin zu Kindern – ist heikel: Als risikoträchtig werden vor allem solche Geräte identifiziert, die an einem Teil des menschlichen Körpers oder an Kleidungsstücken getragen werden („tragbare Funkanlagen“, z. B. Armbanduhren, Ringe, Armbänder, Headsets, Kopfhörer oder Brillen).
• Funkanlagen bieten bislang einen unzureichenden Schutz vor Risikoelementen für die Cybersicherheit sowie für die Privatsphäre von Nutzern. Mit Blick auf den Datenschutz wird auf die Tatsache verwiesen, dass Funkanlagen eine Vielzahl von Informationen aufzeichnen und übermitteln können. Besonders risikoträchtig sind dabei Fotos, Videos, Lokalisierungsdaten, Erfahrungswerte von Nutzern, Herzfrequenz und Schlafgewohnheiten. Vorkonfigurierte Standardpasswörter, unverschlüsselte Verbindungen und unzureichende Authentifizierungsmechanismen stellen weitere Schwachstellen dar. Auf diese Weise rechtswidrig erlangte Daten können für betrügerische Handlungen missbraucht werden.

Fazit

Der politische Wille der EU-Kommission, im Zuge der in den letzten Jahren mehr und mehr allumfassenden europäischen Regulierung von Cybersecurity eine Harmonisierung zu erzielen, ist aktuell mehr als deutlich – dies wird vor allem auch durch die Industrie und ihre Verbände getriggert. Gleichzeitig wird mit dem Inkrafttreten der delegierten Verordnung zur Ergänzung der RED aber auch deutlich, dass die EU nicht gewillt ist, für den in der europäischen Digitalwirtschaft hochrelevanten Bereich.

Allerdings können nicht alle Harmonisierungsbestrebungen der Union zum gegenwärtigen Zeitpunkt als gelungen bezeichnet werden – diese Feststellung gilt
primär für den CRA: Gemessen an den hochgesteckten und entsprechend formulierten politischen, wirtschaftlichen und gesamtgesellschaftlichen Zielen wirkt der zurzeit gewählte Ansatz der EU-Kommission für mehr Cybersecurity noch sehr zaghaft und erinnert an das Vorgehen der Bundesregierung in Sachen IT-Sicherheitsgesetz 2.0 im vergangenen Jahr.

Wenn denn schon neue gesetzliche Anforderungen geschaffen werden sollen, dürfte sich ohne verpflichtende flächendeckende Vorgaben zur Cybersecurity
für eine breite Palette an Produkten sowohl im B2B- als auch im B2C-Sektor wohl kaum eine umfassende Cybersicherheit auf gleichbleibend hohem Niveau in der EU realisieren lassen. Ob es mit dem CRA deshalb eines weiteren Rechtsaktes bedarf, der erneut „weiche Kriterien“ nunmehr horizontal definiert, ist fraglich.

Wenn die Europäische Kommission tatsächlich und nicht nur politisch oder auf dem Papier Fortschritte in der Cybersicherheit erzielen will, sollte sie den Umsetzungsrahmen des CRA deutlich überarbeiten und die Politikoptionen verbindlicher als bislang gestalten.

Literatur

[1] Europäische Kommission, „Ihre Meinung zählt“, Öffentliche Konsultation zum Gesetz über Cyberresilienz – neue Cybersicherheitsvorschriften für digitale Produkte und Nebendienstleistungen, März 2022 und fortlaufend, https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Gesetz-uber-Cyberresilienz-neue-Cybersicherheitsvorschriften-fur-digitale-Produkte-und-Nebendienstleistungen_de

[2] Europäische Kommission, Delegierte Verordnung (EU) 2022/30 … vom 29. Oktober 2021 zur Ergänzung der Richtlinie 2014/53/EU … im Hinblick auf die Anwendung der grundlegenden Anforderungen, auf die in Artikel 3 Absatz3 Buchstaben d, e und f der Richtlinie Bezug genommen wird, in: Amtsblatt der Europäischen Union L 7/6, Januar 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R0030

[3] Europäisches Parlament und Rat der Europäischen Union, Richtlinie 2014/53/EU … vom 16. April 2014 über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt und zur Aufhebung der Richtlinie 1999/5/EG, in: Amtsblatt der Europäischen Union L 153/62, Mai 2014 – konsolidierte Fassung von September 2018, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014L0053

[4] European Commission, New legislative framework, Landing Page, https://ec.europa.eu/growth/single-market/goods/new-legislative-framework_en

[5] Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2019/881 … vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), in: Amtsblatt der Europäischen Union, L 151/15, Juni 2019, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019R0881

[6] Bundesverband der Deutschen Industrie e. V. (BDI), Deutsches Institut für Normung e. V. (DIN), Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (DKE) in DIN und VDE, Europaweite Cyberregulierung, Einführung horizontaler Cybersicherheitsanforderungen auf Basis des New Legislative Framework und Brücke zum EU Cybersecurity Act, BDI Dokument D 1248, Februar 2021, https://bdi.eu/media/publikationen/#/publikation/news/europaweite-cyberregulierung/

[7] European Commission, NIS Cooperation Group, Landing Page, June 2022 und fortlaufend, https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group