EU-Kommission will Sicherheitsupdates vorschreiben
Mit einem Entwurf für ein Cyberresilienzgesetz möchte die EU-Kommission für mehr IT-Sicherheit sorgen.
Mit einem Cyberresilienzgesetz möchte die EU-Kommission Verbraucher und Unternehmen vor Produkten mit unzureichenden Sicherheitsmerkmalen schützen. Hierzu hat sie am 15. September einen Gesetzentwurf veröffentlicht, der unter anderem Hersteller zu Softwareaktualisierungen verpflichten soll.
Laut einer Pressemitteilung der EU-Kommission sollen Hersteller verpflichtet werden, Unterstützung und Softwareaktualisierungen bereitzustellen, um festgestellte Schwachstellen zu beheben. Das solle über die gesamte angedachte Nutzungsdauer, mindestens aber fünf Jahre lang, gelten. Zudem sollen die Verbraucher über die Cybersicherheit der Produkte, die sie kaufen und verwenden, ausreichend informiert werden.
Der Branchenverband Bitkom kritisiert die kurze Umsetzungszeit von zwei Jahren, lobt den Gesetzentwurf selbst jedoch ausdrücklich: “Der Cyber Resilience Act kann einen wichtigen Beitrag zur Stärkung der Sicherheit vernetzter Geräte leisten. Ein wirksamer Schutz vor Cyberkriminellen ist Voraussetzung dafür, dass die Geräte und Technologien im vernetzten Zuhause auf ein neues Sicherheitsniveau gebracht werden. Krisenfestigkeit war wohl selten so wichtig wie heute, der Cyber Resilience Act kommt genau zur richtigen Zeit.”
Der EU-Abgeordnete der Piratenpartei, Patrick Breyer, hält das Gesetz für überfällig, kritisiert jedoch, dass es an einer klaren Verpflichtung kommerzieller Hersteller fehle, bekannte Sicherheitslücken unverzüglich zu beheben. “Für selbst verschuldete Sicherheitslücken müssen kommerzielle Hersteller haftbar gemacht werden, damit sich IT-Sicherheit finanziell lohnt! Andererseits ist die ehrenamtliche Entwicklung freier Software bedroht, weil an kommerzielle Hersteller dieselben Anforderungen gestellt werden sollen wie an ehrenamtliche.” Daher sei der Vorstoß unausgereift und müsse überarbeitet werden.
“Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind”, sagte Wettbewerbskommissarin Margrethe Vestager. “Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen.”
Der Gesetzentwurf muss nun vom Europäischen Parlament und Rat geprüft werden. “Nach der Verabschiedung haben Wirtschaftsteilnehmer und Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen”, heißt es von der EU-Kommission. Abweichend davon soll eine Meldepflicht in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle bereits ein Jahr ab dem Inkrafttreten gelten, da dafür weniger organisatorische Anpassungen erforderlich seien als für die anderen neuen Verpflichtungen.
Der Beitrag EU-Kommission will Sicherheitsupdates vorschreiben erschien zuerst auf Linux-Magazin.