Cyber Resilience Act: Notwendig oder überreguliert? 

Judith: Matthias, Du kommst gerade aus Berlin und warst im Hauptstadtbüro unseres Dachverbands, dem Bundesverband IT-Mittelstand e. V, BITMi. Was habt Ihr besprochen? 

Matthias: Zwei Fachleute der EU-Kommission, Maika Föhrenbach und Benjamin Bögel, beide Policy Officer, die aktiv mit der Arbeit an Gesetzen beschäftigt sind, sind proaktiv auf den BITMi zugegangen, um ein sehr wichtiges Gesetzgebungsverfahren, den Cyber Resilience Act (CRA), mit Mitgliedern aus dem Verband zu diskutieren. Und Patrick Häuser, Leiter des Hauptstadtbüros, hat uns eingeladen, am Termin teilzunehmen.  

J: Worum geht es bei dem Gesetz? 

M: Dass die Lage der IT-Sicherheit katastrophal ist, braucht man nicht zu erwähnen. Die EU-Kommission möchte daher, dass Security by Design und Security by Default zum Standard in der Hard- und Softwareentwicklung und auf dem Markt wird, um Wertschöpfungsketten und damit die EU-Wirtschaft sowie Bürgerinnen und Bürger zu schützen. Das Vorhaben wird die Anforderungen regeln, die an sichere Hard- und Software und Cybersicherheit gestellt werden: auf der Ebene eines Gesetzes. Hersteller, Importeure und sonstige Distributoren müssen, nachdem das Gesetz in Kraft getreten ist, eine Konformitätserklärung abgeben, für sämtliche Produkte, in denen sicherheitsrelevante Software arbeitet: Das heißt mindestens, dass die Software auf einem vernetzten Gerät arbeitet. Und es bezieht sich auch auf Teile im Sinn einer Stückliste, einer so genannten Software Bill of Materials (SBOM). Das positive Ergebnis nach der Konformitätsprüfung ist dann vergleichbar mit dem CE-Stempel auf Elektrogeräten, Netzteilen und anderen technischen Geräten. Das ist mehr als nur eine Art Gütesiegel. Und es soll einfach funktionieren, beispielsweise über ein Web-Interface. Die dafür notwendigen Standards werden von der EU, also von den EU-eigenen Standardisierungsbehörden CEN/CENELEC und ETSI aufgestellt. 

J: Wer ist davon betroffen? 

M: Im Prinzip alle Unternehmen, global, die am europäischen Markt teilnehmen. Nichteuropäische Hersteller müssen einen rechtlich Bevollmächtigten in Europa vorweisen. Das wird alles Bedingung für die Markteilnahme sein. 

J: Was ist der Zweck? 

M: Die EU-Kommission schließt damit eine Lücke. Mit dem NIS2 (Network and Information Security Directive 2) werden kritische und KRITIS-relevante Nutzer von Software und digitalisierenden Technologien in die Pflicht genommen, Informationssicherheitsmaßnahmen zu ergreifen, etwa ein Informationssicherheitsmanagementsystem zu betreiben. Es gibt weitere regulatorische Verfahren, die etwa die Cloudinfrastruktur und digitale Dienstleistungen verlässlich und sicher nach EU-Maßstäben gestalten sollen. Und schließlich gibt es die DSGVO mit Blick auf den Datenschutz. Jetzt also Hardware- und Softwareproduktion. Damit wird ein Schirm über alle Bereiche digitalen Wirtschaftens in Europa und auf europäischem Boden aufgespannt, den die Länder in nationales Recht überführen müssen. Und der Vollständigkeit halber sollte die Radio Equipment Directive erwähnt werden, die Schnittmengen zum CRA aufweise, wie Herr Bögel erklärte. Er versicherte, dass aber nur die Bestimmungen einer Direktive erfüllt werden müssten. 

J: Wann kommt das Gesetz? 

M: Am 15. September wurde der Entwurf vorgestellt. Nun kann es nach Aussage von Herrn Bögel und Frau Föhrenbach noch bis zu zwei Jahre dauern, bis das Gesetzgebungsverfahren abgeschlossen ist.  

J: Man kann reflexartig sagen, dass da wohl das neueste Bürokratiemonster im Anmarsch ist. Und dass vielleicht der kontrollierende Eingriff zu groß wird. Wurden Bedenken, Kritik in der Berliner Runde geäußert? 

M: Ja klar, sehr gute sogar! Als wir im Vorfeld unsere Mitglieder dazu befragt haben, wurde meistens der Einwand formuliert, dass es nicht sein könne, dass Händler verbindlich etwa Updates für Produkte bereitstellen müssten. Das ist so nicht vorgesehen. Laut Frau Föhrenbach und Herrn Bögel sei klipp und klar ausschließlich der Hersteller dafür verantwortlich zu machen. Der Distributor recherchiert, findet heraus, dass das Produkt den Anforderungen entspricht, meldet es an. Das war’s. Übrigens sollte man sich auch nicht von den martialisch klingenden Strafen im Gesetzesentwurf irritieren lassen. Wenn man den Worten der beiden Spezialisten Glauben schenken darf, reden wir von Strafen im Fall von Grobfahrlässigkeit. Daran kann meiner Auffassung nach nichts Falsches sein.

J: Unabhängig von den Strafen, was wurde noch gegen den CRA ins Feld geführt?

M: Ein weiterer Einwand ist, dass der Point of Failure bei den Unternehmen liege, weil diese jetzt schon nicht hinreichend gegen Cyberbedrohungen vorgingen. Das kann man so sehen, ist aber aus meiner Sicht nicht im Scope des Gesetzesentwurfs. Zudem könnte man fragen, ob die Hardware selbst dort etwas verloren habe, weil es doch die Software sei, die die Fehler habe. Na, die Intel-Bugs kennen wir. Da werden Designfehler dann mit Software nur weggepatcht. Außerdem geht es auch um komplette Produkte. Und dass man das Gerät als Ganzes betrachten müsse. Übrigens geht es dabei um Software-Updates für mindestens fünf Jahre. Das ist für Konsumenten natürlich schon mal ein Vorteil, wenn man bedenkt, dass manche Smartphones gar keine Updates zur Lebenszeit bekommen. Für die Industrie könnte die Frist zu gering sein. 

J: Und wie sieht es mit Open Source aus? Dazu haben sich doch auch Mitglieder bei Dir gemeldet.  

M: So ist es. Auch hier haben Frau Föhrenbach und Herr Bögel klar antworten können: Wenn Open Source in Geräten oder Programmen auftaucht, die von Unternehmen kommerzialisiert werden, also eine Gewinnerzielungsabsicht gegeben ist, unterliegt diese Software dem CRA.  

J: Und wenn einmal ein Exploit bekannt wird, muss dann der Distributor den melden? 

M: Die Verpflichtung geht immer an den Hersteller. Der Hersteller muss innerhalb von 24 Stunden den Vorfall bei der ENISA, der Agentur der Europäischen Union für Cybersicherheit, melden, wenn der Exploit schon aktiv für Cybercrime-Zwecke ausgenutzt wird. 

Vielleicht sollte generell noch erwähnt werden, dass auch für das CRA das Prinzip der Verhältnismäßigkeit verbindlich ist. Die Angst vor Überregulierung ist trotzdem nicht unberechtigt. Herr Bögel meinte, man sei sich der Herausforderung bewusst. Und wie Frau Föhrenbach zurecht feststellte, gebe es kein Gesetz, das nicht auch Compliance-Kosten nach sich zöge. Das kann man nun kritisieren, aber mir stellt sich die Frage, was denn wäre, auch mit Blick auf die europäische digitale Souveränität, wenn hier gar nichts seitens des Gesetzgebers passierte. Die Ordnung der Gesetze zueinander erscheint logisch, und es wird sich dann natürlich in der Praxis zeigen, ob es sich um zahnlose Tiger handelt, oder ob die Regulierung da beißt, wo gemeint wird, man müsse sich nicht an rechtsstaatliche Prinzipien halten. Ob allerdings unterschiedliche Rechtssysteme wie das der USA und Europas damit homogenisiert werden können, wird die Zukunft zeigen. In diesem Punkt bin ich eher skeptisch. Auch mit Blick auf die Praxis der DSGVO und Microsoft, um nur eine Problemzone zu benennen.

J: Wie geht es denn nun mit uns auf Verbandsebene weiter?

M: Es wird eine Folgeveranstaltung geben. Das haben wir gemeinsam beschlossen. Die EU-Kommission ist mit dabei. Denn das Gute ist: Die Stimmen der KMU und KMO werden gehört. Übrigens auch in Brüssel. Hier hat nämlich unser Dachverband, die European Digital SME Alliance bereits in dieser Richtung vorgearbeitet. Jetzt werden wir natürlich alle Schritte verfolgen, und es wäre schön, wenn sich unsere Mitglieder wieder aktiv bei uns melden könnten. Nur so können wir für die Belange unserer Mitglieder Aufmerksamkeit erzeugen. Denjenigen, die mich bereits angeschrieben haben, werde ich jetzt antworten können und das in den kommenden ein, zwei Wochen auch machen.