Neue Regelungen über Cyberresilienz – gibt es bald wieder europäische Hersteller von Computern und Netzwerkausrüstungen?
Für die Stärkung des Bestandes und der dauerhaften Funktionsfähigkeit von Hardware – und Softwareprodukten vor Cyberangriffen hat die Europäische Kommission am 15. September 2022 einen ersten umfangreichen Vorschlag für eine Verordnung über die Cyberresilienz vorgelegt. Böse Zungen sprechen auch von der „Lex Huawei.“
Resilienz ist schon jetzt das neue Buzzword. Aber was bedeutet Resilienz und was beinhaltet der 95 Seiten starke Gesetzesvorschlag? Resilienz stellt einen Mechanismus dar, welcher die Anpassungsfähigkeit auf Probleme und Veränderungen und die Reaktion mit Verhaltensänderungen zum Inhalt hat. Der Aufbau einer hohen Resilienz führt zu mehr Sicherheit in der Bewältigung von Krisen ohne anhaltenden Beeinträchtigungen und die Stärkung gegenüber neuen Herausforderungen. So soll die neue Verordnung die Widerstandsfähigkeit der computergesteuerten Prozesse steigern. Es wird eine Ergänzung zu bestehenden Cybervorschriften vorgenommen, um die Sicherheit von Hardware- und Softwareprodukten vor Cyberkriminalität zu gewährleisten.
Bislang in der Theorie jedenfalls. Ausgangslage soll vom Grundsatz her eine Eigeneinschätzung der Hersteller werden, wie dies bei dem CE-Kennzeichen bekannt ist. Die Hersteller sollen also dafür geradestehen, dass ihre IT-Produkte dem umfangreichen in dem Verordnungsvorschlag genannten Katalog entsprechen, dabei haben sie zu Hause evtl. gar keine Möglichkeit, das von oben auferlegte abzustreifen. Es ist davon auszugehen, dass auch bei öffentlichen Ausschreibungen zukünftig nur noch entsprechende Produkte zugelassen werden. Problematisch könnte sein, dass kein IT-Produkt „sicher“ sein kann, die Hersteller dafür aber haften. Folge könnte sein, dass Hersteller die Garantieerklärungen abgeben, obwohl sie eigentlich nichts garantieren können. Das Gesetzesvorhaben könnte demnach eine „Einladung zum Lügen“ gleichkommen und auf Seiten der Beschaffer zu einem „Wegsehen“, nämlich dann, wenn es um Produkte geht, deren Herstellung in Deutschland und der EU längst nicht mehr erfolgt, sondern in (zumeist rechtsstaatlich bedenklichen) Drittstaaten. Eine weitere Folge des Vorhabens könnte sein, muss es aber nicht, dass entsprechende Kapazitäten wieder in der EU/EWR aufgebaut werden, da den vermeintlich billigeren Herstellern aus Drittstaaten durch die Verordnung letztlich eine Importschranke errichtet wird, da die dortigen Staatsapparate den Herstellern auferlegen, ihre IT-Produkte gerade nicht resilient zu produzieren und zu vertreiben.
Ein Factsheet der Europäischen Kommission finden Sie hier: GESETZ ÜBER CYBERRESILIENZ Neue EU-Cybersicherheitsvorschriften sorgen für sicherere Hardware- und Softwareprodukte
Den eigentlichen Kommissions-Vorschlag finden Sie hier: Gesetz über Cyberresilienz – Folgenabschätzung | Gestaltung der digitalen Zukunft Europas
Weiterführende Informationen finden Sie hier: https://www.consilium.europa.eu/de/press/press-releases/2022/06/28/eu-resilience-council-presidency-and-european-parliament-reach-political-agreement-to-strengthen-the-resilience-of-critical-entities/
BHO-Legal Ansprechpartner zu dem Thema: Rechtsanwalt und Partner Dr. Roderic Ortner