Von Prof. Dr. Dennis-Kenji Kipker, Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) und Mitherausgeber der RDi
Soll es nach der EU gehen, sind die Zeiten stiefmütterlicher IoT-Cybersecurity demnächst endgültig vorbei. Wo wir gesetzgeberisch in der IT-Sicherheit lange den Blick vor allem auf die Kritischen Infrastrukturen und wertschöpfungsrelevanten Unternehmen in Deutschland und der Europäischen Union gelegt haben, wird sich dieses in Zukunft mit dem Gesetzgebungsvorschlag für einen europäischen „Cyber Resilience Act“ (CRA) ganz deutlich ändern.
Schon kurz nach Vorstellung des ehrgeizigen Vorhabens am 13.9. 2022 stieß der CRA auf ein erhebliches Interesse nicht nur bei den Verbrauchern, sondern vor allem bei der (ausländischen) Industrie. Das ist kein Wunder, denn das neueste EU-Cybersecurity-Gesetz gilt für alle „Produkte mit digitalen Elementen“ – und darunter fallen sowohl Software als auch Hardware und eingebettete Systeme. Der CRA hat dabei einen klaren Fokus und will die bislang bestehende Regelungslücke in der horizontalen Cybersicherheit schließen – und das ist auch mehr als überfällig, wenn man sich anschaut, welche Marktdurchdringung derartige vernetzte Produkte mit digitalen Elementen mittlerweile erzielt haben und wie immer wieder grundlegende Schwachstellen zur unbefugten Kompromittierung der Datenverarbeitung ausgenutzt werden.
Zur Erreichung seines regulatorischen Ziels bedient sich das kommende Gesetz in Teilen althergebrachter Grundsätze des europäischen Produkthaftungsrechts, indem es Verantwortlichkeiten für die gesamte IT-Lieferkette definiert – und das umfasst eben nicht nur den Hersteller, sondern auch Importeure und den Vertrieb von Produkten mit digitalen Elementen. Für den Verbraucher ist das gut, denn er erhält im Zweifelsfall gleich mehrere Anspruchsgegner. Gleichzeitig kann sich der Hersteller seiner Cybersecurity-Verantwortlichkeit nicht dadurch entziehen, dass sein Unternehmenssitz und die Entwicklungs- und Produktionsstätten im nicht-europäischen Ausland belegen sind.
Wie aber für jedes Gesetz gilt auch für den CRA, dass er im Laufe des weiteren Gesetzgebungsverfahrens noch der Nachschärfung bedarf: So wurde zwar die starre und aus technischer Sichtweise nicht nachvollziehbare Frist von fünf Jahren für Security-Updates mittlerweile offensichtlich gekippt. Aber es stellen sich darüber hinaus weitere evidente Fragen wie beispielsweise, in welchem Umfang sich die Hersteller aktiv über mögliche Schwachstellen in ihren Produkten informieren müssen, ab wann ein Produkt im Sinne des Gesetzes in den europäischen Markt eingebracht wurde und ob die mit diesem Zeitpunkt verbundene Frist bei erheblichen softwarebedingten Funktionsänderungen von Neuem zu laufen beginnt sowie die Frage, wie Hersteller verfahren sollen, wenn sie noch innerhalb des Produktlebenszyklus mit technisch nicht patchbaren Schwachstellen konfrontiert werden. Für diesen Fall ohne weitere Interessenabwägung von der Notwendigkeit des generellen Rückrufs auszugehen, wäre zu weitreichend. Sollten auch diese Aspekte bis zur Verabschiedung des CRA noch angemessen berücksichtigt werden, haben wir in der EU nicht nur einen weiteren Meilenstein in der Cybersecurity-Regulierung erreicht, sondern gleichzeitig ein Gesetz geschaffen, das vermutlich einen ganz ähnlichen internationalen Impact-Factor wie die DS-GVO 2018 haben dürfte.