DATEV Informationsbüro Brüssel, Mitteilung vom 20.09.2022
Am 15.09.2022 hat die EU-Kommission den Cyber Resilience Act präsentiert. Mit dem Gesetzentwurf will die EU-Kommission Voraussetzungen für die Entwicklung sicherer Produkte mit digitalen Elementen (Hardware und Software) über den gesamten Lebenszyklus schaffen.
Die Verordnung soll für Hardware und Software gelten, deren bestimmungsgemäße oder vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz umfasst. So soll jede Software erfasst sein, die Schnittstellen (wie z. B. APIs) beinhaltet.
Softwarehersteller sollen sich zukünftig an bestimmte Sicherheitsanforderungen (z. B. Mitigation Mechanisms), an spezifische Anforderungen für den Umgang mit Schwachstellen (z. B. Implementierung eines Software Bill of Materials, SBoM), an Meldepflichten und an bestimmte technische Dokumentationen halten. Darüber hinaus ist eine interne Konformitätsbewertung für nicht-kritische Produkte oder eine externe Konformitätsbewertung für kritische Produkte (z. B. Smart Cards) notwendig.
Durch den Cyber Resileince Act würde ein Software Bill of Materials für betroffene Software-Produkte EU-weit eingeführt. Die EU-Kommission definiert SBoM als eine formale Aufzeichnung, die Einzelheiten und Lieferkettenbeziehungen der Komponenten der Software enthält.
Der Gesetzgebungsprozess befindet sich noch ganz am Anfang. Nun müssen die beiden Mitgesetzgeber, das EU-Parlament und der Rat der EU, jeweils zu einer Position kommen, bevor sie in den sog. Trilogverhandlungen einen finalen Kompromiss erarbeiten. Dieser Prozess dauert im Durchschnitt 19 Monate. Mit Änderungen am Kommissionsentwurf ist im Laufe des Prozesses zu rechnen. Anschließend gibt es voraussichtlich eine 24-monatige Übergangsfrist, sodass der Cyber Resilience Act voraussichtlich im Laufe des Jahres 2026 gelten wird.
Quelle: DATEV eG Informationsbüro Brüssel
