Digitale Infrastruktur

-

Sind Sie cybersicher?

Das Cyber-Resilienz-Gesetz soll für mehr Sicherheit bei der Nutzung von Geräten sorgen, die direkt oder indirekt mit anderen Geräten oder Netzwerken verbunden sind. Für sie greifen verschärfte Anforderungen an Design sowie an Hard- und Software.

Gemeint ist damit alles von Kühlschränken über Kameras und Fernseher bis hin zu Wearables, die etwa Blutdruck, Herzfrequenz oder Körpergewicht überwachen. Auch Branchen wie die Abwasser- und Abfallbewirtschaftung, Raumfahrt, Post- und Kurierdienste sowie die öffentliche Verwaltung sind von der EU-Richtline betroffen. Die ersten Durchführungsbestimmungen hat die EU-Kommission gerade angenommen.

Bei Sicherheitsvorfällen müssen Firmen künftig die nationalen Behörden informieren. Für jede Kategorie von Unternehmen wird in dem Rechtsakt einzeln festgelegt, was konkret zu tun ist, also etwa ab wann ein Vorfall als erheblich gilt und in welchem Zeitraum das Unternehmen ihn an wen melden muss. Das Cybersicherheitsrisiko-Management soll Lieferketten und Lieferantenbeziehungen verbessern und dazu beitragen, den Informationsaustausch bei Cyberkrisen auf nationaler und EU-Ebene zu verbessern.

Explizit ausgenommen sind jedoch Produkte, die in der Medizinprodukteverordnung (MDR) oder in der Verordnung über In-vitro Diagnostika (IVDR) geregelt sind. Nicht umfasst von dem neuen EU-Gesetz sind außerdem sogenannte elektronische Patientendatensysteme, die später in den Bereich des European Health Dataspace (EHDS) fallen, den EU-Gesundheitsdatenraum.

Die entsprechenden Cybersicherheitsstandards eines Produkts lassen sich demnächst anhand eines angebrachten CE-Kennzeichens ablesen. Es beweist, dass die hohen Sicherheits-, Gesundheits- und Umweltschutzanforderungen erfüllt sind.

Generell hat das Cybersicherheitsgesetz das Ziel, einheitliche Regeln in Europa zu schaffen und die Cyberresilienz insgesamt zu stärken. Wie schon der Artificial Intelligence Act, das sogenannte KI-Gesetz, ist es das erste seiner Art.