Kompromiss zum Cyber Resilience Act angenommen
Mit der Zustimmung des Europäischen Parlaments wurde am 12. März 2024 ein Kompromiss zum Cyber Resilience Act CRA (Verordnung (EU) 2024/2847) angenommen. Er wird zwanzig Tage nach seiner Veröffentlichung im Amtsblatt in Kraft treten. Mit ihm soll Cybersicherheit fest in den Entwicklungs- und Nutzungsprozess von Produkten verankert werden. Aufgrund starker Kritik am ursprünglichen Entwurf wurde ein überarbeiteter Kompromiss verabschiedet.
Das Ziel des Cyber Resilience Act
Künftig sollen digitale Produkte wie Maschinen und Maschinenteile (z. B. intelligente Geräte oder Microchips), IoT-Geräte (IoT – Internet of Things), aber auch reine Software deutlich sicherer werden. Alle inhaltlichen Details der Verordnung finden Sie in diesem Beitrag (https://inmas.de/technische-dokumentation/cyber-resilience-act-entwurf).
Mit der neuen Verordnung wird Cybersicherheit für die gesamte Lebensdauer eines Produktes von der Entwicklung bis zur Entsorgung ein grundlegender Faktor. So sollen die Sicherheit und Wertigkeit von Produkten auf dem europäischen Markt sichergestellt werden. Nach Veröffentlichung im Amtsblatt haben die EU-Mitgliedsstaaten eine Übergangsfrist von 36 Monaten, um die Verordnung in nationales Recht umzusetzen.
Kritik der Open-Source-Verbände
Frei zugängliche Open-Source-Software wird in der Regel gemeinschaftlich von Einzelentwicklern und ohne nennenswerte Finanzmittel erstellt und kann dann frei heruntergeladen und verwendet werden. Im Rahmen des CRA wären die Einzelentwickler kollektiv haftbar gewesen, ohne die Mittel für eine CE-Konformitätsprüfung zu besitzen. Unter solchen Bedingungen hätten Open-Source-Projekte trotz ihrer großen wirtschaftlichen Bedeutung nicht weitergeführt werden können. Die Verbände forderten deshalb, Open-Source-Entwickler vom CRA auszunehmen, ähnlich wie es in den USA der Fall ist.
Endgültiger Kompromiss zum Cyber Resilience Act
Die EU-Kommission ging auf die Kritik der Open-Source-Verbände ein. In der endgültigen Fassung des Cyber Resilience Acts sind Open-Source-Entwickler ohne Ressourcen und Unternehmensstrukturen explizit von den Regelungen ausgenommen. Damit gilt der CRA künftig nur für solche Unternehmen, die den Open-Source-Code tatsächlich kommerziell nutzen.
Für Unternehmen entsteht durch den CRA besonders in der Anfangsphase ein höherer Verwaltungsaufwand für ihre produzierende Infrastruktur. Einer der Kritikpunkte am ursprünglichen Entwurf bezog sich auf die steigende Belastung, besonders für KMUs. Aus diesem Grund beschloss die EU-Kommission Förderprogramme, mit denen besonders kleine und mittlere Unternehmen bei der Umsetzung der neuen Vorgaben finanziell unterstützt werden sollen. Dies soll ihnen helfen, ohne Verluste die passenden Sicherheitsmaßnahmen und Dokumentationsschritte vorzunehmen.
Quellen
- Europa.eu: Cyber Resilience Act: MEPs adopt plans to boost security of digital products: https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991/cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products, 13.03.2024
- EUR-Lex: Verordnung (EU) 2024/284: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202402847&qid=1749636827986, 13.03.2024
- EU-News.it: INTERVIEW / Danti: “With Cyber Resilience Act European companies more competitive, but need support”: EUR-Lex: Verordnung (EU) 2024/2847: https://www.eunews.it/en/2024/03/12/interview-danti-with-cyber-resilience-act-european-companies-more-competitive-but-need-support/, 13.03.2024
