Skip to content

EU-Kommission: Entwurf für EU Cyber Resilience Act vorgelegt - Vorschriften zur Cybersicherheit von Produkten mit digitalen Elementen

Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.

1. Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei

2. Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei


Die Meldung der EU-Kommission:

The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.

EU Cyber Resilience Act - For safer and more secure digital products

Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.

Such products suffer from two major problems adding costs for users and the society:

a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.

While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.

Two main objectives were identified aiming to ensure the proper functioning of the internal market:

1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and

2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.

Four specific objectives were set out:

1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;

2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;

3. enhance the transparency of security properties of products with digital elements, and

4. enable businesses and consumers to use products with digital elements securely.



Bundeskabinet beschließt Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit - NIS-Richtlinie

Das Bundeskabinett hat das Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) beschlossen.

Die Pressemitteilung des BMI:

"Bundesregierung stärkt Cy­ber­si­cher­heit

Kabinett beschließt Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit
Digitale binäre Daten geschützt durch das Sicherheitssystem (Quelle: Netzwerk- und Informationssystemsicherheit)
Das Kabinett hat heute den vom Bundesminister des Innern vorgelegten Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 (NIS-Richtlinie) beschlossen.

Hierzu erklärt der Bundesinnenminister Dr. Thomas de Maizière: "Die NIS-Richtlinie ist ein wichtiger Schritt für mehr Cyber-Sicherheit auch in Europa. Die Bundesregierung hat nun die Voraussetzungen dafür geschaffen, die europäischen Vorgaben rechtzeitig und zeitnah auch in nationales Recht umzusetzen. Dabei war die Ausgangsposition hierfür denkbar gut: In Deutschland haben wir mit dem IT-Sicherheitsgesetz, das bereits im Juli 2015 in Kraft getreten ist, schon einen einheitlichen Rechtsrahmen, bei dem Staat und betroffene Wirtschaft für mehr Cyber-Sicherheit der Kritischen Infrastrukturen in Deutschland zusammenarbeiten. Wir setzen uns dafür ein, dass der im IT-Sicherheitsgesetz verankerte kooperative Ansatz EU-weit als Vorbild für die Umsetzung der NIS-Richtlinie genutzt werden kann. Damit werden wir unserer Vorreiterrolle in Europa auf dem Gebiet der Cyber-Sicherheit gerecht."

Mit dem Gesetzentwurf wird zudem die Umsetzung der Cybersicherheitsstrategie vorangebracht: "Wir schaffen mit dem Gesetz eine Rechtsgrundlage für den Einsatz so genannter Mobiler Incident Response Teams („MIRTs“). Das Bundesamt für Sicherheit in der Informationstechnik wird zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können. Der Schutz von Staat, Wirtschaft und der Bevölkerung vor erheblichen Cyber-Sicherheits-Vorfällen wird damit weiter verbessert."

Die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union sieht den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit (nationale Strategien, Behörden und CERTs), eine stärkere Zusammenarbeit der Mitgliedstaaten und Mindestanforderungen sowie Meldepflichten vergleichbar zum nationalen IT-Sicherheitsgesetz vor. Viele Maßnahmen aus der NIS-Richtlinie sind in Deutschland in dem bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz enthalten. Insofern besteht in Deutschland relativ geringer zusätzlicher Umsetzungsbedarf. Sie ist bis spätestens zum 9. Mai 2018 in nationales Recht umzusetzen."