Gesetz zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung)
Worum geht es?
Die Bundesregierung bringt einen Gesetzentwurf ein, der die Durchführung der EU-Verordnung 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen sicherstellen soll.
Betrifft dich das?
Direkt betroffen
- Ja, wenn du Hersteller von Produkten mit digitalen Elementen bist, die auf dem europäischen Binnenmarkt vertrieben werden.
Indirekt betroffen
- Ja, wenn du in einer Behörde arbeitest, die mit der Marktüberwachung oder der Notifizierung betraut ist.
- Ja, wenn du in einem kleinen oder mittleren Unternehmen tätig bist, das von den neuen Cybersicherheitsanforderungen betroffen ist.
Gesellschaftliches Interesse
- Ja, wenn dir die Sicherheit digitaler Produkte im Alltag wichtig ist.
- Ja, wenn du Interesse an der Umsetzung europäischer Sicherheitsstandards in Deutschland hast.
Ziel des Vorhabens
Laut den Initiatoren soll die Verordnung die Cybersicherheit von Produkten mit digitalen Elementen durch verbindliche Mindestanforderungen verbessern und das CE-Kennzeichen um Cybersicherheitsaspekte erweitern.
Was ändert sich konkret?
Was ändert sich?
Aktuelle Situation
Produkte mit digitalen Elementen müssen die allgemeinen CE-Kennzeichenanforderungen erfüllen, die Cybersicherheit ist bisher nicht explizit einbezogen.
Geplant ist
Künftig müssen diese Produkte zusätzlich den in der Verordnung festgelegten Mindestanforderungen an die Cybersicherheit genügen. Das CE-Kennzeichen wird um den Aspekt der Cybersicherheit erweitert.
Beispiel: Ein Hersteller von Smart-Home-Geräten muss sicherstellen, dass seine Produkte den neuen Cybersicherheitsstandards entsprechen, um sie weiterhin in Europa verkaufen zu können.
Auswirkungen auf bestehende Abläufe
Bisher: Es gibt keine spezifischen Anforderungen an die Cybersicherheit im Rahmen des CE-Kennzeichens.
Neu: Die Verordnung führt verbindliche Cybersicherheitsanforderungen ein und erweitert das CE-Kennzeichen um diesen Aspekt.
In der Praxis: Hersteller müssen ihre Produkte hinsichtlich Cybersicherheit zertifizieren lassen, bevor sie auf den Markt kommen.
Bisher: Es gibt keine speziellen Marktüberwachungsbehörden für die Cybersicherheit von Produkten.
Neu: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als Marktüberwachungsbehörde und notifizierende Behörde tätig.
In der Praxis: Das BSI wird neue Aufgaben im Bereich der Cybersicherheit von Produkten übernehmen, einschließlich der Überwachung und Notifizierung.
Mögliche Folgen
- Durch die neuen Anforderungen könnten Hersteller ihre Produktionsprozesse anpassen müssen, um die Cybersicherheitsstandards zu erfüllen.
- Für die Umsetzung der Verordnung könnten zusätzliche personelle und finanzielle Ressourcen bei den zuständigen Behörden erforderlich werden.
Zu beachten
- Hersteller müssen aktiv ausgenutzte Schwachstellen melden, was zusätzlichen Aufwand und organisatorische Anpassungen erfordern könnte.
- Kleine und mittlere Unternehmen könnten Unterstützung benötigen, um die neuen Anforderungen zu erfüllen.
Offene Fragen
- Wie werden die Unterstützungsmaßnahmen für kleine und mittlere Unternehmen konkret ausgestaltet?
- Welche Sanktionen sind bei Verstößen gegen die Verordnung vorgesehen?
Warum reden viele darüber?
- Das Thema erhält Aufmerksamkeit, weil es die Sicherheit digitaler Produkte betrifft, die im Alltag weit verbreitet sind.
- Es wird diskutiert, wie die neuen Anforderungen die Wettbewerbsfähigkeit von Unternehmen beeinflussen könnten, insbesondere von kleinen und mittleren Unternehmen.