Update: EU-Parlament segnet Gesetz für cybersichere Produkte ab
Das EU-Parlament hat dem Cyber Resilience Act zugestimmt. Das Gesetz verpflichtet Hersteller von Produkten mit digitalen Komponenten unter anderem zu Transparenz über verwendete Komponenten und Schwachstellen, unterscheidet aber zwischen Open-Source- und kommerziellen Lösungen.
Update vom 14.03.2024: Das EU-Parlament hat das Gesetz zur Förderung der Cyber-Resilienz (Cyber Resilience Act, CRA) mit 517 Ja-Stimmen, 12 Nein-Stimmen und 78 Enthaltungen angenommen. Ziel der Verordnung sei es, alle digitalen Produkte in der EU vor Cyberbedrohungen zu schützen, heisst es in der Mitteilung des Parlaments.
Die Produkte werden nach ihrem Cybersicherheitsrisiko eingestuft, wobei es Konformitätsbewertungsverfahren gibt. Kritische Geräte, wie Identitätsverwaltungssoftware, Passwortmanager und Sicherheitskameras, müssen automatische Sicherheitsupdates erhalten.
Erleichterung in der Open-Source-Community
In der Gemeinschaft der Open-Source-Entwickler zeigt man sich erleichtert. Während der Ausarbeitung des Gesetzes fühlte sich die Community durch den CRA bedroht und fürchtete, das Gesetz könnte eine abschreckende Wirkung auf die Entwicklung quelloffener Software haben. Gleich mehrere Verbände baten deshalb um Teilhabe am Konsultationsverfahren.
Schliesslich fanden sie bei den Gesetzgebern Gehör. So zeigte sich etwa die Python Software Foundation in einer Anfang 2024 veröffentlichten Mitteilung zufrieden mit der aktuellsten Fassung des Gesetzestextes. Neu wird darin der Begriff "Open Source Steward" definiert. Er bezeichnet "jede juristische Person, die kein Hersteller ist und deren Zweck oder Ziel es ist, systematisch und dauerhaft Unterstützung für die Entwicklung spezifischer Produkte mit digitalen Elementen, die als Open-Source-Software qualifiziert und für kommerzielle Aktivitäten bestimmt sind, bereitzustellen und die Rentabilität dieser Produkte zu gewährleisten".
Der CRA unterscheide klar zwischen den Phasen der Entwicklung und der Bereitstellung von Softwareprodukten, die auf quelloffenem Programmcode basieren. Die Open-Source-Community befürchtete, dass das Gesetz diese Unterscheidung nicht machen würde und dass Open-Source-Entwickler verantwortlich gemacht werden könnten für Sicherheitsprobleme in kommerziellen Produkten, die auf quelloffenen Komponenten basieren.
Auch Schweizer Unternehmen betroffen
Bevor das Gesetz in Kraft treten kann, muss noch der EU Rat zustimmen, wie es in der Mitteilung des Parlaments heisst.
Der CRA war übrigens auch schon Thema im Bundeshaus. Bereits im Sommer 2023 erkundigte sich FDP-Nationalrat Philippe Nantermod beim Bundesrat, welche Auswirkungen das Gesetz auf die Schweizer Industrie haben werde.
"Da die EU der wichtigste Absatzmarkt für viele Industrien der Schweiz ist, wird der Rechtsakt Auswirkungen auf die Schweiz haben", antwortete der Bundesrat darauf. "Exporteure von als kritisch eingestuften Produkten müssen künftig nachweisen können, dass die verwendeten digitalen Komponenten die Sicherheitsnormen erfüllen, und Konformitätsbewertungen vorlegen können." Der CRA werde somit zu einem erheblichen Aufwand bei den Unternehmen führen. Allerdings seien viele dieser Unternehmen in stark regulierten Bereichen tätig und hätten Erfahrungen im Umgang mit rechtlichen Anforderungen verschiedener Märkte.
Originalmeldung vom 19.09.2022:
EU präsentiert Gesetz für cybersichere Produkte
In der Europäischen Union soll die Cybersicherheit von Produkten gesetzlich verankert werden. Dazu legte die EU-Kommission am 15. September 2022 den Entwurf des "European Cyber Resilience Act" vor. Die Verordnung enthält Regeln für die Sicherheit von Produkten, die mit digitalen Elementen auf den Markt gebracht werden, Anforderungen an das Design und die Entwicklung solcher Produkte sowie Anforderungen an das Lebenszyklusmanagement von Produkten und die Meldung von Schwachstellen.
Der Gesetzesentwurf gilt für Produkte mit digitalen Elementen, nicht aber für Dienstleistungen wie Software-as-a-Service (SaaS), es sei denn, ein Produkt benötigt für seinen Betrieb eine Datenfernverarbeitung, die vom Hersteller konzipiert wurde oder in seiner Verantwortung liegt, teilt die EU-Kommission mit.
"Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind", erklärte Margrethe Vestager, die für das Ressort "Ein Europa für das digitale Zeitalter" zuständige Exekutiv-Vizepräsidentin. "Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen."
Als nächstes werden sich das Europäische Parlament und der Rat über den Gesetzesentwurf beugen, teilt die EU-Kommission mit. Nach der Verabschiedung haben die Wirtschaftsakteure und die Mitgliedstaaten zwei Jahre Zeit, sich an die neuen Anforderungen anzupassen. Davon ausgenommen ist die Meldepflicht der Hersteller für aktiv ausgenutzte Schwachstellen und Vorfälle, die bereits ein Jahr nach Inkrafttreten gelten würde.
Sicherung der Softwarelieferkette wird wichtiger
Auch die USA reagieren mit Gesetzesänderungen auf die Zunahme an Cybervorfällen. So veröffentlichte das Weisse Haus bereits im Juli 2022 einen Erlass zur "Verbesserung der Cybersicherheit des Landes". Dieser soll unter anderem den Austausch von Informationen über Vorfälle und Schwachstellen fördern. Zudem verpflichtet er die Software-Lieferanten der Regierung zu mehr Transparenz bezüglich verwendeter Komponenten.
Ein Aspekt der europäischen und US-amerikanischen Gesetzesentwürfe ist besonders auffällig: die Sicherung der Softwarelieferkette. Seit der Log4j-Sicherheitslücke und der Solarwinds-Affäre, die sich auf Millionen von Anwendungen ausgewirkt haben, ist die Frage der Transparenz von Softwarekomponenten - insbesondere von Open-Source-Bausteinen - Gegenstand vieler Diskussionen und Entwicklungen. Dabei wird die Idee der Software Bill of Materials (SBOM) – von standardisierten, maschinenlesbaren Dokumenten, die alle Komponenten einer Anwendung beschreiben - immer populärer.
Sie war etwa eines der Hauptthemen des OpenSSF Day Europe, der diese Woche in Dublin stattfand. Die Organisatoren der OpenSSF (Open Source Security Foundation ) erklären dazu, dass Anbieter zur Erleichterung der Schwachstellenanalyse eine Software Bill of Materials erstellen sollten, die es ihnen und den Benutzern ermöglicht, bekannte und neu auftretende Schwachstellen und Risiken zu verfolgen.
Das Thema ist auch auf der Agenda des Weissen Hauses, dessen CISO Chris DeRusha diese Woche eine "Guidance" für die Bereitstellung von Software für die Regierung veröffentlicht hat. Die Guidance fordert die US-Behörden auf, nur Software zu verwenden, die den Standards für die Entwicklung sicherer Software entspricht, und ermutigt sie, von ihren Lieferanten Software Bill of Materials für kritische Zwecke zu verlangen.
Laut einer von Venafi veröffentlichten Studie sind sich CIOs der Bedrohung durch Schwachstellen in Ihrer Softwarelieferkette durchaus bewusst. Allerdings wissen sie oft nicht, welche organisatorischen Veränderungen und neuen Kontrollen nötig sind, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.