Was das EU-Cyberresilienzgesetz für die IoT-Sicherheit bedeutet

Das Cyberresilienzgesetz der EU ist die erste EU-weite Gesetzgebung, die Herstellern Cybersicherheitsvorschriften auferlegt. Sie soll für Hardware und Software gelten und sowohl Hersteller als auch Entwickler für die Sicherheit vernetzter Geräte verantwortlich machen. Laut der Europäischen Kommission soll das Gesetz vor allem zwei Probleme angehen: „das geringe Cybersicherheitsniveau vieler dieser Produkte und vor allem die Tatsache, dass zahlreiche Hersteller keine Updates bereitstellen, um Schwachstellen zu beheben.“

Welche Anforderungen stellt das neue Cyberresilienzgesetz?

Bei der Entwicklung und Veröffentlichung der Anforderungen steckt der Teufel durchaus im Detail. Wir gehen davon aus, dass die Formulierungen eher beschreibend als vorschreibend sein werden, ähnlich wie in anderen Verordnungen: „Verschlüsselung sensibler Daten“, „Geräte müssen aktualisierbar sein“, „für die Integrität von Software und Firmware sorgen“ usw. Um jedoch Sanktionen zu rechtfertigen, müssen sie zumindest einige messbare Ansätze beschreiben. Es wird wahrscheinlich eine Pflicht zu regelmäßigen Updates geben, denn dieser Punkt wurde von der Europäischen Kommission als Manko hervorgehoben. Das Versenden automatischer Updates an eine Vielzahl von Geräten wird schwierig sein, solange es keine Lösung gibt, mit der Hersteller diese Aufgabe zumindest teilweise automatisieren und mit vertretbaren Kosten erledigen können. Die EU-Kommission hat außerdem gefordert, dass mehr Informationen für Verbraucher bereitgestellt werden, damit diese fundierte Kaufentscheidungen fällen und ihre Geräte sicher einrichten können.How will the EU Cyber Resilience Act affect IoT manufacturers?

Welche Auswirkungen wird das EU-Cyberresilienzgesetz für IoT-Hersteller haben?

Herstellern von IoT-Geräten könnten enorme Strafzahlungen und Sanktionen drohen, wenn sie sich nicht an das vorgeschlagene EU-Cyberresilienzgesetz halten. Dies ist eines der ersten Gesetze, das die Nichteinhaltung mit Geldbußen sanktioniert. Die EU macht sehr deutlich, dass nach dem vorgeschlagenen Gesetz die finanzielle Belastung durch die Geräte bei den Herstellern und Entwicklern liegen soll.

Darüber hinaus sollen Produkte, die bestimmte „grundlegende“ Cybersicherheitsanforderungen nicht erfüllen, gar nicht erst auf den Markt gebracht werden dürfen. Hersteller müssen also bereits jetzt damit beginnen, Sicherheitsaspekten bei der Produktentwicklung mehr Bedeutung beizumessen, damit Geräte, die in den kommenden Jahren auf den Markt kommen, den geforderten Sicherheitsstandards genügen. Marktüberwachungsbehörden in den einzelnen Mitgliedstaaten werden dafür zuständig sein, bis zu bestimmten Obergrenzen Geldbußen gegen Unternehmen zu verhängen, die sich nicht an die Vorschriften halten, und die Markteinführung nichtkonformer Geräte zu untersagen. Aufgrund des EU-weit einheitlichen Cybersicherheitsstandards wird es für Hersteller aber auch einfacher und rechtssicherer sein, die Anforderungen einzuhalten.

Welche Auswirkungen wird das EU-Cyberresilienzgesetz für Verbraucher haben?

Das EU-Cyberresilienzgesetz wird die Kaufkraft und das Vertrauen der Verbraucher in ihre Geräte stärken, da Hersteller vor dem Kauf Informationen zur Gerätesicherheit bereitstellen müssen. Es wird mehr Wissen über die Auswahl sicherer Produkte und die sichere Einrichtung von Produkten erforderlich sein. Ähnlich wie bei den Nährwertkennzeichnungen von Lebensmitteln, die Verbraucher heute lesen, um deren Zusammensetzung zu verstehen, wird die Bereitstellung von Sicherheitsinformationen über Geräte es ihnen zukünftig erlauben, fundiertere Kaufentscheidungen zu treffen.

Wenn Hersteller offener über die Cybersicherheitsaspekte ihrer Geräte informieren, werden Verbraucher größeres Vertrauen zu den vernetzten Geräten haben können, die am Markt erhältlich sind. Die EU-Kommission geht davon aus, dass bei einem größeren Vertrauen der Verbraucher auch die Nachfrage nach „Produkten mit digitalen Elementen“ steigen würde.

Im IoT sollte die Sicherheit bereits integriert sein

Es sollte eigentlich nicht nötig sein, dass Gesetzgeber mit saftigen Geldbußen und Konsequenzen drohen, um mehr Sicherheit zu erreichen – aber leider fristet die Sicherheit bei der Entwicklung von Geräten allzu oft ein Nischendasein. In einer idealen Welt wäre für Unternehmen sonnenklar, wie wichtig es ist, ihre Ressourcen, Kunden, Mitarbeiter und ihre Reputation zu schützen und zuverlässige Sicherheitsmaßnahmen zu implementieren, weil es einfach vernünftig ist. Bis es soweit ist, werden wir weiter mit Gesetzgebern leben müssen, die mit der Knute drohen. Zusätzlich wird die Fähigkeit einzelstaatlicher Überwachungsbehörden, den Verkauf nichtkonformer Produkte zu untersagen oder einzuschränken, ebenfalls mehr Sicherheit erzwingen.

Wann wird das Cyberresilienzgesetz umgesetzt?

Zum gegenwärtigen Zeitpunkt liegt das EU-Cyberresilienzgesetz dem Europäischen Parlament und dem Rat zur Prüfung und Verabschiedung vor. Sobald es angenommen wurde, haben die Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Hersteller sollten also bereit sein, sie innerhalb der nächsten zwei Jahre umzusetzen.

Der Trend zur zunehmenden Regulierung vernetzter Geräte wird jedoch anhalten. Das EU-Cyberresilienzgesetz ist nur der erste Schritt; wir gehen davon aus, dass andere Regulierungsbehörden es schon bald als Vorlage zur Entwicklung ähnlicher Standards nutzen werden. In der Zukunft werden das IoT und seine Gestaltung eher stärker statt weniger reguliert sein. Es ist daher wichtig für Hersteller, die Cybersicherheit bereits jetzt in das Produktdesign zu integrieren, damit sie auf die Zukunft eines regulierten IoT vorbereitet sind.

Ein weiterer Trend neben der stärkeren Regulierung ist die Zusammenarbeit zwischen verschiedenen Branchen an Lösungen der Gerätesicherheit. So kann beispielsweise der kurz vor der Einführung stehende Matter-Standard für die Interoperabilität, Sicherheit und Zuverlässigkeit von Smart-Home-Geräten als Fahrplan zu einer besseren IoT-Gerätesicherheit dienen, der von Marktteilnehmern entwickelt wird. Obwohl die Details des vorgeschlagenen EU-Gesetzes noch nicht vollständig bekannt sind, ist es wahrscheinlich, dass Hersteller, die dem Matter-Sicherheitsstandard entsprechen, indem sie Gerätebeglaubigungszertifikate und Zwischenzertifizierungsstellen verwenden, den Anforderungen des EU-Gesetzgebers entsprechen würden. Zudem senden sie auch ein Sicherheitssignal an die Verbraucher, da Matter-konforme Geräte das Matter-Gütesiegel tragen werden.

Cyberresilienz erreichen mit DigiCert

Wir bei DigiCert sind der Meinung, dass das EU-Cyberresilienzgesetz das digitale Vertrauen in unserer vernetzten Welt erhöhen kann. Schon lange machen wir uns für das Prinzip der integrierten Sicherheit stark und haben daher auch die Kompetenz und die Lösungen, mit denen Hersteller dieses Ziel erreichen können. So kann beispielsweise DigiCert for Connected Devices mit der preisgekrönten Lösung IoT Device Manager und Mocana Herstellern dabei helfen, den gesamten Lebenszyklus ihres Geräts einschließlich sicherer Updates zu managen. Besuchen Sie https://www.digicert.com/iot/trust-for-connected-devices und erfahren Sie, wie Sie schon vor Inkrafttreten des Gesetzes Ihre IoT-Sicherheit verbessern und Ihre digitale Vertrauenswürdigkeit stärken können.

Über DigiCert® IoT Device Manager

Im IoT Device Manager können Unternehmen ihre IoT-Geräte mit einem umfassenden, automatisierten Workflow verwalten, der auch die zertifikatsbasierte Sicherheit, von der Herstellung bis zum Einsatz am Edge, einschließt. Die Plattform bietet die Skalierbarkeit, Flexibilität, Kontrolle und Effizienz, die in einem Netzwerk internetfähiger Geräte erforderlich ist. Administratoren können den gesamten Zertifikatslebenszyklus verfolgen, Sicherheitsupdates einleiten, gerätespezifische Metadaten in Zertifikaten anpassen und so die Compliance aufrechterhalten. Statt eine eigene PKI aufzubauen und selbst zu verwalten und zu pflegen, können sie die PKI-Bereitstellung mit dem IoT Device Manager automatisieren und sich so das Management großer Gerätenetzwerke erheblich erleichtern. Administratoren können die Verwaltung durch die individuelle Anpassung von Berechtigungen und Zugriffsrechten auf unterschiedliche Benutzergruppen aufteilen. Und da der IoT Device Manager ein Bestandteil von DigiCert ONE™ ist, bietet er Ihnen die Flexibilität einer Bereitstellung vor Ort, in Ihrem Land oder in der Cloud, sodass Sie strikte Vorgaben sowie spezifische Integrations- und Air-Gap-Anforderungen erfüllen können.