"Die Kommission hat einen Vorschlag für ein neues Gesetz zur Cyber-Resilienz vorgelegt, um Verbraucher und Unternehmen vor Produkten mit unzureichenden Sicherheitsmerkmalen zu schützen". Es handelt sich dabei um "die erste Gesetzgebung dieser Art in der EU, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus einführt", so die EU-Exekutive in einer Erklärung.
Im Anschluss an eine Cybersicherheitsstrategie, die von der EU-Exekutive vor einem Jahr vorgestellt wurde, soll die neue Gesetzgebung sicherstellen, dass "digitale Produkte, wie drahtlose und drahtgebundene Produkte und Software, für die Verbraucher in der gesamten EU sicherer sind".
Neben der Stärkung der Verantwortung der Hersteller, indem sie verpflichtet werden, Sicherheitsunterstützung und Software-Updates zur Behebung erkannter Schwachstellen bereitzustellen, werden die Verbraucher in die Lage versetzt, sich ausreichend über die Cybersicherheit der von ihnen gekauften und verwendeten Produkte zu informieren", so Brüssel weiter.
Die vorgeschlagene Verordnung gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, obwohl einige Ausnahmen für Produkte vorgesehen sind, für die bereits in bestehenden EU-Vorschriften Cybersicherheitsanforderungen festgelegt sind, z. B. für medizinische Geräte, die Luftfahrt oder Autos. Mobile Anwendungen und Videospiele sind nach Angaben der Institution ebenfalls abgedeckt.
Um eine wirksame Durchsetzung der in diesem Gesetz festgelegten Verpflichtungen zu gewährleisten, ist jede Marktüberwachungsbehörde befugt, Geldbußen zu verhängen oder deren Verhängung zu beantragen", heißt es in den Rechtsvorschriften.
Bei Nichteinhaltung der grundlegenden Cybersicherheitsanforderungen drohen Geldbußen in Höhe von bis zu 15 Mio. EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, in Höhe von bis zu 2,5 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die Nichteinhaltung anderer Verpflichtungen aus dieser Verordnung wird mit Geldbußen von bis zu 10 Millionen Euro oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, von bis zu 2 % seines Jahresumsatzes geahndet.
Die Übermittlung unrichtiger, unvollständiger oder irreführender Informationen an benannte Stellen und Marktüberwachungsbehörden auf deren Aufforderung hin wird nach dem Verordnungsvorschlag mit Geldbußen von bis zu 5 Mio. EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, von bis zu 1 % seines Jahresumsatzes geahndet.
Nun müssen das Europäische Parlament und der Rat über das vorgeschlagene Cyber-Resilienz-Gesetz beraten, wobei Brüssel den "guten Willen" der Mitgesetzgeber hervorhebt und hofft, dass diese Initiative schnell vorankommt.
Nach dem Inkrafttreten haben die Beteiligten 24 Monate Zeit, um sich an die neuen Anforderungen anzupassen, mit Ausnahme einer kürzeren Frist von 12 Monaten in Bezug auf die Meldepflicht für Hersteller.
Aus Daten der Gemeinsamen Forschungsstelle der Europäischen Kommission für das Jahr 2021 geht hervor, dass weltweit alle 11 Sekunden ein Unternehmen von Ransomware-Angriffen betroffen ist und die jährlichen Kosten der Cyberkriminalität auf 5,5 Billionen Euro geschätzt werden.
Die jährlichen Kosten von Datenschutzverletzungen werden ebenfalls auf mindestens 10 Mrd. EUR geschätzt, während die jährlichen Kosten von böswilligen Versuchen, den Internetverkehr zu stören, auf 65 Mrd. EUR geschätzt werden.