Die Europäische Kommission hat heute, 15. September 2022, den Entwurf einer Verordnung über Cyberresilienz (Cyber Resilience Act – CRA) vorgelegt. Darin werden erstmals verpflichtende Mindestanforderungen an die Cybersicherheit von vernetzten Geräten und digitalen Diensten festgelegt.
Ramona Pop, Vorständin des Verbraucherzentrale Bundesverbands (vzbv), kommentiert:
Nach langem Warten legt die Europäische Kommission endlich Regeln zur IT-Sicherheit von digitalen Produkten und Diensten vor. Der vzbv hat hier schon lange dringenden Handlungsbedarf gesehen. Die bislang fehlenden Verpflichtung der Hersteller zur Gewährleistung von IT-Sicherheit hat Verbraucher:innen im digitalen Alltag unzumutbaren Risiken und Gefahren ausgesetzt: Das reicht von digitalen Türschlössern, die zu leicht gehackt werden können, über ausspähbare Babyphones bis hin zu Identitätsdiebstahl mit schwerwiegenden finanziellen Schäden für Betroffene. Wir begrüßen, dass der Vorschlag der Europäischen Kommission nun erstmalig verpflichtende Cybersicherheitsanforderungen formuliert.
Der vzbv wird jetzt genau prüfen, inwiefern die Vorschläge der Europäischen Kommission ausreichen, damit nur verlässliche und dauerhaft sichere Dienste und digitale Produkte auf dem europäischen Markt zugelassen werden. Die Verantwortung für die Sicherheit von Geräten darf nicht länger auf Verbraucher:innen abgewälzt werden. Stattdessen müssen die Hersteller in die Verantwortung genommen werden. Bereits bei der Entwicklung von Hard- und Software-Produkten muss die IT-Sicherheit einbezogen werden – und das mit Blick auf den gesamten Lebenszyklus des Produktes. Die Hersteller sind dafür verantwortlich, Sicherheitslösungen nutzerfreundlich zu konzipieren, sichere Voreinstellungen bereitzustellen und Lücken zeitnah zu schließen. Daten und Informationen, die digitale Produkte und Dienste sammeln und verarbeiten, müssen sicher verschlüsselt sein, um unautorisierte Zugriffe zu verhindern.
In der Vergangenheit konnten freiwillige Lösungen und Industriestandards die Situation nicht verbessern. Daher ist es wichtig, dass keine reinen Selbsterklärungen der Hersteller genügen. Stattdessen fordert der vzbv, dass die Einhaltung von IT-Sicherheitsanforderungen von autorisierten und unabhängigen Stellen zertifiziert und geprüft werden. Darauf müssen sich Verbraucher:innen verlassen können.