Der Vorschlag für eine Verordnung über Cybersicherheitsanforderungen soll vorangegangene Texte wie das KI-Gesetz, das Cybersicherheitsgesetz und die NIS2-Richtlinie ergänzen. Im Einzelnen stützt sich die Initiative auf zwei Säulen: Erstens wird die KOM spezifische Anforderungen für alle digitalen Produkte festlegen müssen und die Verantwortung für die Sicherheit der Produkte auf die Hersteller zurückverlagern. Damit dürfen Hersteller künftig in der EU nur noch IT-Produkte auf den Markt bringen, die bestimmte Sicherheitsstandards erfüllen. Mittels „Security by Design“ soll die Sicherheit digitaler Komponenten, etwa der von IoT-Geräten, von Beginn an festgelegt und durch kontinuierliche Maßnahmen wie Updates über den gesamten Lebenszyklus des Produkts gewährleistet werden können. "Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind", so die für Digitales zuständige Kommissionsvizepräsidentin Margrethe Vestager.
Zweitens soll das Cyberresilienzgesetz dafür sorgen, dass die Nutzerinnen und Nutzer bei der Auswahl eines digitalen Produkts alle notwendigen Informationen zur Verfügung haben. Das Gesetz soll so das Verständnis der Nutzerinnen und Nutzer für Cybersicherheitsfunktionen und das Vertrauen in digitale Produkte verbessern. "Cybersicherheit ist nicht nur ein Thema für die Industrie, sondern für die ganze Gesellschaft", betonte der für die Förderung der europäischen Lebensweise zuständige Kommissionsvizepräsident Margaritis Schinas.
Verbraucherschützer begrüßen den Vorstoß der KOM, vor allem mit Blick auf die bislang fehlende Verpflichtung der Hersteller zur Gewährleistung von IT-Sicherheit, die Nutzerinnen und Nutzer im digitalen Alltag oftmals großen Risiken aussetzt. Auch der Branchenverband Bitkom sieht die Initiative positiv; auf Kritik stößt jedoch die zweijährige Umsetzungsfrist, da diese für die meisten Produktentwicklungszyklen zu kurz sei.
Die KOM schätzt die jährlichen Kosten erfolgreicher Cyberangriffe auf Hard- und Softwareprodukte auf 5,5 Billionen Euro (Stand: 2021). Der Cyber Resilience Act mit seinen neuen Sicherheitsanforderungen für alle Produkte mit digitalen Elementen wäre das erste Gesetz weltweit mit solch einem breiten Anwendungsbereich. (VS)