Die EU wollte Hersteller von Smartphones, Wearables & Co. ab 2024 zu deutlich mehr IT-Sicherheit und Datenschutz verpflichten. Doch jetzt gibt es Aufschub.
Ein nachgeordneter Rechtsakt zur umstrittenen EU-Richtlinie über Funkanlagen soll nun erst ein Jahr später greifen als ursprünglich geplant. Eigentlich sollte die delegierte Verordnung von 2022, mit der die EU-Kommission Datenpannen bei drahtlos vernetzten Geräten wie Smartphones und anderen tragbaren Computersystemen den Kampf ansagt, vom 1. August 2024 an verpflichtend sein. Doch Ende Juli hat die Brüsseler Regierungsinstitution mit einer Zusatzverordnung beschlossen, das Startdatum auf den 1. August 2025 zu verschieben.
In dem ursprünglichen Rechtsakt zur Radio Equipment Directive (RED) geht es um zusätzliche Vorschriften auf Grundlage des Artikels 3(3)d, e und f der Richtlinie. Demnach müssen "Funkanlagen" in bestimmten Kategorien oder Klassen so konstruiert sein, dass sie "weder schädliche Auswirkungen auf das Netz oder seinen Betrieb" haben, noch "eine missbräuchliche Nutzung von Netzressourcen" bewirken und so einen Dienst unverhältnismäßig beeinträchtigen. Sie sollen zudem die Privatsphäre schützen. Ferner müssen sie gewisse "Funktionen zum Schutz vor Betrug" wie die Authentifizierung mittels mehreren Faktoren enthalten.
Die Vorschriften betreffen vor allem vernetzte Funkanlagen wie Mobiltelefone, Laptops, Dongles, Alarmanlagen, Kameras und Hausautomatisierungssysteme. Bei diesen besteht laut der Kommission eine große Gefahr, "dass sie gehackt werden und dass Datenschutzprobleme entstehen, wenn sie mit dem Internet verbunden sind". Erfasst werden aber auch "intelligente" Spielsachen, die immer wieder durch Sicherheitsprobleme auffallen, und Kinderbetreuungsgeräte wie Babymonitore. Die Vorgaben gelten auch für Wearables wie Smartwatches und Fitness-Tracker, die eine Reihe vertraulicher Daten des Nutzers etwa zu Standort, Temperatur, Blutdruck und Herzfrequenz über einen längeren Zeitraum überwachen und registrieren.
Erstmals EU-Normen für Cybersicherheit
Um es auch kleineren Unternehmen zu erleichtern, die Auflagen zu erfüllen, richtete die Kommission im August 2022 einen Normungsauftrag an die zuständigen europäischen Organisationen. Das Europäische Komitee für Normung (CEN) und das Europäische Komitee für elektrotechnische Normung (Cenelec) sollten demnach bis zum 30. September 2023 neue harmonisierte Normen zur Umsetzung der Verordnung liefern. Aufgrund der knappen Frist von rund einem Jahr beantragten CEN und Cenelec bei der Kommission aber eine Verlängerung von neun Monaten. Sie verwiesen dabei auf die technische Komplexität der Materie und auf die Tatsache, dass harmonisierte Normen zur Unterstützung der EU-Gesetzgebung zur Cybersicherheit von Produkten erstmals entwickelt würden.
Die Anwendung einschlägiger Standards seien im Rahmen der in der RED festgelegten Konformitätsbewertungsverfahren zwar nicht verbindlich, begründet die Kommission die Fristverlängerung in der Zusatzverordnung C(2023)4823. Das Fehlen harmonisierter Normen mache die Einhaltung der grundlegenden Anforderungen der Richtlinie aber sehr aufwändig. Daher sollte den zuständigen Organisationen "ausreichend Zeit für die Entwicklung hochwertiger Normen eingeräumt" werden.
Die Kommission informierte zunächst die Mitgliedstaaten über ihren Vorschlag, die diesen nach Informationen von heise online einstimmig befürworteten. Zudem führte sie eine öffentliche Konsultation durch, in deren Rahmen sie 45 Rückmeldungen – größtenteils aus der Industrie – erhielt. Die Verfasser einiger Stellungnahmen zeigten sich besorgt über die derzeit mangelnde Sicherheit drahtloser Geräte in der EU und mahnten, die Vorschriften möglichst rasch umzusetzen. Andere schlugen vor, die Verordnung noch weiter als zwölf Monate nach hinten zu schieben.
Angesichts des geteilten Feedbacks entschied sich Kommission nach eigenen Angaben für einen Mittelweg, "um das reibungslose Funktionieren des EU-Marktes zu gewährleisten". Zugleich habe sie einen Fehler in der Beschreibung der Verbindungs- und Standortdaten korrigiert, die Funkanlagen verarbeiten können. Den Text der Zusatzverordnung hat die Brüsseler Exekutivinstanz inzwischen an das EU-Parlament und den Ministerrat geschickt. Kommen von dort innerhalb von zwei Monaten keine Einwände, wird der zweite delegierte Rechtsakt im Amtsblatt offiziell veröffentlicht und tritt dann in Kraft.
Harmonisierte Normen gelten in der EU aufgrund einiger Urteile des Europäischen Gerichtshofs inzwischen mehr oder weniger als gesetzesgleich, haben die Autoren eines im Juli publizierten Papiers des Ingenieursverbands IEEE herausgearbeitet. Dadurch sind die Anforderungen an solche Werke massiv gestiegen. Dem Vernehmen nach erwartet die Kommission, dass harmonisierte Normen "rechtssicher" sind und sogar Tests beinhalten sollen, die reproduzierbare Ergebnisse liefern. Gerade in Bereichen wie Cybersicherheit lässt sich das schwer bewerkstelligen und schon gar nicht aus dem Stegreif zaubern.
Quelle; heise
Ein nachgeordneter Rechtsakt zur umstrittenen EU-Richtlinie über Funkanlagen soll nun erst ein Jahr später greifen als ursprünglich geplant. Eigentlich sollte die delegierte Verordnung von 2022, mit der die EU-Kommission Datenpannen bei drahtlos vernetzten Geräten wie Smartphones und anderen tragbaren Computersystemen den Kampf ansagt, vom 1. August 2024 an verpflichtend sein. Doch Ende Juli hat die Brüsseler Regierungsinstitution mit einer Zusatzverordnung beschlossen, das Startdatum auf den 1. August 2025 zu verschieben.
In dem ursprünglichen Rechtsakt zur Radio Equipment Directive (RED) geht es um zusätzliche Vorschriften auf Grundlage des Artikels 3(3)d, e und f der Richtlinie. Demnach müssen "Funkanlagen" in bestimmten Kategorien oder Klassen so konstruiert sein, dass sie "weder schädliche Auswirkungen auf das Netz oder seinen Betrieb" haben, noch "eine missbräuchliche Nutzung von Netzressourcen" bewirken und so einen Dienst unverhältnismäßig beeinträchtigen. Sie sollen zudem die Privatsphäre schützen. Ferner müssen sie gewisse "Funktionen zum Schutz vor Betrug" wie die Authentifizierung mittels mehreren Faktoren enthalten.
Die Vorschriften betreffen vor allem vernetzte Funkanlagen wie Mobiltelefone, Laptops, Dongles, Alarmanlagen, Kameras und Hausautomatisierungssysteme. Bei diesen besteht laut der Kommission eine große Gefahr, "dass sie gehackt werden und dass Datenschutzprobleme entstehen, wenn sie mit dem Internet verbunden sind". Erfasst werden aber auch "intelligente" Spielsachen, die immer wieder durch Sicherheitsprobleme auffallen, und Kinderbetreuungsgeräte wie Babymonitore. Die Vorgaben gelten auch für Wearables wie Smartwatches und Fitness-Tracker, die eine Reihe vertraulicher Daten des Nutzers etwa zu Standort, Temperatur, Blutdruck und Herzfrequenz über einen längeren Zeitraum überwachen und registrieren.
Erstmals EU-Normen für Cybersicherheit
Um es auch kleineren Unternehmen zu erleichtern, die Auflagen zu erfüllen, richtete die Kommission im August 2022 einen Normungsauftrag an die zuständigen europäischen Organisationen. Das Europäische Komitee für Normung (CEN) und das Europäische Komitee für elektrotechnische Normung (Cenelec) sollten demnach bis zum 30. September 2023 neue harmonisierte Normen zur Umsetzung der Verordnung liefern. Aufgrund der knappen Frist von rund einem Jahr beantragten CEN und Cenelec bei der Kommission aber eine Verlängerung von neun Monaten. Sie verwiesen dabei auf die technische Komplexität der Materie und auf die Tatsache, dass harmonisierte Normen zur Unterstützung der EU-Gesetzgebung zur Cybersicherheit von Produkten erstmals entwickelt würden.
Die Anwendung einschlägiger Standards seien im Rahmen der in der RED festgelegten Konformitätsbewertungsverfahren zwar nicht verbindlich, begründet die Kommission die Fristverlängerung in der Zusatzverordnung C(2023)4823. Das Fehlen harmonisierter Normen mache die Einhaltung der grundlegenden Anforderungen der Richtlinie aber sehr aufwändig. Daher sollte den zuständigen Organisationen "ausreichend Zeit für die Entwicklung hochwertiger Normen eingeräumt" werden.
Die Kommission informierte zunächst die Mitgliedstaaten über ihren Vorschlag, die diesen nach Informationen von heise online einstimmig befürworteten. Zudem führte sie eine öffentliche Konsultation durch, in deren Rahmen sie 45 Rückmeldungen – größtenteils aus der Industrie – erhielt. Die Verfasser einiger Stellungnahmen zeigten sich besorgt über die derzeit mangelnde Sicherheit drahtloser Geräte in der EU und mahnten, die Vorschriften möglichst rasch umzusetzen. Andere schlugen vor, die Verordnung noch weiter als zwölf Monate nach hinten zu schieben.
Angesichts des geteilten Feedbacks entschied sich Kommission nach eigenen Angaben für einen Mittelweg, "um das reibungslose Funktionieren des EU-Marktes zu gewährleisten". Zugleich habe sie einen Fehler in der Beschreibung der Verbindungs- und Standortdaten korrigiert, die Funkanlagen verarbeiten können. Den Text der Zusatzverordnung hat die Brüsseler Exekutivinstanz inzwischen an das EU-Parlament und den Ministerrat geschickt. Kommen von dort innerhalb von zwei Monaten keine Einwände, wird der zweite delegierte Rechtsakt im Amtsblatt offiziell veröffentlicht und tritt dann in Kraft.
Harmonisierte Normen gelten in der EU aufgrund einiger Urteile des Europäischen Gerichtshofs inzwischen mehr oder weniger als gesetzesgleich, haben die Autoren eines im Juli publizierten Papiers des Ingenieursverbands IEEE herausgearbeitet. Dadurch sind die Anforderungen an solche Werke massiv gestiegen. Dem Vernehmen nach erwartet die Kommission, dass harmonisierte Normen "rechtssicher" sind und sogar Tests beinhalten sollen, die reproduzierbare Ergebnisse liefern. Gerade in Bereichen wie Cybersicherheit lässt sich das schwer bewerkstelligen und schon gar nicht aus dem Stegreif zaubern.
Quelle; heise
