Kommentar: Cyber Resilience Act (CRA) ist ein positives Signal
Danilo D’Elia, Vice President Global Public Affairs and Strategic Outreach bei YesWeHack, äußert sich zum Entwurf des Cyber Resilience Act.
Die Europäische Kommission hat vergangene Woche einen bedeutenden Schritt zur Schaffung einer sichereren digitalen Welt für Bürger:innen und Unternehmen in der EU unternommen. Sie hat den Entwurf zum ‚Cyber Resilience Act‘ (CRA) vorgestellt. Er beinhaltet neue Cybersicherheitsanforderungen für IoT-Hardware und -Software, wie etwa smarte Spielzeuge, vernetzte Kühlschränke oder Überwachungskameras.
Dazu Danilo D’Elia, Vice President Global Public Affairs and Strategic Outreach bei YesWeHack: „Während Unternehmen deutliche Vorteile aus dem Internet der Dinge ziehen – beispielsweise geringere Betriebskosten, neue Erkenntnisse über die Verbraucher:innen und die Möglichkeit zur Prozessoptimierung, hat sich die Angriffsfläche von internetfähigen Produkten immens vergrößert. Unter anderem ist das darauf zurückzuführen, dass diese Geräte häufig mit Schwachstellen behaftet sind und Hersteller nur unzureichende und uneinheitliche Updates bereitstellen. Das Gesetz betrifft alle internetfähigen Produkte im europäischen Binnenmarkt – unabhängig davon, ob sie hier hergestellt wurden oder nicht, und gilt für ihren gesamten Lebenszyklus, mindestens aber für fünf Jahre.
Wir von YesWeHack begrüßen den Entwurf des CRA, da er die strategische Bedeutung eines Prozesses zur Offenlegung von IT-Schwachstellen (Vulnerability Disclosure Policy, VDP) für Hersteller von IoT-Produkten hervorhebt. Ein offener und koordinierter Austausch mit ethischen Hackern ist unumgänglich, um einen zuverlässigen Prozess zur Aufdeckung, Meldung und Behebung von Schwachstellen bei IoT-Produkten zu etablieren.
Die Europäische Union hat mit dem Entwurf für den CRA nun die Möglichkeit, einen einheitlichen, paneuropäischen Ansatz zu implementieren, der eine VDP umfasst und somit Anreize für die involvierten Akteure schafft, Schwachstellen schneller und effektiver zu beheben, zum Beispiel durch die wirtschaftliche und rechtliche Förderung von VDP-Lösungen zur Umsetzung international gültiger Standards.
Wir werden uns auch weiterhin für eine VDP im Rahmen eines Security-by-Design-Ansatzes einsetzen – und für einen sicheren und erfolgreichen Austausch mit ethischen Hackern und Cybersicherheitsforscher:innen. Unser gemeinsames Ziel ist es, das allgemeine Niveau der Cybersicherheit für Bürger:innen und Unternehmen in der EU zu steigern und ein sicheres Internet der Dinge zu schaffen.“
