Die Bundesregierung hat entschieden: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll die Einhaltung des Cyber Resilience Acts (CRA) kontrollieren. Dieser führt für alle möglichen Kategorien vernetzter Geräte Mindestvorschriften für die IT-Sicherheit ein – inklusive Mindest-Updatezeiträumen. Wer die jeweiligen Vorschriften nicht erfüllt, darf seine Geräte in den kommenden Jahren schrittweise nicht mehr in der EU auf den Markt bringen. Damit das funktionieren kann, soll das BSI nun überwachen, ob Hersteller und Importeure die Regeln einhalten. Dass das BSI zuständig sein soll, meldete die Bundesregierung jetzt an die europaweit zuständige EU-Kommission.
Die Behörde werde ihre "Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können", kündigte Präsidentin Claudia Plattner an. Der CRA sei ein "Gamechanger für die Sicherheit digitaler Produkte", da damit in der Breite das Cybersicherheitsniveau gesteigert werde, so Plattner. Eine Komplettüberwachung aller vernetzten Geräte ist dabei aber weder praktisch möglich noch gesetzlich vorgesehen. Wie bei der behördlichen Marktüberwachung üblich, will das BSI stattdessen stichprobenartig oder in gezielten Aktionen IT-Produkte auf Cybersicherheit überprüfen.
Bislang war das BSI keine Marktüberwachungsbehörde, auch wenn es mit dem IT-Sicherheitskennzeichen und der Befugnis für Produktwarnungen aus dem BSI-Gesetz schon verwandte Kompetenzen hatte. Im Rahmen des CRA darf die Behörde künftig bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes eines Anbieters als Strafe verhängen, je nachdem, welche Summe höher ist. So wie auch bei anderen Marktüberwachungs-Regimen darf das BSI künftig dann auch bei regelwidrigen Produkten ein Vertriebsverbot aussprechen. Zugleich ist das BSI als Konformitätsbewertungsstelle künftig für die Kriterien zuständig, nach denen Dritte die Einhaltung von Sicherheitsvorgaben für die unterschiedlichen Produktkategorien des CRA vergeben. Schnittstellen wird es auch weiterhin zur Bundesnetzagentur geben: Diese ist für einige verwandte Marktüberwachungsaufgaben zuständig, etwa im Bereich der sogenannten Funkanlagen-Richtlinie.
Für die Elektro- und Digitalindustrie sei es eine gute Nachricht, dass die Zuständigkeit nun klar benannt sei, sagt Lennard Kreißl vom ZVEI, der die Unternehmen im Verband bei der Cybersicherheit auf Produktebene gut aufgestellt sieht. "Eben deshalb wünschen wir uns eine starke und umfassende Marktüberwachung, die dazu aber mit genügend Ressourcen und Kapazitäten ausgestattet werden muss", sagt Kreißl auf Anfrage von heise online. Hier müsse das BSI in der Fläche noch aufgestockt werden, fordert der für Cybersicherheit zuständige Manager des ZVEI.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare