In der EU sollen IoT-Geräte künftig unter Cybersicherheitsanforderungen stehen. Dies hat die EU-Kommission in ihrem neuen Cyberresilienzgesetz vorgeschlagen. Die Präsidentin Ursula von der Leyen kündigte den Rechtsakt bereits vor einem Jahr an. Das EU-Parlament und der Ministerrat werden sich nun mit dem Gesetzentwurf befassen, heisst es in einer Mitteilung.

"Computer, Handys, Haushaltsgeräte, virtuelle Hilfsgeräte, Autos, Spielzeug usw. – alle diese hunderte Millionen von vernetzten Produkten sind eine potenzielle Schwachstelle, über die Cyberangriffe erfolgen können", sagt EU-Kommissar Thierry Breton. "Für die meisten Hardware- und Softwareprodukte gelten jedoch heute noch keine Cybersicherheitsanforderungen. Mit der Einführung des Konzepts der 'integrierten Cybersicherheit' trägt das Cyberresilienzgesetz dazu bei, die Wirtschaft in Europa zu schützen und die Sicherheit aller zu gewährleisten."

Ziel der Anforderungen sei es, Produkte mit digitalen Elementen (darunter drahtlose und drahtgebundene Hardware sowie Software) sicherer zu machen. Mit dem Gesetz sind die Hersteller verpflichtet, Vorfälle unverzüglich zu melden. Ausserdem sollen die Unternehmen mindestens 5 Jahre lang Support und Software-Updates anbieten müssen. Während dieses Zeitraums tragen sie auch die Verantwortung dafür, neu entdeckte Schwachstellen zu beseitigen. Weiter müssen die Hersteller ihre Kundinnen und Kunden ausreichend über die Cybersicherheit der Produkte informieren.

Nach der Verabschiedung haben Unternehmen in der EU zwei Jahre Zeit, sich anzupassen. Die Meldepflicht für Schwachstellen und Vorfälle soll jedoch bereits nach einem Jahr gelten. Wer sich nicht daran hält, wird zu einer Geldbusse verdonnert: Bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr würden auf dem Spiel stehen, berichtet 'The Register'. Das Cyberresilienzgesetz dürfte laut der EU-Kommission "auch international Massstäbe setzen".