Der Cyber Resilience Act (CRA) der EU will das Problem der Cybersicherheit mit den Hebeln der Produktsicherheit anpacken. Ein guter Ansatz, aber IT-Startups dürfen darunter nicht leiden, findet Rechtsexpertin Rosemarie Schön.
Wer schon einmal von einem Hacker-Angriff betroffen war, weiß: Schadenersatzansprüche lassen sich nicht einfach damit abwehren, dass man ohnehin eine Sicherheitssoftware installiert hatte. Vielmehr wird es darum gehen, ob alle Vorkehrungen getroffen wurden, die angesichts der Risiken der ausgeübten Tätigkeit angemessen waren. Derzeit liegt die Verantwortung für die Cybersicherheit bei den Nutzer:innen von Hard- und Software, selbst wenn Betriebssysteme einen gewissen Virenschutz eingebaut haben. So verbleibt die Verantwortung für den sicheren Betrieb bei den Anwender:innen.
i
Sicher die besten Infos!
Mit it-safe.at hilft dir die WKÖ schon jetzt beim IT-Risikomanagement und der Planung und Umsetzung von Sicherheitsmaßnahmen.
Hier geht's zu IT-SAFE.at!EU will direkte Sicherheitsstandards einführen
Mit dem geplanten Cyber Resilience Act (CRA) will die EU die Hersteller von Hard- und Software erstmals zur Einhaltung gewisser Sicherheitsstandards verpflichten. Das wird die Haftung professioneller Anwender (v.a. Unternehmen) kaum völlig ausschalten. So werden sie weiterhin für die Sicherheit der von ihnen verarbeiteten Daten haften - aber gegebenenfalls nicht mehr ganz allein. Soweit die gute Nachricht.
Innovationskraft von Startups gefährdet
Auf Startups wird allerdings im IT-Bereich ein neues Regulatorium zukommen, das ihre Innovationskraft schwer in Beschlag nehmen könnte. Jedenfalls werden die Entwicklungskosten steigen – und damit die Preise für europäische IT-Produkte. Importeur:innen und Händler:innen werden noch tiefer in die Verantwortung und Bürokratie der Marktüberwachung hineingezogen – und das bei einem Thema von enormer technischer Komplexität.
Freiwilliges Sicherheitslabel als Lösung
Das ist den europäischen Interessenverbänden der KMU nicht entgangen. Gemeinsam mit ihnen hat die WKO eine Idee in den laufenden Prozess eingebracht, die die Kommission selbst bereits hegte: Die Stärkung des freiwilligen, aber von der EU geprüften Sicherheitslabels. Unternehmen und Verbraucher:innen könnten dann selbst wählen. Reicht das günstige, herkömmliche Produkt oder ist man mit dem teureren, cyber-resilient-zertifizierten Produkt besser bedient? So kann jede:r die maßgeschneiderte Lösung für die konkreten Anwendungsgebiete finden.