Pressemitteilung von Bundesverband IT-Mittelstand e.V.

Cyber Resilience Act: BITMi fordert mehr Pragmatismus und Verhältnismäßigkeit

---

---

Aachen, Berlin 24. Mai 2024 - Nachdem der Cyber Resilience Act (CRA) im März im Europäischen Parlament verabschiedet wurde, steht nun noch die finale Bestätigung durch den EU-Ministerrat aus. Der Bundesverband IT-Mittelstand e.V. (BITMi) fordert nun die Bundesregierung auf, die jetzige Fassung des CRA im EU-Ministerrat abzulehnen und sich stattdessen für eine Nachbesserung mit mehr Pragmatismus und Verhältnismäßigkeit einzusetzen. Konkret empfiehlt der Verband eine Begrenzung der Verordnung auf Software, die eine Internetverbindung nutzt, um eine Überregulierung ohne erhöhten Nutzen für die Cybersicherheit zu vermeiden.

Ab 2027 soll jede Software, die auf einem internetfähigen Gerät installiert wird, über einen Zeitraum von mindestens fünf Jahren mit Sicherheitsupdates versorgt werden und eine CE-Kennzeichnung erhalten. Die Pflicht zur Bereitstellung von Sicherheitsupdates besteht gegenüber Verbrauchern allerdings bereits seit dem 01.01.2022 auf der Grundlage der bestehenden EU-Gesetzgebung über digitale Produkte und zum Warenkauf. Insofern bietet der CRA weder eine Neuerung noch eine Verbesserung.

Europäische Digitalwirtschaft wird weiter geschwächt

Gleichzeitig werden den Unternehmen umfangreiche Dokumentations- und Gestaltungspflichten auferlegt, ohne dass diese zu einer qualitativen Verbesserung der Software führen. Insbesondere werden Softwareunternehmen verpflichtet, mehrere formale rechtliche Dokumente zu erstellen, aufzubewahren und zu aktualisieren. Durch eine Vielzahl unklarer Formulierungen wird hierbei für die Unternehmen bürokratischer Aufwand und Rechtsunsicherheit erzeugt, die insbesondere KMU und Start-Ups unverhältnismäßig belasten werden. Es sind ausgerechnet diese Unternehmen, die den Großteil der europäischen Digitalwirtschaft ausmachen. Für sie wird der bürokratische Aufwand zunehmend zu einer erdrückenden Last, die letztlich Innovation verhindert. Technologische Souveränität durch Digitalisierung "made in Europe" ist auf diese Weise nur schwer zu erreichen.

Es braucht mehr Pragmatismus und Verhältnismäßigkeit

Die Komplexität und Geschwindigkeit des digitalen Fortschritts erfordern eine differenzierte und umsichtige Regulierung. Der CRA stellt hingegen pauschale Anforderungen an die Gestaltung und Dokumentation von Software, ohne hierbei zur Voraussetzung zu machen, dass die Software selbst eine Verbindung zum Internet unterhält oder die Software in einem technisch- oder datenschutzsensiblen Bereich (Betriebssystem oder Fitness-App) eingesetzt wird. Auch für einen belanglosen Texteditor muss eine Cybersicherheitsbewertung, eine formale technische Dokumentation, eine Nutzerinformation und eine Konformitätserklärung erstellt werden.

"In seiner jetzigen, über 300 Seiten starken Fassung ist der CRA ein Beispiel für eine überschießende und undifferenzierte Regulatorik, die insbesondere kleinen und mittelständischen Unternehmen Steine in den Weg legt", erklärt BITMi-Präsident Dr. Oliver Grün. "Auch lässt sie die guten Ziele und Ansätze, wie eine Pflicht zur Meldung von Schwachstellen, in den Hintergrund treten. Es braucht kein CE-Kennzeichen für einen simplen Texteditor, der nicht einmal eine Verbindung zum Internet aufbaut."

Der BITMi fordert daher die Bundesregierung auf, die jetzige Fassung des CRA im EU-Ministerrat abzulehnen und sich stattdessen für eine Begrenzung der Anwendbarkeit auf solche Software einzusetzen, die eine Internetverbindung nutzt. Dadurch würde sichergestellt, dass der Aufwand für Unternehmen und der Nutzen für mehr Cybersicherheit in einem angemesseneren Verhältnis zueinanderstehen. Dies würde auch auf den oft formulierten Anspruch der Bundesregierung einzahlen, die Bürokratiebelastung insbesondere für KMU zu reduzieren und Innovationen im hiesigen Digitalsektor zu beflügeln.

Firmen- & Pressekontakt