Australien veröffentlicht den Cyber Security Act 2024

Cybersicherheitsvorschriften für IoT-Geräte kommen nun auch in Australien

Am 29. November 2024 erhielt Australiens Cyber Security Act 2024 (CSA) die königliche Zustimmung und wurde damit geltendes Gesetz.[1] Im Weiteren soll der CSA näher unter die Lupe genommen werden, um herauszufinden, welche Auswirkungen er auf Hersteller und Lieferanten (supplier) von IoT-Geräten haben wird.

Der CSA ist in 6 Teile aufgegliedert:

  1. Preliminary
  2. Security standards for smart devices
  3. Ransomware reporting obligations
  4. Coordination of significant cyber security incidents
  5. Cyber Incident Review Board
  6. Regulatory powers
  7. Miscellaneous

Für Hersteller und Lieferanten (supplier) von IoT-Geräten wird besonders Teil 2 interessant sein, da dieser die Verwendung von Sicherheitsstandards (Normen) für intelligente Geräte (smart devices bzw. IoT-Geräte) einführt. 

Dabei ist ein smart device bzw. connected device laut CSA definiert als ein Gerät, welches direkt oder indirekt mit dem Internet kommunizieren kann. 

Die australische Gesetzgebung wird in diesem Bereich im Laufe der kommenden Jahre verpflichtende Sicherheitsstandards zur Verfügung stellen. 

Der erste Standard, der gemäß ministeriellen Vorschriften eingeführt werden soll, wird voraussichtlich die Cybersicherheit von verbraucherorientierten IoT-Geräten behandeln. 

Dabei will sich die australische Regierung an den „Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023 (UK)” orientieren, welche sich auf die ETSI EN 303 645 berufen. [2]

Der Sicherheitsstandard wird voraussichtliche Vorschriften für mindestens die folgenden drei Themen enthalten:

  • Keine universellen Default-Passwörter
  • Implementieren einer Methode zur Verwaltung von Berichten über Schwachstellen
  • Informationen über die Unterstützungsdauer für das Gerät zur Verfügung stellen

Nach Veröffentlichung eines solchen Sicherheitsstandards wird es eine 12-monatige Übergangszeit geben, bevor dessen Anwendung verpflichtend wird.

Für den ersten Sicherheitsstandard soll wahrscheinlich ein ausschlussbasierter Ansatz für den Geltungsbereich der Geräte gewählt werden. 

So sollen Geräte, die unter einen der folgenden Punkte fallen, von der Anwendung des Sicherheitsstandards ausgeschlossen werden können:

  • es gibt bereits bestehende Gesetze, welche die von diesen Geräten ausgehenden Cybersicherheitsrisiken angemessen abdecken;
  • es wird bereits innerhalb der Regierung ein höherer oder maßgeschneiderter Standard für diese Geräte entwickelt; oder
  • die Komplexität dieses Geräts bedeutet, dass eine Verpflichtung nach diesen Regeln das Risiko birgt, einen niedrigeren Standard zu erreichen.

Mit dem CSA reiht sich Australien in die entstehende internationale Gesetzgebung für Cybersicherheit ein, siehe unter anderem den Cyber Resilience Act, Brasiliens Act Nr. 77 – „Cyber Security Requirements For Telecommunication Equipment“ und Kaliforniens IoT Bill (SB-327).

Parallelen zum Cyber Resilience Act (CRA) der EU sind neben den Cybersicherheitsanforderungen an bestimmte Produkte auch die Anforderungen an die Meldung von Sicherheitsvorfällen. Ein Unterschied ist jedoch der Wirkungsgrad der jeweiligen Rechtsakte. Während der CRA durch die Definition von „Produkten mit digitalen Elementen“ deutlich mehr Produkte einfasst als IoT-Geräte, spezifiziert der CSA ausschließlich „connected devices“, die direkt oder indirekt mit dem Internet kommunizieren können. Eine ähnliche Definition findet sich in der Delegierten Verordnung 2022/30, welche die Funkanlagenrichtlinie 2014/53/EU um den Cybersecurity-Aspekt aus Artikel 3 d), e) und f) erweitert. Diese ist übrigens ab August 2025 verbindlich einzuhalten.

Fordert der CRA eine Konformitätserklärung und ist CE-kennzeichnungspflichtig, so müssen laut CSA Hersteller und Lieferanten von IoT-Geräten ein „statement of compliance“ erstellen, in welchem sie die Konformität mit dem CSA versichern. In diesem „statement of compliance“ wird u.a. die Listung der eingehaltenen Sicherheitsstandards und eine Angabe zur Unterstützungsdauer für das Produkt gefordert werden.

Wie bereits erwähnt, betrachtet der CSA auch die Meldung von Sicherheitsvorfällen. Teil 3 des CSA schreibt die obligatorische Meldung von Ransomware-Angriffen vor. Dabei sind australische Unternehmen verpflichtet, einen solchen Sicherheitsvorfall innerhalb von 72 Stunden an die zuständige Behörde zu melden. Die Meldepflicht wird gesetzlich jedoch auf solche Sicherheitsvorfälle beschränkt, welche eine unmittelbare Geldforderung oder andere Vorteilsforderungen beinhalten.

Andere signifikante Sicherheitsvorfälle können laut Teil 4 des CSA freiwillig an den „National Cyber Security Coordinator“ gemeldet werden. Der „National Cyber Security Coordinator“ wird erstmalig durch den CSA eingeführt und soll bei der Koordination und Handhabung von signifikanten Sicherheitsvorfällen unterstützen. Im Vergleich fordert der CRA gemäß Artikel 14, Absatz 1 eine erste Meldung jeder aktiv ausgenutzten Schwachstelle innerhalb von 24h an die ENISA und dem als Koordinator benannten CSIRT." Im 5. Teil wird ein „Cyber Incident Review Board“ eingerichtet. Dieses Gremium soll für bestimmte Cybersicherheitsvorfälle Bewertungen durchführen. Ein solcher Vorgang kann durch unterschiedliche Instanzen angestoßen werden. Unter anderem durch den australischen Minister, ein Mitglied des Gremiums selbst oder den „National Cyber Security Coordinator“.

Der Zweck einer solchen Bewertung besteht darin, Empfehlungen für Maßnahmen zu entwickeln, um Cybersicherheitsvorfälle ähnlicher Art in Zukunft zu erkennen, darauf zu reagieren, deren Auswirkungen zu minimieren oder gänzlich zu verhindern.

Abschließend lässt sich sagen, dass Hersteller und Lieferanten (supplier) von IoT-Geräten erst einmal auf die Veröffentlichung der Sicherheitsstandards für diese Gerätekategorie warten müssen. Danach bleibt ihnen 12 Monate Zeit, die Anforderungen umzusetzen.

Sollten Sie sich schon jetzt auf den CSA, CRA oder auch die Delegierte Verordnung 2022/30, welche die Funkanlagenrichtlinie (2014/53/EU) erweitert, vorbereiten wollen, stehen wir bei Globalnorm Ihnen gerne beratend zur Seite.

 

Autorin

Anne Barsuhn
Junior Consultant Cybersecurity
 




BEGRIFFE UND ABKÜRZUNGEN


IoT - Internet of Things: Vernetzte Geräte, die mit Sensoren, Software und anderen Technologien ausgestattet sind, um Daten zu und von anderen Geräten zu übertragen und zu empfangen.

Veröffentlicht am 13.01.2025
Kategorie: Fokus Electrical and Wireless, Insider-Compliance, Compliance

Compliance News

Die wichtigsten Neuigkeiten rund um Marktzulassungen und Product Compliance.

Expertise rund um Product, Material & Environmental Compliance
Weitere News
Cybersicherheitsnormen (EN 18031-Serie) zur RED im EU-Amtsblatt gelistet

Listing mit Einschränkungen

mehr

Gemeinsame Spezifikationen (GS) der EU

Ausweichlösung, wenn keine harmonisierten Normen vorliegen

mehr

Neue Entwicklung zum Fall „Malamud“ und kostenlose Bereitstellung von Normen

ISO und IEC reichen Klage gegen die Europäische Kommission ein

mehr

Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK