Müssen Banken so reguliert werden wie ein Saugroboter?

Der Cyber Resilience Act, der Ende 2027 in Kraft tritt, erweitert die EU-weiten Anforderungen an Sicherheit, Gesundheitsschutz und Umweltschutz auf vernetzte Geräte. Hersteller und Anbieter von vernetzter Hard- und Software müssen künftig umfangreiche Cybersicherheitsanforderungen erfüllen, um das „CE“-Zeichen zu erhalten. Dies soll das Bewusstsein für Cybersicherheit in unserer zunehmend vernetzten Welt schärfen.

Die EU-Kommission will auch Zahlungskarten und Kartenzahlungsterminals in den Katalog solcher Produkte aufnehmen. Banken wären somit ebenfalls betroffen. Dies führt die Banken zu einer doppelten Regulierung durch den Cyber Resilience Act und den bereits bestehenden Digital Operational Resilience Act (DORA), der Finanzunternehmen zur Stärkung ihrer digitalen operationalen Resilienz verpflichtet. Die Deutsche Kreditwirtschaft (DK) kritisiert diese doppelte Regulierung.

Hersteller von elektrischen Geräten – wie Haushaltsgeräten – müssen die EU-weiten Anforderungen an Sicherheit, Gesundheitsschutz und Umweltschutz erfüllen, um ihre Produkte in der EU anbieten zu dürfen. Dies wird durch das bekannte „CE“-Zeichen ausgewiesen. Bisher galten diese Anforderungen jedoch nicht für Geräte, die über das Internet vernetzt sind. Der Cyber Resilience Act wird dies ändern.

Mit dem neuen Gesetz werden Hersteller und diejenigen, die vernetzte Hard- und Software erstmals auf den Markt bringen, künftig stärker für die Cybersicherheit ihrer Produkte verantwortlich gemacht. Sie müssen eine umfangreiche Liste von Cybersicherheitsanforderungen erfüllen, um das „CE-Zeichen“ zu erhalten. Die neuen EU-Vorgaben zielen darauf ab, das Bewusstsein für mögliche Gefahren und die Cybersicherheit in unserer zunehmend vernetzten Welt zu schärfen.

Die EU-Kommission hat nun vorgeschlagen, dass auch Zahlungskarten und Kartenzahlungsterminals in den Katalog solcher Produkte mit digitalen Elementen aufgenommen werden sollen, um die Cybersicherheit zu stärken. Banken stellen diese Produkte zwar nicht selbst her – Zahlungskarten werden von Kartenherstellern produziert und Kartenzahlungsterminals von speziellen Herstellern gefertigt – sie geben sie jedoch an ihre Kunden weiter.

Ab Dezember 2027 müssen dann internetfähige Saugroboter oder Babyphones in gleicher Weise wie auch Zahlungskarten als digitale Bankprodukte den wesentlichen Cybersicherheitsanforderungen des Cyber Resilience Act genügen.

Doch brauchen Bankprodukte eine solche Regulierung? Ganz klar: Nein. Denn die Finanzbranche unterliegt aufgrund ihrer besonderen Bedeutung bereits gesonderten Regelungen zur Sicherstellung der Cybersicherheit und Resilienz wie dem Digital Operational Resilience Act, kurz „DORA“. Dieser verpflichtet Finanzunternehmen bereits heute zur Stärkung ihrer digitalen operationalen Resilienz.

Banken müssten bei Produkten wie Zahlungskarten zukünftig also sowohl den Cybersicherheitsvorgaben nach DORA als auch denen des Cyber Resilience Act folgen. Dies führt zu einer doppelten Regulierung der Cybersicherheit von Bankprodukten mit digitalen Elementen – alle vom Cyber Resilience Act genannten Anforderungen sind bereits durch DORA adressiert. Dieser Umstand wird besonders deutlich, wenn man sich vor Augen hält, dass die beiden genannten EU-Gesetze fast gleichlautende Namen tragen.

Hier setzt die Kritik der Deutschen Kreditwirtschaft am Cyber Resilience Act an. Die kreditwirtschaftlichen Spitzenverbände arbeiten in der Deutschen Kreditwirtschaft (DK) bei gemeinsamen Anliegen von Banken und Sparkassen zusammen. Die DK setzt sich dafür ein, dass digitalisierte Finanzprodukte des Finanzsektors, wie mobile Zahlungsanwendungen und Geldautomaten, von den Regelungen des Cyber Resilience Act ausgenommen werden sollten, da DORA bereits umfassende Anforderungen an die Cybersicherheit dieser Produkte stellt. Nur dann würden keine zusätzlichen bürokratischen Hürden geschaffen – ein Ziel, dem sich die EU-Kommission aktuell in besonderer Weise verpflichtet hat.