Cyber Resilience Act: Das müssen Sie wissen

Zweck und Ziel des Cyber Resilience Acts (CRA)

Cyber Resilience beschreibt die Fähigkeit, eines Unternehmens, Cyberangriffe rechtzeitig zu erkennen, angemessen mit ihnen umzugehen und sich zügig davon zu erholen. Das Gesetz befasst sich daher mit der Cybersicherheit von Produkten mit digitalen Elementen im gesamten Produktlebenszyklus. Der CRA bezieht sich auf innerhalb der EU hergestellte, importierte oder vertriebene Produkte. Auf diese Weise will er…

…die Verbreitung sicherer Technologien fördern,

…Verbraucherinnen und Verbraucher schützen und

…das Vertrauen in digitale Produkte stärken.

Ziel ist ein Mindestmaß an Cybersicherheit innerhalb der EU.

Die Vorschriften treten voraussichtlich Ende 2024 in Kraft und werden in Etappen bis 2027 umgesetzt.

Betroffene Produkte

Die Vorschriften des Cyber Resilience Acts gelten für alle Produkte mit digitalen Elementen oder Produkte, die mit Netzwerken beziehungsweise anderen Geräten verbunden sind, unter anderem:

• Industrielle Hardware- und Software-Produkte, zum Beispiel IoT-Geräte
• Software-Produkte, zum Beispiel Desktop-, Web- und Mobile-Applikationen
• Software- und Hardware-Produkte zur persönlichen Anwendung, zum Beispiel intelligente Geräte

Gemäß CRA werden die betroffenen Produkte nach Risikoklassen eingeteilt.

Standardkategorie

Bei Produkten dieser Kategorie können die betroffenen Unternehmen eine Selbstbewertung und Selbsterklärung vornehmen.

• Programme zur Bildbearbeitung
• Videospiele
• Allgemeine Software und Geräte
• Alle anderen Produkte, die nicht als wichtig oder kritisch eingeordnet werden

Wichtige Produkte

Hier ist eine Konformitätsbewertung und Zertifizierung durch eine entsprechende Stelle notwendig. Diese Produkte teilt sich in zwei Klassen auf:

Klasse 1:

• Eigenständige und eingebettete Browser
• Mikrocontroller und -prozessoren mit sicherheitsrelevanten Funktionen
• Passwortmanager
• Betriebssysteme
• Smart Home (virtuelle Assistenten)

Klasse 2:

• Firewalls
• Angriffserkennungs-/Präventionssysteme
• Manipulationssichere Mikrocontroller und -prozessoren
• Smart Meter Gateways

Kritische Produkte

Für kritische Produkte ist eine Konformitätsbewertung und Zertifizierung durch eine Zertifizierungsstelle verpflichtend.

• Smart Cards
• Hardwaregeräte mit Security Boxes
• Alle Produkte, die für eine kritische Abhängigkeit wesentlicher Einrichtungen nach NIS2-Richtlinie führen

Betroffene Unternehmen

Da der Cyber Resilience Act einen ganzheitlichen Ansatz verfolgt, beziehen sich seine Regelungen auf die gesamte Lieferkette:

• Herstellerinnen und Hersteller digitaler Produkte
• Importeurinnen und Importeure
• Händlerinnen und Händler

Anforderungen an Unternehmen

Auch wenn die Anforderungen je nach Rolle des betroffenen Unternehmens variieren, gibt es einige Punkte, die übergreifend für alle wichtig sind.

Maßnahmen zur Cybersicherheit: Alle Herstellerinnen und Hersteller müssen Cybersicherheit zu einem Bestandteil des kompletten Produktlebenszyklus machen.

Updates: Es müssen Updates für mindestens die nächsten fünf Jahre zur Verfügung stehen.

Dokumentation und Anleitung: Sicherheitsrisiken und deren Behebung müssen dokumentiert werden. Zusätzlich stehen Nutzenden klare Anleitungen zu. Sicherheitsrelevante Vorfälle sollten aufgezeichnet werden, um den Zustand des Produkts zu überwachen.

Höhere Risikoklassen: Für Produkte dieser Kategorie sind stärkere Sicherheitsmaßnahmen nötig. Dazu gehören umfangreichere Risikobewertungen und komplexere Sicherheitsmechanismen.

Meldepflichten: Einen Cybersicherheitsvorfall müssen Herstellerinnen und Hersteller in 24 Stunden an die europäische Agentur für Cybersicherheit (ENISA) melden.

Identitätsmanagement und Zugriffskontrollen: Sie sollen Produkte vor unberechtigten Zugriffen schützen.

Verschlüsselte und minimierte Datenspeicherung: Produkte sollen nur Daten erfassen, die zum Erhalt der Sicherheit notwendig sind.

Nutzerautonomie: CRA will User befähigen, ihre Daten selbst von Geräten entfernen zu können.

Embedded Security: Herstellerinnen und Hersteller sollen von Anfang an darauf achten, dass Potenzial für Sicherheitslücken schon während der Produktentwicklung so klein wie möglich zu halten.

Resilienz und Schutzmaßnahmen: Ziel ist, wesentliche Produktfunktionen zu schützen und auch dann verfügbar zu halten, wenn es zu Sicherheitsvorfällen kommt.

Das können Sie jetzt tun

Wenn Sie betroffen sind, sollten Sie so früh wie möglich damit beginnen, die Vorgaben des CRA umzusetzen.

• Verfolgen Sie von Anfang an den Ansatz „Security by Design“
• Gewährleisten Sie eine sichere Nutzung Ihrer Produkte durch Sicherheitsupdates
• Prüfen Sie Ihre internen Prozesse auf CRA-Konformität
• Etablieren Sie einen sinnvollen, transparenten Umgang mit Schwachstellen

Konsequenzen bei Verstößen

Künftig wird ein Produkt nur noch dann für den EU-Markt zugelassen, wenn es die Vorschriften des Cyber Resilience Act erfüllt. Er ist also unmittelbar mit der EU-Konformitätsbewertung von Produkten.

Hält ein Unternehmen sich nicht an diese Vorschriften, drohen folgende Konsequenzen:

• Bußgelder bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des Jahresumsatzes – abhängig davon, welcher Beitrag höher ist.
• Behörden kennen den Zugang zum Markt beschränken oder sogar komplett unterbinden, sollten Produkte gegen die EU-Vorgaben verstoßen.
• Bei besonders schweren Verstößen drohen Rücknahmen des betroffenen Produkts.

Cyber Resilience – neue Herausforderungen, langfristige Chancen

Der Cyber Resilience Act stellt Unternehmen vor neue Herausforderungen. Betroffene müssen verstärkt in Sicherheit investieren, um das Vertrauen ihrer Kundschaft zu stärken und im Wettbewerb zu bestehen.