Cyber Resilience Act
Neue Sicherheitsanforderungen an Produkte mit digitalen Komponenten
Lesedauer: 3 Minuten
Schwachstellen in Produkte mit digitalen Elementen stellen eine große Bedrohung für Wirtschaft und Gesellschaft dar.
Mit dem Cyber Resilience Act werden EU-weite Cybersicherheitsanforderungen für Konzeption, Entwicklung, Herstellung und Inverkehrbringen von Hardware- und Softwareprodukten eingeführt. Ziel ist die Erhöhung der Cyberresilienz und Schaffung eines EU-weit einheitlichen Rechtsrahmens für Cybersicherheitsanforderungen von Produkten mit digitalen Elementen. Die Produktpalette reicht dabei von Babymonitoren, intelligenten Uhren und Computerspielen bis hin zu Firewalls und Routern.
Die Verordnung gilt für Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Software- und Hardwareprodukte müssen künftig mit der CE-Kennzeichnung versehen sein, die darauf hinweist, dass sie den Anforderungen der Verordnung entsprechen. So soll es Verbrauchern und Unternehmen erleichtert werden, Hardware- und Softwareprodukte mit den entsprechenden Cybersicherheitsmerkmalen zu erkennen.
Produkte mit digitalen Elementen, die ab 11.12.2027 in der EU in Verkehr gebracht werden, müssen die Anforderungen vollumfänglich erfüllen.
Ziel
Die Verordnung soll
- sicherstellen, dass Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden, weniger Schwachstellen aufweisen
- sicherstellen, dass die Hersteller während des gesamten Lebenszyklus eines Produkts für die Cybersicherheit verantwortlich bleiben
- die Transparenz in Bezug auf die Sicherheit von Hardware- und Softwareprodukten verbessern
- besseren Schutz für gewerbliche Nutzer und Verbraucher gewährleisten
Der Cyber Resilience Act ergänzt die NIS2-Gesetzgebung, die Cybersicherheitsanforderungen einschließlich Sicherheitsmaßnahmen in der Lieferkette, und Pflichten zur Meldung von Sicherheitsvorfällen für wesentliche und wichtige Einrichtungen festgelegt, um die Resilienz der von ihnen erbrachten Dienste zu erhöhen.
Zeitplan
Die Verordnung wurde am 20.11.2024 im EU-Amtsblatt veröffentlicht und tritt am 11.12.2024 in Kraft. Der Cyber Resilience Act gilt 36 Monate nach dem Inkrafttreten, somit am 11.12.2027 vollumfänglich.
Die Meldepflichten der Hersteller über jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der sie Kenntnis erlangen, gelten bereits ab 11. 09.2024, die Regelungen über die Notifizierung der Konformitätsbewertungsstellen gelten ab 11.06.2026.
Wer ist betroffen?
Die Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Produkte mit digitalen Elementen sind Software- oder Hardwareprodukte und deren Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden.
Die Regelungen betreffen Unternehmen, die diese Produkte herstellen. Darüber hinaus gibt es Verpflichtungen für Händler und Einführer.
Gibt es Ausnahmen?
Es gibt keine größenabhängigen Ausnahmen. Der CRA ist grundsätzlich für alle Branchen relevant.
Ausgenommen sind
- nicht kommerzielle Produkte
- reine Dienstleistungen
- medizinische Geräte und In-vitro-Diagnostika mit bereits bestehenden Regelungen
- Fahrzeuge, Flugsysteme, Schiffsausrüstung und Bereiche für die bereits Regelungen mit gleichwertigen Anforderungen bestehen
- Produkte mit digitalen Elementen, die ausschließlich für nationale Sicherheit oder Verteidigung eingesetzt werden
Pflichten
Der CRA sieht in Abhängigkeit von der Klassifizierung der Produkte ab unterschiedliche Anforderungen bzw. Cybersecuritymaßnahmen vor.
Pflichten der Hersteller
- Regelungen für das Inverkehrbringen von Hard- und Software
- Sicherheitsanforderungen während Produktlebenszyklus
- Anforderungen an Umgang mit Schwachstellen
- Konformitätsbewertung und CE-Kennzeichnung (abhängig von der Risikoklassifikation des Produkts)
- Meldepflichten
- Transparenz
Pflichten der Händler
Bevor sie ein Produkt mit digitalen Elementen auf dem Markt bereitstellen, überprüfen die Händler, ob
- das Produkt mit digitalen Elementen mit der CE-Kennzeichnung versehen ist
- der Hersteller und der Einführer die Informationspflichten erfüllt und dem Händler alle erforderlichen Dokumente zur Verfügung gestellt haben
- Sobald die Händler von einer Schwachstelle in dem Produkt mit digitalen Elementen Kenntnis erhalten, informieren sie den Hersteller unverzüglich über diese Schwachstelle. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichten die Händler zudem unverzüglich die Marktüberwachungsbehörden der Mitgliedstaaten
Klassifizierung der Produkte
- nicht kritische Produkte mit digitalen Elementen (zum Beispiel Festplatten, PC-Spiele),
- kritische Produkte mit digitalen Elementen Klasse I (zum Beispiel Browser, Passwort-Manager) und Klasse II (zum Beispiel Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser),
- hochkritische Produkte mit digitalen Elementen
Ein Großteil (circa 90 Prozent der Erzeugnisse) fällt in die Gruppe der nicht kritischen Produkte.
Hersteller und Vertreiber von kritischen Produkten müssen strengere Anforderungen erfüllen, beispielsweise bei der Konformitätsbewertung, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformität wird am Produkt mit dem "CE-Kennzeichen" dokumentiert.
Sanktionen
Fast jeder Verstoß kann mit Bußgeld geahndet werden.
Die Maximalstrafen betragen bis zu EUR 15 Mio. oder bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres