Cyber Resilience Act

Schwachstellen in Produkten mit digitalen Elementen sind eine der Hauptbedrohungen für Unternehmen. Mit dem Cyber Resilience Act (CRA) sollen daher verbindliche Cybersicherheitsanforderungen für Hardware- und Softwareprodukte während des gesamten Lebenszyklus eingeführt werden. Die Hersteller müssen sicherstellen, dass ihre Produkte bestimmte grundlegende Cybersicherheitsanforderungen erfüllen.

Die Produktpalette reicht dabei von Babymonitoren, intelligenten Uhren und Computerspielen bis hin zu Firewalls und Routern.

Der Cyber Resilience Act (derzeit Entwurf) ist eine EU-Verordnung, die in den nächsten Monaten verabschiedet werden soll und mit einer Übergangsfrist von 36 Monaten vollständig in Kraft treten wird.

Ziel

Die Verordnung soll

• sicherstellen, dass Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden, weniger Schwachstellen aufweisen
• sicherstellen, dass die Hersteller während des gesamten Lebenszyklus eines Produkts für die Cybersicherheit verantwortlich bleiben
• die Transparenz in Bezug auf die Sicherheit von Hardware- und Softwareprodukten verbessern
• besseren Schutz für gewerbliche Nutzer und Verbraucher gewährleisten

Der Cyber Resilience Act ergänzt die NIS2-Gesetzgebung, die Cybersicherheitsanforderungen einschließlich Sicherheitsmaßnahmen in der Lieferkette, und Pflichten zur Meldung von Sicherheitsvorfällen für wesentliche und wichtige Einrichtungen festgelegt, um die Resilienz der von ihnen erbrachten Dienste zu erhöhen.

Wer ist betroffen?

Der CRA gilt für alle Produkte mit digitalen Elementen, die in Europa auf den Markt gebracht werden. Betroffen sind Produkte mit digitalen Bestandteilen, die darauf ausgelegt sind, eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken herzustellen. Dies kann sowohl Software als auch Hardware umfassen, wobei es um die grundlegenden Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten geht.

Die Regelungen betreffen daher Unternehmen, die diese Produkte herstellen. Darüber hinaus gibt es Verpflichtungen für Händler und Einführer.

Gibt es Ausnahmen?

Es gibt keine größenabhängigen Ausnahmen. Der CRA ist grundsätzlich für alle Branchen relevant.

Einige Sektoren sind jedoch ausgeschlossen:

• Produkte mit digitalen Elementen, die von öffentlichen Behörden bereitgestellt werden, oder für nationale Sicherheit oder Verteidigung
• In-vitro-Diagnostika und andere medizinische Geräte mit bereits bestehenden Regelungen
• Fahrzeuge, Flugsysteme und Bereiche für die bereits Regelungen mit gleichwertigen Anforderungen bestehen

Pflichten

Der CRA sieht in Abhängigkeit von der von der Klassifizierung der Produkte ab unterschiedliche Anforderungen bzw. Cybersecuritymaßnahmen vor.

Klassifizierung

• nicht kritische Produkte mit digitalen Elementen (zum Beispiel Festplatten, PC-Spiele),
• kritische Produkte mit digitalen Elementen Klasse I (zum Beispiel  Browser, Passwort-Manager) und Klasse II (zum Beispiel Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser),
• hochkritische Produkte mit digitalen Elementen

Ein Großteil (circa 90 Prozent der Erzeugnisse) fällt in die Gruppe der nicht kritischen Produkte.

Hersteller und Vertreiber von kritischen Produkten müssen strengere Anforderungen erfüllen, beispielsweise bei der Konformitätsbewertung, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformität wird am Produkt mit dem "CE-Kennzeichen" dokumentiert.

Hersteller müssen Sicherheitslücken über den gesamten Produktlebenszyklus, maximal jedoch über fünf Jahre, schließen.

Nutzer müssen über behobene Schwachstellen und über Cybersicherheitsvorfälle informiert werden.

Hersteller müssen Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden der Europäischen Agentur für Cybersicherheit (ENISA) melden.