EU-Flagge mit Schloss in der Mitte und digitalen Zahlen
© PX Media | stock.adobe.com

Cyber Resilience Act

Neue Sicherheitsanforderungen an Produkte mit digitalen Komponenten

Lesedauer: 2 Minuten

04.11.2024

Schwachstellen in Produkte mit digitalen Elementen stellen eine große Bedrohung für Wirtschaft und Gesellschaft dar.  

Mit dem Cyber Resilience Act werden EU-weite Cybersicherheitsanforderungen für Konzeption, Entwicklung, Herstellung und Inverkehrbringen von Hardware- und Softwareprodukten eingeführt. Ziel ist die Erhöhung der Cyberresilienz und Schaffung eines EU-weit einheitlichen Rechtsrahmens für Cybersicherheitsanforderungen von Produkten mit digitalen Elementen. Die Produktpalette reicht dabei von Babymonitoren, intelligenten Uhren und Computerspielen bis hin zu Firewalls und Routern.

Die Verordnung gilt für Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Software- und Hardwareprodukte müssen künftig mit der CE-Kennzeichnung versehen sein, die darauf hinweist, dass sie den Anforderungen der Verordnung entsprechen. So soll es Verbrauchern und Unternehmen erleichtert werden, Hardware- und Softwareprodukte mit den entsprechenden Cybersicherheitsmerkmalen zu erkennen.

Die Verordnung tritt 20 Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft und wird 36 Monate nach ihrem Inkrafttreten vollumfänglich zur Anwendung kommen, wobei einige Bestimmungen zu einem früheren Zeitpunkt gelten.

Ziel

Die Verordnung soll

  • sicherstellen, dass Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden, weniger Schwachstellen aufweisen
  • sicherstellen, dass die Hersteller während des gesamten Lebenszyklus eines Produkts für die Cybersicherheit verantwortlich bleiben
  • die Transparenz in Bezug auf die Sicherheit von Hardware- und Softwareprodukten verbessern
  • besseren Schutz für gewerbliche Nutzer und Verbraucher gewährleisten

Der Cyber Resilience Act ergänzt die NIS2-Gesetzgebung, die Cybersicherheitsanforderungen einschließlich Sicherheitsmaßnahmen in der Lieferkette, und Pflichten zur Meldung von Sicherheitsvorfällen für wesentliche und wichtige Einrichtungen festgelegt, um die Resilienz der von ihnen erbrachten Dienste zu erhöhen.

Wer ist betroffen?

Der CRA gilt für alle Produkte mit digitalen Elementen, die in Europa auf den Markt gebracht werden. Betroffen sind Produkte mit digitalen Bestandteilen, die darauf ausgelegt sind, eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken herzustellen. Dies kann sowohl Software als auch Hardware umfassen, wobei es um die grundlegenden Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten geht.

Die Regelungen betreffen daher Unternehmen, die diese Produkte herstellen. Darüber hinaus gibt es Verpflichtungen für Händler und Einführer.

Gibt es Ausnahmen?

Es gibt keine größenabhängigen Ausnahmen. Der CRA ist grundsätzlich für alle Branchen relevant.

Einige Sektoren sind jedoch ausgeschlossen:

  • Produkte mit digitalen Elementen, die von öffentlichen Behörden bereitgestellt werden, oder für nationale Sicherheit oder Verteidigung
  • In-vitro-Diagnostika und andere medizinische Geräte mit bereits bestehenden Regelungen
  • Fahrzeuge, Flugsysteme und Bereiche für die bereits Regelungen mit gleichwertigen Anforderungen bestehen

Pflichten

Der CRA sieht in Abhängigkeit von der Klassifizierung der Produkte ab unterschiedliche Anforderungen bzw. Cybersecuritymaßnahmen vor.

Klassifizierung

  • nicht kritische Produkte mit digitalen Elementen (zum Beispiel Festplatten, PC-Spiele),
  • kritische Produkte mit digitalen Elementen Klasse I (zum Beispiel  Browser, Passwort-Manager) und Klasse II (zum Beispiel Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser),
  • hochkritische Produkte mit digitalen Elementen

Ein Großteil (circa 90 Prozent der Erzeugnisse) fällt in die Gruppe der nicht kritischen Produkte.

Hersteller und Vertreiber von kritischen Produkten müssen strengere Anforderungen erfüllen, beispielsweise bei der Konformitätsbewertung, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformität wird am Produkt mit dem "CE-Kennzeichen" dokumentiert.

Hersteller müssen Sicherheitslücken über den gesamten Produktlebenszyklus, maximal jedoch über fünf Jahre, schließen.

Nutzer müssen über behobene Schwachstellen und über Cybersicherheitsvorfälle informiert werden.

Hersteller müssen Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden der Europäischen Agentur für Cybersicherheit (ENISA) melden.