Das Wichtigste in Kürze:
|
Durch den Cyber Resilience Act (CRA) soll die Cybersicherheit von Produkten mit digitalen Elementen in der Europäischen Union gestärkt werden.
Angesichts der zunehmenden Vernetzung von Geräten und der wachsenden Bedrohung durch Cyberangriffe setzt die wegweisende EU-Verordnung klare Standards, um die Sicherheit von Produkten mit digitalen Bestandteilen auf dem europäischen Binnenmarkt zu gewährleisten. Verbraucher*innen und Unternehmen sollen somit besser geschützt werden.
Hersteller, Importeure und Händler müssen laut der Verordnung sicherstellen, dass ihre Produkte von der Markteinführung bis zum Ende des Lebenszyklus frei von bekannten Schwachstellen sind und über robuste Sicherheitsmechanismen verfügen.
Was beinhaltet der Cyber Resilience Act im Detail und welche Pflichtmaßnahmen kommen auf Unternehmen zu? Mehr darüber erfahren Sie in diesem Blogartikel.
Inhaltsverzeichnis:
- EU Cyber Resilience Act: Zeitplan für die Umsetzung
- Was sind die Ziele des Cyber Resilience Act?
- Wer ist vom Cyber Resilience Act betroffen?
- Anforderungen und Maßnahmen des CRA
- Unterschied zur NIS-2-Richtlinie und zur Funkanlagen Richtlinie RED
- Wie wird die Einhaltung der CRA-Vorgaben überprüft?
- Welche Sanktionen drohen bei Verstößen gegen den CRA?
- Fazit: Sichere Produkte & verbesserte Cyber-Resilienz
Was ist der Cyber Resilience Act (CRA)?
Die am 10. Oktober 2024 verabschiedete EU-Verordnung Cyber Resilience Act (CRA) verfolgt das Ziel, die Cybersicherheit von Produkten und Softwarelösungen mit einer digitalen Komponente zu verbessern. Verbraucher*innen und Unternehmen sollen somit besser geschützt werden, wenn sie Produkte erwerben, die digitale Bestandteile enthalten.
Dabei kommen jegliche Produkte infrage, die Daten mit einem anderen Gerät oder Netzwerk austauschen. Hierzu zählt auch die zugehörige Datenfernverarbeitung, etwa durch den Einsatz eines Cloud-Backends.
Vom EU Cyber Resilience Act betroffen sind Unternehmen, die Produkte herstellen, importieren oder vertreiben, die in der EU verfügbar sind und irgendeine Art von Datenkommunikation beinhalten. Die Verordnung stellt somit eine ergänzende Regelung zusätzlich zur NIS-2-Richtlinie dar, die Unternehmen zu umfassenden Cybersecurity-Maßnahmen verpflichtet.
Durch den Cyber Resilience Act werden Mindestanforderungen an die Sicherheit der Produkte mit digitalen Elementen gestellt. Die Hersteller sind dazu angehalten, bestimmte Verfahren für die Produktentwicklung und Produktunterstützung einzuhalten.
Dazu gehört insbesondere die Implementierung von Sicherheitsmaßnahmen in den Entwicklungs- und Herstellungsprozessen von Produkten mit digitalen Elementen. Diese Maßnahmen betreffen sowohl den Schutz vor Cyberangriffen als auch die Fähigkeit, Sicherheitslücken zu beheben und Schwachstellen zu minimieren.
Das Gesetzgebungsverfahren zum Cyber Resilience Act wird aktuell finalisiert. Am 12. März 2024 hat das Europäische Parlament den CRA verabschiedet.
EU Cyber Resilience Act: Zeitplan für die Umsetzung
Der CRA wurde bereits im September 2022 entworfen. Der Zeitplan für die Umsetzung der Anforderungen des Cyber Resilience Act (CRA) durch Unternehmen sieht eine schrittweise Anpassung vor.
Die Compliance-Anforderungen werden in zwei Schritten eingeführt:
- Die geforderten Meldepflichten müssen 21 Monate nach der endgültigen Verabschiedung des Gesetzes erfüllt sein – somit Anfang 2026
- Hersteller, Importeure und Händler müssen 36 Monate nach der endgültigen Verabschiedung des Gesetzes alle Vorgaben erfüllen – somit Mitte 2027
Nach der formellen Annahme des Gesetzes durch das Europäische Parlament und den Rat der Europäischen Union tritt der Cyber Resilience Act 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Während der etwa zweijährigen Übergangsphase müssen Unternehmen sicherstellen, dass sie die notwendigen Dokumentationen und Compliance-Verfahren etablieren, um die Konformität mit den Vorschriften nachweisen zu können.
Ab Ende dieser Übergangsfrist – also voraussichtlich ab 2026 – sind alle Unternehmen verpflichtet, die Anforderungen des CRA vollständig umzusetzen.
Bei Nichteinhaltung der Vorgaben drohen Sanktionen. Notwendige Änderungen sollten deshalb frühzeitig von Unternehmen umgesetzt werden.
Was sind die Ziele des Cyber Resilience Act?
Der Cyber Resilience Act soll die Einhaltung und die Sicherheit digitaler Produkte in der gesamten EU gewährleisten.
Durch die Fokussierung auf die Sicherheit von Produkten ergänzt er die NIS-2-Richtlinie und schafft somit einen umfassenderen Schutz vor Cyber-Risiken.
Dabei verfolgt der CRA mehrere Ziele:
- Erhöhung der Cybersicherheit: Die verbindlichen Sicherheitsanforderungen des CRA für Produkte mit digitalen Komponenten sollen dazu beitragen, die Cyber-Sicherheit zu erhöhen. Wichtig sind hierbei optimierte Schutzmaßnahmen über alle Produktzyklen hinweg.
- Verbesserter Schutz von Verbrauchern und Unternehmen: Verbraucher und Unternehmen sollen somit besser vor Cyberangriffen auf unsichere Produkte und deren Folgen geschützt werden.
- Stärkung des EU-Binnenmarktes: Der CRA soll einen einheitlichen Rechtsrahmen für die Cybersicherheit von Produkten schaffen. Somit soll der freie Warenverkehr innerhalb der EU erleichtert werden.
- Innovationsförderung: Die Entwicklung sicherer Produkte soll durch die klaren Regelungen gefördert werden.
Wer ist vom CRA betroffen?
Der Cyber Resilience Act richtet sich an eine Vielzahl von Unternehmen und Organisationen, die digitale Produkte entwickeln, importieren oder in der EU vertreiben.
Zwar sind bestimmte Ausnahmen vorgesehen, jedoch müssen im Wesentlichen alle Organisationen die Vorgaben des CRA einhalten, die Produkte mit digitalen Komponenten in den europäischen Markt einführen.
Wer ist direkt betroffen?
Die folgenden Akteure sind direkt vom CRA betroffen:
- Hersteller: Alle Unternehmen, die Produkte mit digitalen Elementen herstellen, sind vom CRA betroffen. Dies umfasst sowohl große Konzerne als auch kleine und mittelständische Unternehmen bzw. SMBs. Die Hersteller müssen gewährleisten, dass die Eigenschaften ihrer Hardware und Software einige Mindestsicherheitsanforderungen bei Konzeption, Entwicklung und Herstellung erfüllen – dazu zählen u.a. Schutz-Ziele oder Sicherheitsupdates.
- Importeure: Unternehmen, die Produkte mit digitalen Elementen aus Drittländern in die EU importieren, sind ebenfalls betroffen. Sie dürfen Hardware- und Softwareprodukte eines Herstellers mit Sitz außerhalb der Europäischen Union unter dessen Marke auf dem EU-Markt anbieten, sofern diese Produkte sowohl die grundlegenden Sicherheitsanforderungen als auch die Vorgaben zur Behandlung von Schwachstellen erfüllen.
- Händler: Künftig dürfen Händler auf dem europäischen Binnenmarkt ausschließlich Hardware- und Softwareprodukte vertreiben, die sowohl die grundlegenden Sicherheitsanforderungen als auch die Vorgaben zur Schwachstellenbehandlung erfüllen. Bevor ein Produkt auf dem EU-Markt bereitgestellt werden kann, müssen Händler sicherstellen, dass es korrekt mit einer CE-Kennzeichnung versehen ist.
Zudem muss eine gültige EU-Konformitätserklärung vorliegen. Ebenso ist darauf zu achten, dass alle erforderlichen Angaben des Herstellers oder Importeurs vorhanden sind, wie beispielsweise Name und Anschrift. Schließlich müssen auch detaillierte Nutzeranleitungen beigelegt werden, um eine sichere Anwendung des Produkts zu gewährleisten.
Welche Produkte sind betroffen?
Der Cyber Resilience Act gilt für zahlreiche Produkten, die eine digitale Komponente enthalten. Die Produkte müssen geltende Sicherheitsstandards erfüllen und die Hersteller müssen die erforderliche technische Dokumentation bereitstellen sowie die EU-Konformitätserklärung abgeben.
Bei den Produkten wird von der Europäischen Kommission nach Kritikalität unterschieden:
- Nicht kritische Produkte mit digitalen Elementen, z. B. Festplatten, PC-Spiele oder auch Bild- und Textverarbeitung. Hierunter fallen etwa 90% der Produkte.
- Für diese Produkte gelten allgemeine Sicherheitsanforderungen, die sich auf den Schutz vor Cyberbedrohungen und den Umgang mit Schwachstellen konzentrieren.
- Kritische Produkte mit digitalen Elementen
- Klasse I: z. B. Browser, Firewalls und Router, Passwortmanager
- Klasse II z. B. Betriebssysteme, Hardware-Sicherheitsmodule, Chipkarten
- Für diese Produkte sind strengere Sicherheitsanforderungen vorgesehen
- Unter die Kategorie "hochkritische Produkte mit digitalen Elementen" fallen zunächst noch keine Produkte.
- Nicht betroffen vom CRA sind:
- Hard- und Softwareprodukte, die unter sektorale Vorschriften für Medizinprodukte (Verordnungen (EU) 2017/745 und (EU) 2017/745), Typgenehmigungen von Kraftfahrzeugen (Verordnung (EU) 2019/2144) sowie Produkte aus der Zivilluftfahrt und Flugsicherheit (Verordnung (EU) 2018/1139) fallen
- Cloud-Dienste, die als Software-as-a-Service-Anwendungen ohne lokale Komponenten genutzt werden
- Produkte, die für Zwecke der nationalen Sicherheit, für militärische Zwecke oder speziell für die Verarbeitung von Verschlusssachen konzipiert wurden
Für die unterschiedlichen Produktklassen sind Konformitätsbewertungen vorgesehen, die auf Basis harmonisierter EU-Standards erfolgen. Sie dienen der Überprüfung, ob ein Produkt die festgelegten Sicherheitsanforderungen erfüllt, bevor es auf den EU-Markt gebracht werden darf. Die Konformität wird mit dem "CE-Kennzeichen" auf dem Produkt dokumentiert.
Dies betrifft sowohl die Produkteigenschaften als auch die Herstellerprozesse gemäß eines in der Verordnung festgelegten Verfahrens.
Die Konformitätsbewertung wird wiederum in vier Modulen spezifiziert:
- Modul A: Internes Kontrollverfahren
- Modul B & Modul C: EU-Baumusterprüfverfahren und anschließende Konformität mit dem EU-Baumuster auf der Grundlage der internen Fertigungskontrolle
- Modul H: Konformitätsbewertung auf Grundlage einer umfassenden Qualitätssicherung
Anforderungen und Maßnahmen des CRA
Um den Anforderungen des Cyber Resilience Act gerecht zu werden, müssen Unternehmen eine Reihe von Maßnahmen ergreifen und somit gewährleisten, dass ihre Produkte mit digitalen Elementen den vorgeschriebenen Cybersicherheitsstandards entsprechen.
Tipps:
|
Welche Anforderungen und Pflichtmaßnahmen kommen also auf Unternehmen zu?
Der CRA beinhaltet die folgenden Kernanforderungen hinsichtlich der Produkte mit digitalen Komponenten:
- Risikobewertung: Hersteller müssen ein umfassendes Risk Assessment durchführen, um potentielle Sicherheitslücken und Schwachstellen in ihren Produkten zu identifizieren.
- Sicheres Design: Produkte müssen von Anfang an standardmäßig sicher konfiguriert sein. Dazu gehören Maßnahmen wie die Verwendung sicherer Komponenten, die Vermeidung bekannter ausnutzbarer Schwachstellen, der Einsatz von Sicherheitsmechanismen wie Verschlüsselung sowie die Minimierung von Angriffsflächen. Auch die Auswirkungen von Sicherheitsvorfällen sollten auf ein Minimum reduziert werden. Es ist unabdingbar, die Vertraulichkeit und Integrität von gespeicherten, bearbeiteten und übertragenen Daten zu gewährleisten.
- Sicherheitsupdates und Schwachstellenmanagement: Hersteller müssen während des gesamten Produktlebenszyklus regelmäßig Security Updates bereitstellen, um bekannte Schwachstellen zu schließen – möglichst ohne Verzögerung. Es sollte eine zentrale Anlaufstelle für User geben, die eine schnelle Kommunikation und die Meldung von Schwachstellen ermöglicht. Eine Kontaktadresse für die Meldung von Schwachstellen sowie entsprechende Verfahren (Coordinated Vulnerability Disclosure, CVD) müssen öffentlich zugänglich sein. Nach der Behebung von Schwachstellen sollten alle betroffenen Produkte zeitnah die erforderlichen Patches erhalten.
Wird eine Schwachstelle in Drittkomponenten entdeckt, muss der betroffene Komponentenanbieter informiert und über Maßnahmen zur Schadensbegrenzung in Kenntnis gesetzt werden. Um Produktkomponenten und Schwachstellen nachzuverfolgen, sollen Hersteller eine Software-Stückliste (SBOM = Software Bill Of Material) anlegen. - Transparenz: Hersteller müssen Verbraucher*innen und anderen Interessengruppen klare Informationen über die Sicherheit ihrer Produkte zur Verfügung stellen. Dazu gehören Technische Dokumentation, Informationen über Sicherheitsupdates, Kontaktdaten für Support und Meldung von Sicherheitsvorfällen.
- Nachweisbarkeit: Hersteller müssen die Einhaltung der CRA-Anforderungen nachweisen können. Dies kann durch entsprechende Dokumentationen, Zertifizierungen oder Audits geschehen.
- Dokumentation: Unternehmen sind verpflichtet, umfassende technische und nutzerorientierte Dokumentationen zu erstellen, die detaillierte Sicherheitsinformationen sowie Anweisungen zur sicheren Nutzung und Aktualisierung der Produkte enthalten.
- Meldepflichten: Hersteller sind verpflichtet, sicherheitsrelevante Vorfälle über eine zentrale EU-Meldeplattform zu berichten und strenge Fristen einzuhalten. Nach Bekanntwerden einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls, der die Produktsicherheit oder die Sicherheit der Nutzenden beeinträchtigen könnte, muss innerhalb von 24 Stunden eine Vorabmeldung an die EU erfolgen. Eine detaillierte Beschreibung des Vorfalls und der ergriffenen Maßnahmen muss innerhalb von 72 Stunden nachgereicht werden.
Falls Schwachstellen ausgenutzt wurden, muss spätestens 14 Tage nach Bereitstellung einer Schadensbegrenzungsmaßnahme ein Abschlussbericht folgen. Bei schwerwiegenden Vorfällen ist dieser Bericht innerhalb eines Monats einzureichen. Zudem müssen Nutzende zeitnah und klar über die Vorfälle sowie die erforderlichen Sicherheitsmaßnahmen informiert werden, die sie selbst ergreifen können.
Wichtig: Die Produkte müssen die Einhaltung der Vorgaben während des gesamten Support-Zeitraums erfüllen, d. h. nicht nur zum Zeitpunkt der Markteinführung.
Warum ist der CRA so umfassend?
Die breite Anwendung des CRA ist darauf zurückzuführen, dass die Digitalisierung nahezu alle Bereiche unseres Lebens durchdringt. Produkte mit digitalen Elementen sind allgegenwärtig und bieten Angriffsflächen für Cyberkriminelle. Der CRA soll sicherstellen, dass diese Produkte sicher gestaltet werden und somit das Risiko von Cyberangriffen minimiert wird.
Der Cyber Resilience Act betrifft eine Vielzahl von Unternehmen und Organisationen, die Produkte mit digitalen Elementen herstellen, importieren oder vertreiben. Es gibt zwar einige Ausnahmen, aber im Großen und Ganzen gilt: Wer Produkte mit digitalen Elementen auf den EU-Markt bringt, muss die Anforderungen des CRA erfüllen.
Unterschied zur NIS-2-Richtlinie und zur Funkanlagen Richtlinie RED
Während sich die NIS-2-Richtlinie in erster Linie auf den Betrieb betroffener Unternehmen bezieht, zielt die CRA direkt auf die Produkte selbst ab.
- Die NIS-2-Richtlinie konzentriert sich auf Organisationen, die bestimmte kritische Dienste anbieten, und deren Fähigkeit, diese Dienste kontinuierlich bereitzustellen.
- Der Cyber Resilience Act konzentriert sich auf die Sicherheit der Produkte selbst, unabhängig von der Umgebung, in der sie eingesetzt werden.
- NIS-2 betrifft Unternehmen wie beispielsweise Energieversorger, Finanzinstitute oder Transportunternehmen.
- Der Cyber Resilience Act betrifft Hersteller und Anbieter von Produkten mit digitalen Elementen wie Smartphones, IoT-Geräte, industrielle Steuerungen oder Software.
Der Cyber Resilience Act und die Funkanlagenrichtlinie (RED) unterscheiden sich in ihrem Fokus und in ihrem Anwendungsbereich – obwohl beide Vorschriften zur Verbesserung der Sicherheit digitaler Produkte in der EU beitragen.
- Die Richtlinie für Funkanlagen (Radio Equipment Directive: RED) fungiert als rechtlicher Rahmen für die Einführung von Funkanlagen auf dem Binnenmarkt der EU. Im Jahr 2022 wurde eine Ergänzung zur Funkanlagen-Richtlinie publiziert – diese beinhaltet Sicherheitsanforderungen für mit dem Internet verbundene Funkanlagen sowie datenverarbeitende Funkanlagen.
- Dabei geht es um den Schutz personenbezogener Daten sowie den Schutz der Privatsphäre der Nutzenden. Außerdem sollen Nutzende vor Betrug und Netze vor Störungen besser geschützt werden. Die Neuerungen werden ab August 2025 wirksam.
- Der CRA ist daher umfassender und betrifft im Gegensatz zur RED sämtliche Produkte mit digitalen Komponenten, nicht nur Funkgeräte. Möglicherweise werden die Sicherheitsanforderungen des CRA jene des RED irgendwann ersetzen.
Wie wird die Einhaltung der CRA-Vorgaben überprüft?
Mit dem Cyber Resilience Act werden umfassende Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen gestellt. Die Überprüfung der Konformität mit dem CRA erfolgt durch eine Kombination aus Selbsterklärung, Konformitätsbewertungsverfahren und Marktüberwachung.
Folgende Prüfmechanismen sind vorgesehen, um die Erfüllung der Anforderungen zu gewährleisten:- Selbsterklärung: Hersteller können in einer Selbsterklärung bestätigen, dass ihre Produkte die Anforderungen des CRA erfüllen. Die Erklärung muss jedoch durch entsprechende Dokumentationen und Nachweise belegt werden.
- Konformitätsbewertungsverfahren:
- Typprüfung: Eine unabhängige Zertifizierungsstelle prüft ein repräsentatives Muster des Produktes auf Übereinstimmung mit den Anforderungen.
- Produktionsüberwachung: Die kontinuierliche Übereinstimmung der Produktion mit dem geprüften Baumuster wird überwacht.
- CE-Kennzeichnung: Nach erfolgreichem Abschluss der Konformitätsbewertung darf das Produkt mit der CE-Kennzeichnung versehen werden, die die Konformität mit den einschlägigen EU-Richtlinien bescheinigt.
- Marktüberwachung: Für die Marktüberwachung sind die Marktüberwachungsbehörden der Mitgliedstaaten zuständig. Sie können stichprobenartig Produkte kontrollieren und bei Verstößen gegen das CRA Maßnahmen ergreifen.
- Erforderliche Zertifizierungen: Der CRA sieht keine spezifischen neuen Zertifizierungen vor. Vielmehr wird die Konformität mit den Anforderungen des CRA im Rahmen der bestehenden Zertifizierungsverfahren überprüft.
- CE-Kennzeichnung: Die CE-Kennzeichnung ist ein wichtiger Nachweis der Konformität mit den einschlägigen EU-Richtlinien, einschließlich des CRA.
- Spezifische Zertifizierungen: Für bestimmte Produktkategorien können zusätzliche Zertifizierungen erforderlich sein, etwa für Medizinprodukte oder Produkte im Bereich kritischer Infrastrukturen.
Die CE-Kennzeichnung ist somit weiterhin ein wichtiger Nachweis der Konformität, es können aber je nach Produkt auch zusätzliche Zertifizierungen erforderlich sein. Die Zertifizierungsstellen selbst unterliegen einer strengen Überwachung, um die Qualität der Konformitätsbewertungen sicherzustellen.
Welche Sanktionen drohen bei Verstößen gegen den CRA?
Verstöße gegen den Cyber Resilience Act können erhebliche Konsequenzen für Unternehmen haben. Die genauen Sanktionen können je nach Mitgliedstaat und Schwere des Verstoßes variieren, grundsätzlich sind jedoch folgende Maßnahmen denkbar:
Bußgelder- Höhe: Bei Nichteinhalten der grundlegenden Anforderungen werden Geldstrafen von bis zu 15 000 000 EUR oder von bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt – je nachdem, welcher Betrag höher ist.
- Kriterien: Die Höhe des Bußgeldes richtet sich in der Regel nach der Schwere des Verstoßes, der Dauer des Verstoßes, dem Umsatz des Unternehmens und anderen relevanten Faktoren.
- Aussetzung der Marktzulassung: Produkte, die nicht den Anforderungen des CRA entsprechen, können von der Marktzulassung ausgeschlossen werden.
- Rückruf von Produkten: Bei schwerwiegenden Sicherheitsmängeln kann der Rückruf von Produkten angeordnet werden.
- Schadensersatz: Unternehmen können zur Zahlung von Schadensersatz an Verbraucher oder andere Unternehmen verpflichtet werden, wenn durch einen Verstoß gegen den CRA ein Schaden entstanden ist.
- Strafverfahren: In schweren Fällen können Strafverfahren gegen die Verantwortlichen eingeleitet werden.
- Reputationsschäden: Verstöße gegen den CRA können zu erheblichen Reputationsschäden führen, die sich wiederum negativ auf das Geschäftsmodell und die Kundenbeziehungen auswirken können.
Die Durchsetzung des CRA erfolgt in erster Linie durch die Marktüberwachungsbehörden der Mitgliedstaaten. Diese sind für die Marktüberwachung zuständig und können bei Verstößen gegen den CRA Ermittlungen einleiten und Sanktionen verhängen.
Fazit: Sichere Produkte & verbesserte Cyber-Resilienz
Der Cyber Resilience Act stellt als wichtige EU-Verordnung einen bedeutenden Schritt zur Stärkung der Cybersicherheit und zur Erhöhung der Cyber-Resilienz in der EU dar. Der CRA umfasst klare und verbindliche Sicherheitsanforderungen für alle Produkte mit digitalen Elementen.
Der CRA fördert somit das Vertrauen in digitale Technologien – und soll den Schutz der Verbraucher erhöhen. Für Unternehmen bedeutet der CRA eine neue Verpflichtung zu einer kontinuierlichen Überwachung und Verbesserung der Produktsicherheit.
Die Bemühungen um eine Erhöhung der Cyber-Resilienz werden damit nicht enden. Vielmehr handelt es sich um einen langfristigen Prozess, der durch stetiges Prüfen und Anpassen lebt.
Denn eines ist klar: Keine Maßnahme kann zu 100% schützen und kein Produkt kann 100% Sicherheit bieten. Dafür ist die Entwicklung der Cyberkriminalität mittlerweile zu schnell und die Komplexität der Angriffe zu hoch. Umso wichtiger ist es, die Cyber-Resilienz kontinuierlich auf den Prüfstand zu stellen.