Cyber Resilience Act beschlossen

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung für die Sicherheit in Hard- und Softwareprodukten mit digitalen Elementen, die am 10.10.2024 im Rat der Europäischen Union verabschiedet wurde. Nach der Veröffentlichung im Amtsblatt der EU wird das Cyberresilienzgesetz mit einer Übergangsfrist von 36 Monaten vollständig in Kraft treten. Ab diesem Zeitpunkt drohen Händlern, Herstellern und Importeuren Millionenstrafen, die mit jenen der Datenschutzgrundverordnung (DSGVO) sowie der NIS2-Richtlinie vergleichbar sind. Angesichts langer Produktentwicklungszyklen sowie umfassenden Prozess-Anforderungen sollten betroffene Unternehmen bereits jetzt Maßnahmen ergreifen.

[Update 20.11.2024: Der CRA wurde am 20.11.2024 im Amtsblatt der EU veröffentlicht. Ab 11. Dezember 2027 müssen die Anforderungen erfüllt sein. Ab 11. September gelten bestimmte Meldepflichten.]

Der CRA definiert verbindliche Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus. Die betroffene Produktpalette reicht dabei von Babymonitoren, intelligenten Uhren und Computerspielen bis hin zu Firewalls und Routern. Zum ersten Mal sollen die Prinzipien „Security-by-Design“ und „Security-by-Default“ durch die EU gesetzlich festgeschrieben werden. Diese Vorgaben sind notwendig, da Schwachstellen in diesen Produkten eine wesentliche Bedrohung für die Sicherheit von Unternehmen und Konsumenten darstellen.

Ziele der Verordnung

Ziel des CRA ist, die Resilienz der digitalen Produkte auf dem europäischen Markt zu erhöhen. Die Verordnung soll

  • sicherstellen, dass Hard- und Softwareprodukte in der EU weniger Schwachstellen aufweisen
  • sicherstellen, dass die Hersteller während des gesamten Lebenszyklus eines Produkts für die Cybersicherheit verantwortlich bleiben
  • die Transparenz in Bezug auf die Sicherheit von Hardware- und Softwareprodukten verbessern
  • besseren Schutz für gewerbliche Nutzer und Verbraucher gewährleisten

Der CRA ergänzt die Cybersicherheitsanforderungen der NIS2-Richtlinie. Als EU-Verordnung gilt der CRA wie etwa auch die DSGVO direkt durch Beschluss des Europäischen Parlaments und des Rates in allen Mitgliedsstaaten. Eine nationale Umsetzung wie beim NIS2-Gesetz ist für die wesentlichen Teile des CRA nicht erforderlich. Mitgliedsstaaten können innerhalb bestimmten Rahmenbedingungen strengere Anforderungen – etwa im Bereich der nationalen Sicherheit – erlassen.

Wer ist betroffen?

Auch das Ausmaß der vom CRA betroffenen Unternehmen ist weniger mit NIS2 als mit der Datenschutzgrundverordnung (DSGVO) zu vergleichen. Gilt die NIS2-Richtlinie nur für definierte wesentliche und wichtige Einrichtungen ab einer gewissen Größe, sind vom CRA mit wenigen Ausnahmen alle Unternehmen betroffen, selbst wenn diese ihren Sitz nicht innerhalb der EU haben. Denn der CRA gilt für alle Produkte mit digitalen Elementen, die innerhalb der EU auf den Markt gebracht werden.

Betroffen sind Produkte mit digitalen Elementen bzw. Bestandteilen, die darauf ausgelegt sind, eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken herzustellen. Dies kann sowohl Software als auch Hardware umfassen.

Definition Produkt mit digitalen Elementen: Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen. (Quelle: European Cyber Resilience Act, Kapitel 1, Artikel 3 (1))

Betroffen sind sowohl Unternehmen, die diese Produkte herstellen, als auch Händler und Importeure. Es ist dabei nicht entscheidend, ob die Produkte gegen Bezahlung, monetarisiert oder unentgeltlich vermarket werden.

Ausnahmen

Der CRA ist grundsätzlich für alle Branchen relevant. Es gibt keine größenabhängigen Ausnahmen. Jedoch sind folgende Sektoren ausgeschlossen:

  • Produkte mit digitalen Elementen, die von öffentlichen Behörden bereitgestellt werden, oder für nationale Sicherheit oder Verteidigung eingesetzt werden
  • In-vitro-Diagnostika und andere medizinische Geräte mit bereits bestehenden Regelungen
  • Fahrzeuge, Flugsysteme und Bereiche für die bereits Regelungen mit gleichwertigen Anforderungen bestehen

Cloud-Dienste sind nur dann vom CRA ausgenommen, wenn sie keine „Datenfernverarbeitungslösungen“ für ein Produkt mit digitalen Elementen darstellen. Eine solche liegt bereits dann vor, wenn etwa eine mobile Anwendung den Zugang zu einer Schnittstelle (API) erfordert, die über einen vom Hersteller entwickelten Dienst bereitgestellt wird. In diesem Fall fällt der Software-as-a-Service (SaaS) Dienst als Datenfernverarbeitungslösung in den Anwendungsbereich des CRA.

Pflichten

Der CRA unterteilt die Cybersicherheitsanforderungen in zwei Bereiche. Einerseits werden Anforderungen an die Eigenschaften digitaler Produkte, andererseits Anforderungen an den Umgang mit Schwachstellen festgesetzt.

1. Sicherheitsanforderungen an die Eigenschaften digitaler Produkte:

Dazu gehört es, gemäß des Prinzips „Security-by-Design“ die Angriffsfläche im gesamten Entwicklungsprozess möglichst zu begrenzen und digitale Produkte ohne bekannte ausnutzbare Schwachstellen zu liefern. Mit Rücksichtnahme auf das Prinzip „Security-by-Default“ muss dafür Sorge getragen werden, dass die Produkte mit einer sicheren Standardkonfiguration bereitgestellt werden. Zudem wird der Einsatz von Kryptographie zum Schutz von Vertraulichkeit und Integrität vorgeschrieben. Darüber hinaus gilt das Prinzip der Datenminimierung, wodurch personenbezogene oder sonstige Daten nur so lange gespeichert werden dürfen, wie es für das Funktionieren des digitalen Produkts unbedingt erforderlich ist.

2. Anforderungen an den Umgang mit Schwachstellen:

Die Sicherheit des Produkts mit digitalen Elementen muss regelmäßig und wirksam getestet und überprüft werden. Zudem muss eine Strategie für die koordinierte Offenlegung von Schwachstellen verfasst und umgesetzt werden. Es müssen Softwareupdates für einen Zeitraum von mindestens fünf Jahren ab Markteinführung bereitgestellt werden, sofern das Produkt aufgrund seiner spezifischen Natur keine kürzere Lebensdauer aufweist.

3. Einzuhaltende Meldeverpflichtungen:

Nutzer müssen über behobene Schwachstellen und über Cybersicherheitsvorfälle informiert werden. Zusätzlich müssen schwerwiegende Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden an die Europäischen Agentur für Cybersicherheit (ENISA) gemeldet werden. Zu diesem Zweck wird die ENISA eine zentrale Meldeplattform zur Verfügung stellen.

4. Transparenz bzgl. der eingesetzten Softwarekomponenten:

Um Schwachstellen in Komponenten der Produkte mit digitalen Elementen ermitteln zu können, müssen alle Komponenten dokumentiert werden, u.a. durch Erstellung einer Software-Stückliste in einem gängigen maschinenlesbaren Format (SBOM).

Klassifizierung

Die Klassifizierung der Produkte erfolgt anhand der folgenden drei Klassen:

  • „normale“ Produkte mit digitalen Elementen:Diese „Standardkategorie“ umfasst einen Großteil der IT-Produkte mit grundlegender Sicherheitsrelevanz, wie beispielsweise alltägliche Verbraucherelektronik, Fotoverarbeitungsprodukte, intelligentes Spielzeug, Fernsehgeräte oder Kühlschränke.
  • wichtige Produkte mit digitalen Elementen:
    • Klasse 1: z.B. Identitätsmanagement- und Zugangskontrollsysteme, biometrische Lesegeräte; eigenständige und eingebettete Browser; Passwort-Manager; Software für die Suche, Entfernung und Quarantäne von Schadsoftware; Produkte mit digitalen Elementen mit der Funktion eines virtuellen privaten Netzes
    • Klasse 2: z.B. Hypervisoren und Container-Runtime-System; Firewalls
  • kritische Produkte mit digitalen Elementen: Diese Klasse beinhaltet bspw. Hardwaregeräte mit Sicherheitsboxen; Smart-Meter-Gateways; Geräten für sichere Kryptoverarbeitung; Chipkarten oder ähnliche Geräte. Eine externe Prüfung der Sicherheitsstandards ist zwingend erforderlich.

Konformitätsbewertung

Alle am europäischen Markt vertriebenen digitalen Produkte müssen eine Konformitätsbewertung vorweisen, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformität wird am Produkt mit dem „CE-Kennzeichen“ dokumentiert. Abhängig von der Klassifizierung der Produkte kann die Konformitätsbewertung im Rahmen

  • eines internen Kontrollverfahrens;
  • des EU-Baumusterprüfverfahrens;
  • auf der Grundlage einer Prüfung der Qualitätssicherungsmaßnahmen durch Dritte;
  • durch das europäische Zertifizierungssystem für Cybersicherheit

erfolgen.

Ein Beispiel

Für die Steuerung einer Maschine werden von einem Maschinenbauunternehmen Computer-Chips verbaut. Der Hersteller dieser Computer-Chips muss gemäß dem CRA nachweisen, dass er bei Entwicklung und Produktion EU-weit harmonisierte Cybersicherheitsnormen eingehalten hat. Die Dokumentation muss dabei über eine Software-Stückliste erfolgen. Zudem muss dieser auch ihm bekannte Schwachstellen dokumentieren.

Vor Inverkehrbringung des Chips muss der Hersteller zudem ein Konformitätsbewertungsverfahren durchführen. Erst dann darf die CE-Kennzeichnung angebracht werden. Das Maschinenbauunternehmen muss auch für seinen Teil der Lieferkette das vorgegebene Konformitätsbewertungsverfahren umsetzen. Beide Unternehmen müssen auch nach Inverkehrbringen von Chip und Maschine Updates bereitstellen sowie Melde- und Informationspflichten erfüllen.

Zusammenspiel mit NIS2

Der CRA hilft von der NIS2-Richtlinie betroffenen Unternehmen dabei, die Anforderungen hinsichtlich der Sicherheit in der Lieferkette zu erfüllen. Es ist auch davon auszugehen, dass NIS2 wichtige und wesentliche Einrichtungen indirekt zur Kontrolle des Einsatzes von CRA-konformer Software und Hardware verpflichtet, da gemäß Artikel 21 Unternehmen bei ihren Risikomanagementmaßnahmen in der Lieferkette einschlägige europäische und internationale Normen berücksichtigen müssen.

Strafrahmen

Bei Verstößen gegen die Anforderungen des CRA drohen Geldbußen von bis zu 15 Millionen EUR oder – im Falle von großen Unternehmen – von bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Was sollten betroffenen Unternehmen bereits jetzt tun?

Da der CRA umfassende Verpflichtungen für die betroffenen Unternehmen festlegt, sollten sich diese bereits jetzt mit den regulatorischen Anforderungen an ihre Produkte und den Entwicklungsprozess auseinandersetzen. Weiters sollten diese Risiko-Assessments durchführen und die erforderliche Dokumentation für den Nachweis der Konformität erstellen.

Wenn Sie Unterstützung bei der Konzeptionierung, Umsetzung oder Prüfung der Anforderungen von CRA oder NIS2 in Ihrem Unternehmen benötigen, stehen wir Ihnen mit maßgeschneiderten Angeboten zur Verfügung und begleiten Sie Schritt für Schritt auf dem Weg zur Konformitätsbewertung.

Wir führen gerne ein unverbindliches Gespräch mit Ihnen!
Kontaktieren Sie uns unter office@certitude.consulting

Ausblick

Die Europäische Kommission wird in der Verordnung ermächtigt, in den Monaten nach Beschlussfassung des CRA sogenannte delegierte Rechtsakte zu erlassen, mit denen technische Details geklärt werden sollen. Manche technischen Begriffsdefinitionen werden allerdings entscheidend dafür sein, ob ein Produkt als kritisches oder wichtiges Produkt strengeren Regeln unterworfen ist. Es ist daher davon auszugehen, dass die delegierten Rechtsakte der Kommission die Rechtssicherheit erhöhen werden. Darüber hinaus wird die Kommission ermächtigt, weitere Kategorien von kritischen Produkten zu bestimmen, um diese strenger zu regulieren.

Autoren: Markus Hefler, Florian Schweitzer (Certitude Consulting)