Der Cyber Resilience Act (CRA) ist eine EU-Verordnung f\u00fcr die Sicherheit in Hard- und Softwareprodukten mit digitalen Elementen, die am 10.10.2024 im Rat der Europ\u00e4ischen Union verabschiedet wurde. Nach der Ver\u00f6ffentlichung im Amtsblatt der EU wird das Cyberresilienzgesetz mit einer \u00dcbergangsfrist von 36 Monaten vollst\u00e4ndig in Kraft treten. Ab diesem Zeitpunkt drohen H\u00e4ndlern, Herstellern und Importeuren Millionenstrafen, die mit jenen der Datenschutzgrundverordnung (DSGVO) sowie der NIS2-Richtlinie vergleichbar sind. Angesichts langer Produktentwicklungszyklen sowie umfassenden Prozess-Anforderungen sollten betroffene Unternehmen bereits jetzt Ma\u00dfnahmen ergreifen.<\/p>\n\n\n\n
[Update 20.11.2024: Der CRA wurde am 20.11.2024 im Amtsblatt der EU ver\u00f6ffentlicht. Ab 11. Dezember 2027 m\u00fcssen die Anforderungen erf\u00fcllt sein. Ab 11. September 2026 gelten bestimmte Meldepflichten.]<\/p>\n\n\n\n
Der CRA definiert verbindliche Cybersicherheitsanforderungen \u00fcber den gesamten Produktlebenszyklus. Die betroffene Produktpalette reicht dabei von Babymonitoren, intelligenten Uhren und Computerspielen bis hin zu Firewalls und Routern. Zum ersten Mal sollen die Prinzipien \u201eSecurity-by-Design\u201c und \u201eSecurity-by-Default\u201c durch die EU gesetzlich festgeschrieben werden. Diese Vorgaben sind notwendig, da Schwachstellen in diesen Produkten eine wesentliche Bedrohung f\u00fcr die Sicherheit von Unternehmen und Konsumenten darstellen.<\/p>\n\n\n\n
Ziel des CRA ist, die Resilienz der digitalen Produkte auf dem europ\u00e4ischen Markt zu erh\u00f6hen. Die Verordnung soll<\/p>\n\n\n\n
Der CRA erg\u00e4nzt die Cybersicherheitsanforderungen der NIS2-Richtlinie. Als EU-Verordnung gilt der CRA wie etwa auch die DSGVO direkt durch Beschluss des Europ\u00e4ischen Parlaments und des Rates in allen Mitgliedsstaaten. Eine nationale Umsetzung wie beim NIS2-Gesetz ist f\u00fcr die wesentlichen Teile des CRA nicht erforderlich. Mitgliedsstaaten k\u00f6nnen innerhalb bestimmten Rahmenbedingungen strengere Anforderungen \u2013 etwa im Bereich der nationalen Sicherheit \u2013 erlassen.<\/p>\n\n\n\n
Auch das Ausma\u00df der vom CRA betroffenen Unternehmen ist weniger mit NIS2 als mit der Datenschutzgrundverordnung (DSGVO) zu vergleichen. Gilt die NIS2-Richtlinie nur f\u00fcr definierte wesentliche und wichtige Einrichtungen ab einer gewissen Gr\u00f6\u00dfe, sind vom CRA mit wenigen Ausnahmen alle Unternehmen betroffen, selbst wenn diese ihren Sitz nicht innerhalb der EU haben. Denn der CRA gilt f\u00fcr alle Produkte mit digitalen Elementen, die innerhalb der EU auf den Markt gebracht werden.<\/p>\n\n\n\n
Betroffen sind Produkte mit digitalen Elementen bzw. Bestandteilen, die darauf ausgelegt sind, eine direkte oder indirekte Datenverbindung mit anderen Ger\u00e4ten oder Netzwerken herzustellen. Dies kann sowohl Software als auch Hardware umfassen.<\/p>\n\n\n\n
Definition Produkt mit digitalen Elementen: Software- oder Hardwareprodukt und dessen Datenfernverarbeitungsl\u00f6sungen, einschlie\u00dflich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen. (Quelle: European Cyber Resilience Act, Kapitel 1, Artikel 3 (1))<\/strong><\/p>\n\n\n\n Betroffen sind sowohl Unternehmen, die diese Produkte herstellen, als auch H\u00e4ndler und Importeure. Es ist dabei nicht entscheidend, ob die Produkte gegen Bezahlung, monetarisiert oder unentgeltlich vermarket werden.<\/p>\n\n\n\n Der CRA ist grunds\u00e4tzlich f\u00fcr alle Branchen relevant. Es gibt keine gr\u00f6\u00dfenabh\u00e4ngigen Ausnahmen. Jedoch sind folgende Sektoren ausgeschlossen:<\/p>\n\n\n\n Cloud-Dienste sind nur dann vom CRA ausgenommen, wenn sie keine \u201eDatenfernverarbeitungsl\u00f6sungen\u201c f\u00fcr ein Produkt mit digitalen Elementen darstellen. Eine solche liegt bereits dann vor, wenn etwa eine mobile Anwendung den Zugang zu einer Schnittstelle (API) erfordert, die \u00fcber einen vom Hersteller entwickelten Dienst bereitgestellt wird. In diesem Fall f\u00e4llt der Software-as-a-Service (SaaS) Dienst als Datenfernverarbeitungsl\u00f6sung in den Anwendungsbereich des CRA.<\/p>\n\n\n\n Der CRA unterteilt die Cybersicherheitsanforderungen in zwei Bereiche. Einerseits werden Anforderungen an die Eigenschaften digitaler Produkte, andererseits Anforderungen an den Umgang mit Schwachstellen festgesetzt.<\/p>\n\n\n\n 1. Sicherheitsanforderungen an die Eigenschaften digitaler Produkte<\/strong>:<\/p>\n\n\n\n Dazu geh\u00f6rt es, gem\u00e4\u00df des Prinzips \u201eSecurity-by-Design\u201c die Angriffsfl\u00e4che im gesamten Entwicklungsprozess m\u00f6glichst zu begrenzen und digitale Produkte ohne bekannte ausnutzbare Schwachstellen zu liefern. Mit R\u00fccksichtnahme auf das Prinzip \u201eSecurity-by-Default\u201c muss daf\u00fcr Sorge getragen werden, dass die Produkte mit einer sicheren Standardkonfiguration bereitgestellt werden. Zudem wird der Einsatz von Kryptographie zum Schutz von Vertraulichkeit und Integrit\u00e4t vorgeschrieben. Dar\u00fcber hinaus gilt das Prinzip der Datenminimierung, wodurch personenbezogene oder sonstige Daten nur so lange gespeichert werden d\u00fcrfen, wie es f\u00fcr das Funktionieren des digitalen Produkts unbedingt erforderlich ist.<\/p>\n\n\n\n 2. Anforderungen an den Umgang mit Schwachstellen<\/strong>:<\/p>\n\n\n\n Die Sicherheit des Produkts mit digitalen Elementen muss regelm\u00e4\u00dfig und wirksam getestet und \u00fcberpr\u00fcft werden. Zudem muss eine Strategie f\u00fcr die koordinierte Offenlegung von Schwachstellen verfasst und umgesetzt werden. Es m\u00fcssen Softwareupdates f\u00fcr einen Zeitraum von mindestens f\u00fcnf Jahren ab Markteinf\u00fchrung bereitgestellt werden, sofern das Produkt aufgrund seiner spezifischen Natur keine k\u00fcrzere Lebensdauer aufweist.<\/p>\n\n\n\n 3. Einzuhaltende Meldeverpflichtungen:<\/strong><\/p>\n\n\n\n Nutzer m\u00fcssen \u00fcber behobene Schwachstellen und \u00fcber Cybersicherheitsvorf\u00e4lle informiert werden. Zus\u00e4tzlich m\u00fcssen schwerwiegende Cybersicherheitsvorf\u00e4lle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden an die Europ\u00e4ischen Agentur f\u00fcr Cybersicherheit (ENISA) gemeldet werden. Zu diesem Zweck wird die ENISA eine zentrale Meldeplattform zur Verf\u00fcgung stellen.<\/p>\n\n\n\n 4. Transparenz <\/strong>bzgl. der eingesetzten Softwarekomponenten:<\/p>\n\n\n\n Um Schwachstellen in Komponenten der Produkte mit digitalen Elementen ermitteln zu k\u00f6nnen, m\u00fcssen alle Komponenten dokumentiert werden, u.a. durch Erstellung einer Software-St\u00fcckliste in einem g\u00e4ngigen maschinenlesbaren Format (SBOM).<\/p>\n\n\n\n Die Klassifizierung der Produkte erfolgt anhand der folgenden drei Klassen:<\/p>\n\n\n\n Alle am europ\u00e4ischen Markt vertriebenen digitalen Produkte m\u00fcssen eine Konformit\u00e4tsbewertung vorweisen, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformit\u00e4t wird am Produkt mit dem “CE-Kennzeichen” dokumentiert. Abh\u00e4ngig von der Klassifizierung der Produkte kann die Konformit\u00e4tsbewertung im Rahmen<\/p>\n\n\n\n erfolgen.<\/p>\n\n\n\n F\u00fcr die Steuerung einer Maschine werden von einem Maschinenbauunternehmen Computer-Chips verbaut. Der Hersteller dieser Computer-Chips muss gem\u00e4\u00df dem CRA nachweisen, dass er bei Entwicklung und Produktion EU-weit harmonisierte Cybersicherheitsnormen eingehalten hat. Die Dokumentation muss dabei \u00fcber eine Software-St\u00fcckliste erfolgen. Zudem muss dieser auch ihm bekannte Schwachstellen dokumentieren.<\/p>\n\n\n\n Vor Inverkehrbringung des Chips muss der Hersteller zudem ein Konformit\u00e4tsbewertungsverfahren durchf\u00fchren. Erst dann darf die CE-Kennzeichnung angebracht werden. Das Maschinenbauunternehmen muss auch f\u00fcr seinen Teil der Lieferkette das vorgegebene Konformit\u00e4tsbewertungsverfahren umsetzen. Beide Unternehmen m\u00fcssen auch nach Inverkehrbringen von Chip und Maschine Updates bereitstellen sowie Melde- und Informationspflichten erf\u00fcllen.<\/p>\n\n\n\n Der CRA hilft von der NIS2-Richtlinie betroffenen Unternehmen dabei, die Anforderungen hinsichtlich der Sicherheit in der Lieferkette zu erf\u00fcllen. Es ist auch davon auszugehen, dass NIS2 wichtige und wesentliche Einrichtungen indirekt zur Kontrolle des Einsatzes von CRA-konformer Software und Hardware verpflichtet, da gem\u00e4\u00df Artikel 21 Unternehmen bei ihren Risikomanagementma\u00dfnahmen in der Lieferkette einschl\u00e4gige europ\u00e4ische und internationale Normen ber\u00fccksichtigen m\u00fcssen.<\/p>\n\n\n\n Bei Verst\u00f6\u00dfen gegen die Anforderungen des CRA drohen Geldbu\u00dfen von bis zu 15 Millionen EUR oder \u2013 im Falle von gro\u00dfen Unternehmen \u2013 von bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Gesch\u00e4ftsjahres, je nachdem, welcher Betrag h\u00f6her ist.<\/p>\n\n\n\n Da der CRA umfassende Verpflichtungen f\u00fcr die betroffenen Unternehmen festlegt, sollten sich diese bereits jetzt mit den regulatorischen Anforderungen an ihre Produkte und den Entwicklungsprozess auseinandersetzen. Weiters sollten diese Risiko-Assessments durchf\u00fchren und die erforderliche Dokumentation f\u00fcr den Nachweis der Konformit\u00e4t erstellen.<\/p>\n\n\n\n Wenn Sie Unterst\u00fctzung bei der Konzeptionierung, Umsetzung oder Pr\u00fcfung der Anforderungen von CRA oder NIS2 in Ihrem Unternehmen ben\u00f6tigen, stehen wir Ihnen mit ma\u00dfgeschneiderten Angeboten zur Verf\u00fcgung und begleiten Sie Schritt f\u00fcr Schritt auf dem Weg zur Konformit\u00e4tsbewertung.<\/p>\n\n\n\n Wir f\u00fchren gerne ein unverbindliches Gespr\u00e4ch mit Ihnen! Die Europ\u00e4ische Kommission wird in der Verordnung erm\u00e4chtigt, in den Monaten nach Beschlussfassung des CRA sogenannte delegierte Rechtsakte zu erlassen, mit denen technische Details gekl\u00e4rt werden sollen. Manche technischen Begriffsdefinitionen werden allerdings entscheidend daf\u00fcr sein, ob ein Produkt als kritisches oder wichtiges Produkt strengeren Regeln unterworfen ist. Es ist daher davon auszugehen, dass die delegierten Rechtsakte der Kommission die Rechtssicherheit erh\u00f6hen werden. Dar\u00fcber hinaus wird die Kommission erm\u00e4chtigt, weitere Kategorien von kritischen Produkten zu bestimmen, um diese strenger zu regulieren.<\/p>\n\n\n\nAusnahmen<\/h2>\n\n\n\n
\n
Pflichten<\/h2>\n\n\n\n
Klassifizierung<\/h2>\n\n\n\n
\n
\n
Konformit\u00e4tsbewertung<\/h2>\n\n\n\n
\n
Ein Beispiel<\/h2>\n\n\n\n
Zusammenspiel mit NIS2<\/h2>\n\n\n\n
Strafrahmen<\/h2>\n\n\n\n
Was sollten betroffenen Unternehmen bereits jetzt tun?<\/h2>\n\n\n\n
Kontaktieren Sie uns unter office@certitude.consulting<\/a><\/p>\n\n\n\nAusblick<\/h2>\n\n\n\n