Die IT Sicherheitsoffensive der EU hat einen neuen Baustein bekommen: Am 10.12.2024, ist der EU Cyber Resilience Act („CRA“) in Kraft getreten. Die EU Verordnung enthält strenge Vorgaben für die Cybersicherheit von vernetzten Produkten und Software, die bis zum 11. Dezember 2027 anwendbar werden. Sie bringen für Unternehmen Herausforderungen mit sich, die schon jetzt in der Design- und Entwicklungsphase von Produkten berücksichtigt werden müssen. Die Übergangsfrist sollten Unternehmen daher nutzen, um sich auf den CRA vorzubereiten und empfindliche aufsichtsbehördliche Maßnahmen (wie schlimmstenfalls die Anordnung des Rückrufes von Produkten) zu vermeiden.
Hintergrund und Anwendungsbereich
Der Cyber Resilience Act (CRA) ist Teil der EU-Initiative "Digital Decade" zur Förderung der digitalen Transformation. Neben DORA und NIS2 stellt der CRA eine dritte große Säule im Bereich Cybersicherheit dar. Während DORA und NIS2 auf die Stärkung der Cyber-Resilienz der unternehmensinternen IT-Infrastruktur abzielen, stellt der CRA Anforderungen an die Cybersicherheit von Produkten.
Von den Vorgaben des CRA erfasst sind alle sog. „Produkte mit digitalen Elementen“, die eine Datenverbindung zu einem anderen Gerät oder einem Netzwerk einschließen. Damit ist der Anwendungsbereich denkbar weit gefasst. Darunter fallen zum Beispiel vernetzte Maschinen, Smart-Home-Produkte, alle Produkte, die mit einem Sensor ausgestattet sind, der seine Messdaten z.B. in einer Plattform aufbereitet anbietet, aber auch Stand-Alone-Software wie Computerspiele oder mobile Apps. Open-Source-Software ist vom CRA ausgenommen, solange sie nicht-kommerziell genutzt wird. Ausgenommen ist auch Software, die als reiner Software-as-a-Service-Dienst bereitgestellt wird, allerdings eben nicht die angesprochenen Sensorprodukte (selbst wenn die Datenplattform unter die Ausnahme der SaaS Dienste fällt).
Persönlich betroffen sind vom CRA die Hersteller, Händler und Importeure, wobei die meisten Pflichten den Hersteller treffen. Händler und Importeure müssen vor allem kontrollieren, dass der Hersteller seine Pflichten eingehalten hat.
Konkrete Pflichten des CRA für Hersteller
Zu den wesentlichen Pflichten des Herstellers gehören folgende Punkte:
- Die regelmäßige Durchführung und Dokumentation einer Risiko- und Schwachstellenanalyse;
- Er darf das Produkt nur so konzipieren und entwickeln, dass ein angemessenes Niveau an Cybersicherheit gewährleistet ist, unter anderem darf er das Produkt mit keinerlei ihm bekannten Schwachstellen ausliefern („Security by Design“);
- Er muss in der Konzeption und im Design die Grundsätze der Datensparsamkeit, -vertraulichkeit und -integrität beachten sowie Authentifizierungs- und Verschlüsselungssysteme vorhalten;
- Die Cybersicherheit ist während einer im Vorhinein festzulegenden Lebensdauer des Produkts von mindestens fünf Jahren laufend durch regelmäßige Sicherheitsupdates zu gewährleisten;
- Es sind Transparenzinformationen sowie Anleitungen für Nutzer des Produkts und eine technische Dokumentation vorzuhalten;
- Cyber-Schwachstellen und Sicherheitsvorfälle müssen unverzüglich an die zuständigen Behörden gemeldet und ein System zur Behandlung von Schwachstellen eingeführt werden.
- Konformitätsbewertung: Noch vor Inverkehrbringen muss das Produkt ein Konformitätsbewertungsverfahren durchlaufen. Dieses kann bei vielen Produkten durch ein rein internes Kontrollverfahren durch den Hersteller selbst erfolgen. Einige Produkte werden von CRA jedoch als besonders kritisch eingestuft und bedürfen eines Kontrollverfahrens durch eine externe Bewertungsstelle. Das betrifft etwa Smart-Home-Produkte mit Allzweck- oder Sicherheitsfunktionen. Am Ende des Bewertungsverfahrens muss das europäische CE-Kennzeichen an dem Produkt bzw. seiner Verpackung angebracht werden. Die Konformität muss zusätzlich mit einer sog. EU-Konformitätserklärung vom Hersteller schriftlich zugesichert und nach außen demonstriert werden.
Praxishinweise
Der CRA kommt unaufhaltsam auf Unternehmen zu: Ab dem 11.09.2026 werden Unternehmen verpflichtet sein, Cyber-Schwachstellen den zuständigen Behörden zu melden. Ab dem 11.12.2027 werden auch die übrigen Vorgaben des CRA (s.o.) anwendbar sein. Nationale Umsetzungsgesetze sind nicht notwendig.
Die Pflichten sind schon in der frühen Konzeptionsphase von Produkten „mitzudenken“. Unternehmen sollten bereits jetzt ihre Produktpalette auf eine potentielle Betroffenheit unter dem CRA prüfen und – sofern ein Produkte in den Anwendungsbereich des CRA fällt – in eine GAP-Analyse einsteigen, in der das Cybersicherheits-Niveau des Produktes sowie dessen CRA-Konformität kritisch auf den Prüfstand gestellt werden. Anderenfalls droht die Zeit davonzulaufen, um die ggf. notwendigen Umstellungen und Verbesserungen noch rechtzeitig in der Produktentwicklung vorzunehmen.
Zukünftig werden von der EU-Agentur „ENISA“ für bestimmte Produkte harmonisierte europäische Normen veröffentlicht, die bei der Umsetzung der CRA-Vorgaben helfen und sogar eine Vermutung der Konformität mit sich bringen können. Diese Entwicklungen gilt es im Blick zu behalten.
SKW Schwarz bereitet Sie in interdisziplinärer Zusammenarbeit mit ausgewählten technischen Partnern auf den Cyber Resilience Act vor. Als Startpunkt für Ihr Cyber-Resilience-Projekt bietet sich ein gemeinsamer Workshop an, in dem (i) die Anforderungen des CRA sowohl aus rechtlicher wie aus technischer Sicht definiert werden und (ii) diese Anforderungen mit dem aktuellen Cybersicherheits-Status der eigenen Produkte abgeglichen werden. Auf dieser Basis können etwaig identifizierte GAPs im weiteren Projektverlauf anhand eines Maßnahmenplanes geschlossen werden. Ein solches Projektvorgehen hat sich bereits in anderen Bereichen des IT-Sicherheitsrechts bewährt, zuletzt im Bereich der NIS-2 Richtlinie.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
