Cyber Resilience Act
Der Cyber Resilience Act (CRA) bzw. die „Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“ ist ein umfangreiches Regelwerk, das Mindestanforderungen für die Cybersicherheit von Produkten mit digitalen Elementen festlegt. Als Verordnung ist er für die Mitgliedstaaten bindend und auf dem gesamten europäischen Markt anzuwenden.
Inhalt
- Ab wann gilt der Cyber Resilience Act?
- Welche Unternehmen sind vom Cyber Resilience Act betroffen?
- Welche Produkte fallen unter die Verordnung?
- Ausnahmen
- Risikoklassen
- Open-Source-Software
- Welche Pflichten haben Hersteller?
- Was ist bei der Produktentwicklung zu beachten?
- CRA und IEC 62443
- Welche Strafen drohen bei Verstößen?
- Bezugsquellen
- Unterstützung bei CRA-konformer Produktentwicklung
Ab wann gilt der Cyber Resilience Act?
Ende 2023 einigten sich die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union auf den endgültigen Text des Cyber Resilience Act. Am 20. November 2024 wurde er im EU-Amtsblatt veröffentlicht und trat am 10. Dezember 2024 in Kraft. Um Unternehmen Zeit für die Umstellung zu geben, müssen die Anforderungen aber nicht mit sofortiger Wirkung umgesetzt werden.
Der Zeitplan für die Umsetzung sieht folgende wichtige Schritte vor:
- Ab dem 11. Juni 2026 werden die Konformitätsbewertungsstellen ermächtigt, die Konformität von Produkten mit den Anforderungen der Verordnung zu bewerten.
- Ab dem 11. September 2026 unterliegen Hersteller der Meldepflicht für Schwachstellen und Vorfälle (siehe unten unter „Was fordert der CRA von betroffenen Unternehmen?“).
- Ab dem 11. November 2027 gelten alle Anforderungen in vollem Umfang.
Welche Unternehmen sind vom Cyber Resilience Act betroffen?
Die Anforderungen des CRA betreffen Hersteller, Einführer und Händler, die Produkte mit digitalen Elementen für den EU-Markt entwickeln, herstellen oder in der EU in Verkehr bringen. Sie gelten unabhängig davon, ob das jeweilige Unternehmen seinen Geschäftssitz innerhalb oder außerhalb der EU hat – also beispielsweise auch für koreanische Smartphone-Hersteller, die ihre Produkte auf dem europäischen Markt verkaufen.
Welche Produkte fallen unter die Verordnung?
Alle Hard- und Softwareprodukte und -komponenten, die in der EU verkauft werden und „digitale Elemente“ enthalten, unterliegen dem Cyber Resilience Act. Das umfasst neben alltäglichen Verbraucherprodukten auch B2B-Software sowie Systeme und Maschinen für die Industrie. Dabei versteht die Verordnung unter „Produkten mit digitalen Elementen“ alle Produkte, „deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt“ (Artikel 2 Abs. 1).
Ausnahmen
Allerdings gibt es Ausnahmen: Produkte, die bereits durch bestimmte andere EU-Verordnungen und Richtlinien reguliert werden, fallen laut Artikel 2, Abs. 2 nicht in den Anwendungsbereich des CRA. Dazu gehören Medizinprodukte und In-vitro-Diagnostica, Kraftfahrzeuge, Produkte der zivilen Luftfahrt sowie Schiffsausrüstung. Ausnahmen gibt es auch für Ersatzteile, die identische Komponenten ersetzen sollen, für Verteidigungsgüter sowie für Produkte, für die die Kommission eine Ausnahme erlassen hat.
Risikoklassen
Die Verordnung teilt die betroffenen Produkte in den Anhängen III und IV in verschiedene Risikokategorien ein:
- Standard (nicht kritische Produkte), zum Beispiel PC-Spiele, smarte Lautsprecher, Festplatten, Software zur Text- und Bildverarbeitung, Multimediageräte. In diese Kategorie fällt ein überwiegender Teil aller Produkte mit digitalen Elementen. Für solche Produkte ist eine Selbstzertifizierung durch die Hersteller möglich.
- Klasse I (wichtige Produkte), zum Beispiel Browser, Firewalls, Router, Passwortmanager, Produkte und Systeme für die industrielle oder Gebäudeautomatisierung. Für Produkte dieser Risikoklasse ist eine Zertifizierung durch eine notifizierte Stelle nötig.
- Klasse II (kritische Produkte), zum Beispiel Hardware-Sicherheitsmodule, Chipkarten, Betriebssysteme, Smart Meter und Systeme kritischer Infrastrukturen. Auch für diese Produkte ist eine Zertifizierung durch notifizierte Stellen erforderlich.
Für alle Risikoklassen gelten die gleichen Anforderungen an die Produkte. Der wesentliche Unterschied besteht in der Konformitätsbewertung. Bei steigender Risikoklasse werden die Kriterien strenger und der Bewertungsprozess wird umfangreicher und strenger. In den Klassen I und II sind zudem Bewertungen durch unabhängige Stellen verbindlich, gegebenenfalls (d. h. für die in Anhang IV gelisteten entsprechenden Produktkategorien) ist auch eine Zertifizierung nach einem europäischen Zertifizierungsschema nötig.
Open-Source-Software
Auch Open-Source-Software (OSS) unterliegt vollumfänglich den Anforderungen des Cyber Resilience Act. Lediglich nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen die Anforderungen nicht erfüllen. Unklarheiten des ersten Gesetzesentwurfs hinsichtlich der Frage, wann eine OSS als „kommerziell“ bzw. „nicht kommerziell“ gilt, hatten zunächst zu großen Unsicherheiten geführt. In Anhang II geht der endgültige Gesetzestext nun ausführlicher auf das Thema kommerzielle Open-Source-Software ein und schafft u. a. mit der Einführung der Begrifflichkeit der Gewinnerzielungsabsicht mehr Rechtssicherheit. Allerdings lassen auch einige Formulierungen des aktuellen Gesetzestexts Raum für Interpretationen.
Welche Pflichten haben Hersteller?
Hersteller müssen für jedes Produkt „mit digitalen Elementen“ – also auch für solche der Standard-Kategorie mit geringem Risiko – ein Cybersecurity Risk Assessment durchführen und das Ergebnis bei Planung und Konzeption, Entwicklung und Herstellung, Lieferung und Wartung des Produkts berücksichtigen. Grundsätzlich müssen für jedes Produkt mit digitalen Elementen technische Dokumentation, Konformitätsbewertung sowie Produktkennzeichnungen bereitgestellt und über den gesamten Supportzeitraum regelmäßig aktualisiert werden (Artikel 31). Für Software-Produkte müssen Hersteller eine Software Bill of Materials (eine Software-Stückliste, kurz SBOM) erstellen. Diese SBOM soll für mehr Transparenz in der Lieferkette sorgen und als Quelle im Schwachstellenhandling genutzt werden; sie muss nicht veröffentlicht werden.
Darüber hinaus müssen Hersteller (und bedingt auch Importeure und Händler) ein Risikomanagement und effektives Schwachstellenmanagement implementieren. Für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten Meldepflichten mit engen Fristen: Binnen 24 Stunden hat eine erste Warnung zu erfolgen, spätestens 72 Stunden nach Bekanntwerden der Schwachstelle muss dann eine ausführliche Schwachstellenmeldung mit Informationen u. a. zur Schwachstelle und den ergriffenen Gegenmaßnahmen sowie möglichen Gegenmaßnahmen für Nutzer folgen. Spätestens 14 Tage nach Verfügbarkeit einer Gegenmaßnahme muss ein detaillierter Abschlussbericht an das zuständige CSIRT und an ENISA übermittelt werden (Artikel 14 Abs 2a-c). Zudem müssen sie Updates und Patches zur Behebung der Schwachstellen bereitstellen (Anhang I, Teil I Abs. 2c).
Was ist bei der Produktentwicklung zu beachten?
Hinsichtlich der Entwicklung und Herstellung von Produkten mit digitalen Elementen fordert der CRA einen risikobasierten Ansatz (Security by Design). Unter anderem verlangt Anhang I:
- Ein angemessenes, auf den Risiken basierendes Cybersecurity-Niveau (Teil I Abs. 1)
- Die Adressierbarkeit für Sicherheitsupdates (Teil I Abs. 2c)
- Die Verhinderung unautorisierter Zugriffe durch Zugriffskontrollen (Teil I Abs. 2d)
- Die Sicherstellung der Vertraulichkeit von Daten durch Verschlüsselung (Teil I Abs. 2e)
- Den Schutz der Integrität von Daten, Befehlen und Konfigurationen (Teil I Abs. 2f)
- Die Behebung aller bekannten Schwachstellen (gem. der Risikobewertung) vor Einführung des Produkts (Teil I Absatz 2a)
- Die Minimierung negativer Einflüsse auf andere Geräte und Netzwerke (Teil I Abs. 2i)
- Die Minimierung der Angriffsfläche (Teil I, Abs. 2j)
- Die Behebung aller bekannter Schwachstellen vor Inverkehrbringen (Teil I Abs. 2a)
CRA und IEC 62443
Produkte, die die Security-Anforderungen nach IEC 62443-4-2 erfüllen und die nach IEC 62443-4-1 entwickelt wurden, dürften bereits weitestgehend den Anforderungen des EU-Gesetzentwurfs entsprechen. Die IEC 62443 wird daher auch als wahrscheinlichster Kandidat für eine Harmonisierung gehandelt. Allerdings sollten Hersteller von Software-Produkten beachten, dass der CRA eine Absicherung der Software-Lieferkette und die Dokumentation von Schwachstellen in Komponenten (auch Fremdkomponenten) des Produkts verbindlich fordert, während die IEC 62443-4-1 dies lediglich empfiehlt.
Welche Strafen drohen bei Verstößen?
Verstöße gegen die Anforderungen des Cyber Resilience Act können mit hohen Geldbußen sanktioniert werden. Die Nichteinhaltung der in Anhang I festgelegten Anforderungen an die Cybersicherheit der Produkte und der Bewertungs- und Meldepflichten kann mit Geldstrafen von bis zu 15 Millionen Euro bzw. bis zu 2,5 Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahrs geahndet werden (je nachdem, welcher Betrag höher ist). Bei Verstößen gegen Verfahrens- und Kennzeichnungspflichten drohen Strafzahlungen bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres. Mit Geldbußen bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes können falsche oder irreführende Angaben gegenüber den benannten Stellen und Marktüberwachungsbehörden geahndet werden.
Bezugsquellen
Der Gesetzestext des Cyber Resilience Act (inkl. Anhängen) ist in allen 24 Amtssprachen der EU online abrufbar: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
Unterstützung bei CRA-konformer Produktentwicklung
NewTec unterstützt Hersteller bei der Entwicklung von Produkten mit digitalen Elementen – beispielsweise bei einer dem Cyber Resilience Act entsprechenden Gefahren- und Risikoanalyse, der Integration von Sicherheitsmaßnahmen oder der Implementierung sicherer Updateprozesse sowie einem umfassenden Security-Testing.
Fragen? Kontaktieren Sie uns: Kontakt.
Oder rufen Sie uns an unter +49 7302 9611-0.