Bereit für den Cyber Resilience Act?

Cyber Resilience Act in a nutshell

Der jüngste Vorfall um das Unternehmen CrowdStrike rückte das Thema IT-Sicherheit wieder einmal auf dramatische Weise in das Licht der Öffentlichkeit. Weltweit führte der Blue Screen of Death auf Millionen Geräten unter anderem zu Flugausfällen, Zugverspätungen und erheblichen Störungen in der Gesundheitsversorgung, was die Abhängigkeit kritischer Infrastrukturen von zuverlässigen IT-Systemen verdeutlicht.

Mit dem Cyber Resilience Act (CRA) möchte die Europäische Kommission die Cybersicherheit von „Produkten mit digitalen Elementen“ verbessern. Dessen Anwendungsbereich betrifft Hersteller, Importeure und Händler von Hardware und Software, die miteinander oder mit dem Internet remote kommuniziert – sowohl im B2C als auch im B2B-Bereich. 

Anders als in der NIS-2-Richtlinie gibt es keine Schwellwerte oder Mindestumsatzanforderungen. Die Regelungen des CRA können somit grundsätzlich jedes Unternehmen treffen, unabhängig von dessen Größe oder Branchenzugehörigkeit.

Verstöße gegen die neuen Regelungen können Geldbußen von bis zu 15 Mio. EUR oder 25 % des weltweiten Jahresumsatzes nach sich ziehen. Ferner können Behörden Rückrufe anordnen und Vertriebsverbote verhängen. 

Es ist daher essenziell, frühzeitig Maßnahmen zu ergreifen, um den gesetzlichen Anforderungen gerecht zu werden. 

Wann und für welchen Zeitraum müssen Unternehmen aktiv werden?

Im März hat das Europäische Parlament den CRA verabschiedet. Die Verordnung wird voraussichtlich im Herbst 2024 im Amtsblatt der Europäischen Union veröffentlicht und tritt im Herbst 2027 in Kraft. Bereits 21 Monate nach Veröffentlichung müssen erste Pflichten erfüllt werden.

Die herstellerseitigen Pflichten enden nicht mit dem Inverkehrbringen des jeweiligen Produktes. Vielmehr sind über die Umsetzung der Produktanforderungen hinaus, relevante Cybersicherheitsrisiken und etwaige Sicherheitslücken während des so genannten „Unterstützungszeitraums“, also während der voraussichtlichen Nutzungsdauer (als Orientierung werden fünf Jahre ab Inverkehrbringen genannt) systematisch zu identifizieren und eine vorzunehmende Risikobewertung entsprechend zu aktualisieren.

Welche Produkte werden erfasst?

Der CRA erfasst alle Produkte mit digitalen Elementen, d.h. Software oder Hardware, die mit anderen Komponenten über Entfernung kommunizieren. Auch reine Softwareprodukte können erfasst sein, z.B. Apps, die für bestimmte Funktionen eine Online-Anbindung benötigen. 

Dabei unterscheidet der CRA drei unterschiedliche Produktarten voneinander: unkritische Produkte, wichtige Produkte und kritische Produkte, jeweils mit Netzwerkverbindung. Bei den wichtigen Produkten wird weiter zwischen den Kritikalitätsklassen I und II unterschieden, für die noch einmal unterschiedliche Anforderungen gelten. Je nach Klassifizierung greifen unterschiedliche Anforderungen.

Welche Pflichten müssen Unternehmen erfüllen?

• CE-Zertifizierung: Bei wichtigen und kritischen Produkten für Hardware und auch für Software erforderlich, um sicherzustellen, dass Produkte den europäischen Sicherheitsstandards entsprechen.
• Sicherheitsupdates: Verpflichtung zur Bereitstellung von Sicherheitsupdates über die gesamte Lebensdauer der Produkte.
• Sicherheitsstandards: Produkte müssen vor unbefugtem Zugriff schützen und die Vertraulichkeit der Daten sicherstellen.
• Software Bill of Materials (SBOM): Erstellen und Pflegen einer detaillierten Liste aller Softwarekomponenten.
• Meldepflichten: Schnelle Informationsweitergabe bei Sicherheitsvorfällen an Behörden ist erforderlich. Dazu gehören eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen bei ausgenutzten Schwachstellen bzw. einem Monat bei einem schwerwiegenden Vorfall. In bestimmten Fällen sind auch Nutzer sowie Upstream die Anbieter von Drittkomponenten zu benachrichtigen.
• Teils sehr konkrete technische Anforderungen: Verschiebung von Updates muss etwa möglich sein, Logging muss ausgeschaltet werden können.

Im Fokus: Pflichten für Hersteller

Insbesondere Hersteller müssen sicherstellen, dass ihre Produkte die folgenden grundlegenden Sicherheitsanforderungen erfüllen:

• Angemessenes Sicherheitsniveau: Produkte müssen ein angemessenes Sicherheitsniveau aufweisen (unter anderem auch Schutz vor unbefugtem Zugriff bieten und Vertraulichkeit sicherstellen). Der CRA enthält hierzu Dokumentationspflichten und teilweise noch zusätzliche Zertifizierungsvorgaben. 
• Freiheit von bekannten Schwachstellen: Produkte dürfen keine bekannten, ausnutzbaren Schwachstellen enthalten. 
• Sichere Standardkonfiguration: Produkte müssen in einer sicheren Standardkonfiguration ausgeliefert werden.
• Updatefähigkeit: Produkte müssen updatefähig sein, idealerweise durch Over-The-Air-Updates, die in jedem Fall aber verschoben werden können müssen. Datenprotokollierung: Produkte müssen eine Datenprotokollierung ermöglichen und eine Opt-Out-Möglichkeit bieten.
• Software Bill of Materials: Eine Software-Stückliste muss erstellt und gepflegt werden, um die in der Software enthaltenen Komponenten zu dokumentieren. Dies kann in der Praxis teils sehr komplex und aufwändig sein. Hier sollte man frühzeitig tätig werden, da dies grundsätzlich die Einrichtung entsprechender Tools voraussetzt, mit denen die Liste erstellt und aktualisiert werden kann. 

Ausnahmen im Cyber Resilience Act

Ausgenommen sind Produkte, die unter folgende Verordnungen fallen:

Medizinprodukte-Verordnung

• In-vitro-Diagnostika-Verordnung
• Kraftfahrzeug-Typgenehmigungsverordnung
• Zivilluftfahrt-Verordnung
• Schiffsausrüstungsrichtlinie

Wie geht es jetzt weiter?

Viele Fragen zum CRA sind noch offen. So werden verständlicherweise noch oft Zertifizierungsverfahren einzurichten sein und entsprechende Stakeholder müssen sich für die Durchführung von Zertifizierungen qualifizieren. Auch ist auf staatlicher Seite beispielsweise noch die Meldeplattform aufzusetzen. 

Nichtsdestotrotz gibt es wichtige Aspekte des CRA, die jetzt schon berücksichtigt werden sollten. Angesichts der hohen Bußgelder, der extrem knappen Umsetzungsfristen und mit Blick auf längere Entwicklungszyklen gerade bei Hardware, ist dringend anzuraten, jetzt in die Umsetzung einzusteigen. Zudem wird es für viele Hersteller essenziell sein, die Einhaltung der Pflichten in der Lieferkette sicherzustellen.