Bereit für den EU Cyber Resilience Act

Alle Personen oder Unternehmen, die Produkte mit digitalen Elementen entwickeln, herstellen oder vertreiben, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.

Personen oder Unternehmen innerhalb der EU, die Produkte mit digitalen Elementen auf den Markt bringen, die den Namen oder die Marke einer Person oder Firma außerhalb der EU tragen.

Personen oder Unternehmen, die Produkte mit digitalen Elementen auf dem Unionsmarkt bereitstellen, ohne deren Eigenschaften zu verändern, ausgenommen Hersteller und Importeure.

Unternehmen, die nicht die Hersteller sind, aber systematisch die Entwicklung bestimmter Produkte mit digitalen Elementen unterstützen, die als Open-Source-Software für kommerzielle Zwecke gelten.

Physische elektronische Systeme, die digitale Daten verarbeiten, speichern oder übertragen, sowie deren Komponenten.

Integrierte Software (Embedded Software), eigenständige Software und kommerzielle Softwarelösungen.

Datenfernverarbeitungslösungen, wie Cloud-Dienste, die von Herstellern intelligenter, fernsteuerbarer Haushaltsgeräte angeboten werden.

Für Regierungen, Unternehmen und Privatpersonen ist Cybersicherheit wichtiger denn je. Die EU hat das erkannt und im September den Cyber Resilience Act (CRA) veröffenlicht, der am 12. März 2024 vom Europäischen Parlament angenommen wurde. Das Ziel ist es, mit der Umsetzung ab 2027 die verbindlichen Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ einzuführen und damit die Widerstandsfähigkeit gegen Cyberangriffe in der EU zu erhöhen und verlässliche digitale Dienste zu gewährleisten.

Erstens zielt der CRA darauf ab, Sicherheitslücken und Schwachstellen in Produkten mit digitalen Elementen zu reduzieren. Dies soll dazu beitragen, das Risiko von Cyberangriffen und damit verbundenen Gefahren für die Anwender sowie für gesamte Lieferketten zu minimieren.

Zweitens fördert der Cyber Resilience Act eine stärkere Verantwortung von Herstellern und Anbietern. Diese sind nun verpflichtet, ihre Produkte sicher zu gestalten und bereitzustellen, bevor sie auf den europäischen Markt gelangen. Dadurch wird die Sicherheit über den gesamten Lebenszyklus eines Produkts hinweg verbessert.

Schließlich strebt das Gesetz zur Cyberresilienz eine größere Transparenz für Nutzer an, was durch die Bereitstellung klarer Informationen über die Sicherheitsmerkmale und potenziellen Risiken digitaler Produkte erreicht werden soll. So können Verbraucher fundierte Entscheidungen treffen und sind besser darüber informiert, wie sie ihre digitalen Produkte sicher nutzen können.

Der Cyber Resilience Act (CRA) und die NIS2-Richtlinie verfolgen das gemeinsame Ziel, die Cybersicherheit in der EU zu verbessern, jedoch mit unterschiedlichen Schwerpunkten.

Der CRA konzentriert sich auf die Sicherheit digitaler Produkte, indem er verbindliche Standards für Hardware und Software festlegt, die in der EU vertrieben werden. Die NIS2-Richtlinie richtet ihren Fokus hingegen auf die Absicherung von Netzwerken und Informationssystemen, die für kritische Infrastrukturen und wichtige Dienstleistungen unerlässlich sind.

Zusammen sorgen beide Regelwerke für eine umfassende Cybersicherheitsstrategie in der EU, die Produkte und Infrastrukturen gleichermaßen abdeckt. Unternehmen, die sowohl Produkte herstellen als auch kritische Dienste anbieten, müssen beide Anforderungen berücksichtigen und ihre Sicherheitsmaßnahmen entsprechend koordinieren.

Bei Verstößen können Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes des betreffenden Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist. Und Produkte mit digitalen Elementen, die ab dem Inkrafttreten nicht den CRA-Vorgaben entsprechen, dürfen erst gar nicht auf den Markt gebracht werden. Es droht ein Ausschluss aus Lieferketten und Ausschreibungen.

Hersteller sind verpflichtet, umfassende Cybersicherheitsanforderungen zu erfüllen, was die kontinuierliche Identifikation und Dokumentation von Sicherheitsaspekten sowie die schnelle Behebung von Sicherheitslücken einschließt. Sie müssen zudem ihre Produkte einer Konformitätsbewertung unterziehen und den zuständigen Behörden notwendige Informationen und Meldungen bereitstellen.

Verwalter von Open-Source-Software (OSS) übernehmen ebenfalls wichtige Aufgaben, indem sie eine Cybersicherheitsstrategie entwickeln und administrative Pflichten wie die Bereitstellung technischer Dokumentationen sicherstellen. Einführer sind dafür verantwortlich, dass die Produkte, die sie auf den EU-Markt bringen, den CRA-Vorgaben entsprechen. Sie müssen überprüfen, ob die Hersteller ihre Pflichten erfüllen und bei Nichtkonformität erforderliche Korrekturmaßnahmen einleiten.

Sowohl Händler als auch Importeure (im Gesetzestext „Einführer“) haben die Pflicht sicherzustellen und zu überprüfen, dass der Hersteller die Pflichten nach dem CRA erfüllt hat. Nimmt einer dieser beiden Wirtschaftsakteure wesentliche Änderungen an dem Produkt vor, so gelten Händler und Importeurer nach dem CRA als Hersteller (sie übernehmen nicht nur die Pflichten sondern sind rein rechtlich mit Hinblick auf den CRA Hersteller). Die „Bevollmächtigten“ übernehmen nur bestimmte administrative Pflichten des Herstellers (nicht der Importeure).

Um die Anforderungen des EU Cyber Resilience Act zu erfüllen und ihre Produkte für den europäischen Markt zu sichern, sollten Unternehmen eine umfassende Cybersicherheitsstrategie implementieren. Diese Strategie sollte die fortlaufende Identifikation und Behebung von Sicherheitslücken, die Verschlüsselung von Daten und die Minimierung von Angriffsflächen umfassen. Eine gründliche Produktklassifizierung und Risikobewertung sind zwingend notwendig, um spezifische Anforderungen zu identifizieren und gezielte Maßnahmen zu ergreifen.

Darüber hinaus ist es wichtig, dass Unternehmen ihre Produkte regelmäßigen Konformitätsbewertungen unterziehen und eine aktuelle technische Dokumentation bereitstellen, um die CRA-Compliance nachweisen zu können. Sicherheitsupdates und die kontinuierliche Wartung während des gesamten Produktlebenszyklus sind ebenfalls entscheidend. Durch Schulung der Mitarbeitenden und Zusammenarbeit mit externen Experten können Unternehmen sicherstellen, dass ihre Cybersicherheitsmaßnahmen den neuen Vorschriften entsprechen und sie ihre Position im europäischen Markt stärken.