Cyber Resiliance Act – Checker


Alles wichtige zum CRA:

  • Der Cyber Resilience Act setzt klare Sicherheitsstandards für vernetzte Produkte, stärkt die Verantwortung der Hersteller und fördert Transparenz sowie Nutzervertrauen in die digitale Welt.
  • Der CRA betrifft digitale Produkte, mit Ausnahmen wie SaaS, und richtet sich an Hersteller, Importeure und Distributoren in der EU.
  • Der Cyber Resilience Act verlangt regelmäßige Sicherheitsupdates und betont Sicherheit über den gesamten Produktlebenszyklus mit hohen Bußgeldern bei Verstößen.
  • Der “Cyber Resilience Act” der EU definiert umfassende Cybersecurity-Pflichten für Unternehmen, bei Nichtbeachtung drohen Sanktionen.

In einer zunehmend vernetzten Welt, in der digitale Technologien nahezu alle Aspekte unseres Lebens durchdringen, steht die Frage nach der Cybersicherheit ganz oben auf der Agenda. Wie können wir unsere digitalen Welten vor Cyberbedrohungen schützen und gleichzeitig die Vorteile der Digitalisierung genießen? Europa hat auf diese Herausforderung reagiert, und präsentierte im September 2022 den ersten konkreten Entwurf für den geplanten “Cyber Resilience Act” (CRA). Ziel dieses Vorschlags ist es, die digitale Sicherheit in Europa nachhaltig zu stärken, indem gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste eingeführt werden. Der Cyber Resilience Act wird nicht nur erhebliche Auswirkungen auf die Hersteller digitaler Geräte haben, sondern auch einen neuen, wegweisenden Standard in der EU etablieren. Der Cyber Resilience Act führt neue Vorschriften ein, die den Schutz digitaler Produkte betreffen und bisher von keinen bestehenden Regelungen abgedeckt waren. Diese Gesetzgebungen sind starke Instrumente, um die Cybersicherheit in der EU zu stärken und zeitgemäße IT-Sicherheitsstandards zu etablieren.

Der sachliche und persönliche Anwendungsbereich des CRA

Der sachliche Anwendungsbereich des CRA ist weit gefasst und umfasst “Produkte mit digitalen Bestandteilen”. Dies schließt jegliche Software- oder Hardwareprodukte und ihre Lösungen ein, die über ein Produkt oder ein Netzwerk ferngesteuert werden können. Es gibt jedoch Ausnahmen, darunter Software-as-a-Service und Open Source Software Lösungen.

Der persönliche Anwendungsbereich des CRA betrifft hauptsächlich Hersteller, aber auch Importeure und Unternehmen, die solche Produkte in der EU vertreiben (Distributoren). Dies stellt sicher, dass nahezu alle Aktivitäten erfasst werden, bei denen Produkte in der EU verkauft oder vermarktet werden.

Weitere Sicherheitsmaßnahmen des Cyber Resilience Acts

Eine weitere wichtige Komponente des Cyber Resilience Act ist die Verpflichtung der Hersteller zur regelmäßigen Bereitstellung von Sicherheitsupdates. Dies ist entscheidend, um bekannte Schwachstellen zu beheben und sicherzustellen, dass die Produkte immer auf dem neuesten Stand der Sicherheit sind. Dieser Ansatz trägt dazu bei, das Risiko von Cyberangriffen erheblich zu reduzieren.

Nicht weniger wichtig ist der Fokus auf den gesamten Lebenszyklus eines Produkts. Der Cyber Resilience Act berücksichtigt nicht nur die Sicherheit während der Entwicklung, sondern auch während des Betriebs und sogar der Entsorgung. Dies stellt sicher, dass die Sicherheit von vernetzten Produkten von Anfang bis Ende gewährleistet ist.

Bei Verstößen können Bußgelder in Höhe von bis zu 15 Mio. Euro oder 2,5% des globalen Umsatzes des verletzenden Unternehmens verhängt werden, je nachdem was höher ist.

Hauptpflichten für
Unternehmen laut CRA

Nach dem Cyber Resilience Act Entwurf der EU sollen folgende Pflichten erfüllt werden, um keine Sanktionen zu riskieren:

  1. Verantwortung von Importeuren und Distributoren: Importeure dürfen nur Produkte auf den EU-Markt bringen, die die Cybersecurity-Anforderungen erfüllen (Art. 13 CRA-E). Auch Distributoren müssen sicherstellen, dass die Anforderungen erfüllt sind (Art. 14 CRA-E).
  2. Klassifizierung kritischer Produkte: “Kritische” Produkte werden in zwei Klassen unterteilt, Klasse 1 und Klasse 2, basierend auf ihren Risikofaktoren (Annex III CRA-E). Beispiele für Klasse-1-Produkte sind Passwort-Manager und Netzwerkschnittstellen, während Klasse-2-Produkte Produkte wie CPUs umfassen.
  3. Bewertungen durch den Hersteller: Der Hersteller muss grundsätzlich selbst Bewertungen durchführen, um sicherzustellen, dass die Sicherheitsanforderungen des CRA erfüllt sind (Art. 24 CRA-E). Für “kritische” Produkte sind unabhängige Bewertungen oder die Einhaltung bestimmter Standards erforderlich.
  4. Behandlung von Schwachstellen nach dem Verkauf: Schwachstellen müssen während der gesamten Lebensdauer des Produkts oder mindestens fünf Jahre nach dem Verkauf angemessen behandelt werden. Dies beinhaltet die Bereitstellung von Security-Updates (Art. 10 Abs. 12 CRA-E).
  5. Dokumentation der Cybersecurity-Aspekte: Für jedes Produkt müssen die Cybersecurity-Aspekte, einschließlich bekannter Schwachstellen und Drittanbieterkomponenten, dokumentiert werden (Art. 23 CRA-E).
  6. Cybersecurity Risk Assessments: Für jedes Produkt ist ein Cybersecurity Risk Assessment erforderlich (Art. 10 CRA-E). Dies umfasst die Berücksichtigung von Cybersecurity-Risiken während der Planung, des Designs, der Entwicklung, der Produktion und der Wartung.
  7. Meldung von Schwachstellen und Sicherheitsvorfällen: Der Hersteller muss unverzüglich ausgenutzte Schwachstellen und Sicherheitsvorfälle an die ENISA melden (Art. 11 CRA-E). Importeure und Distributoren müssen den Hersteller über Auffälligkeiten informieren, und der Hersteller muss die Nutzer über Sicherheitsvorfälle informieren (Art. 11 Abs. 4 CRA-E).
  8. Bereitstellung von Informationen für Nutzer: Klar verständliche Informationen und Handlungsempfehlungen zu den Cybersecurity-Aspekten des Produkts müssen für die Nutzer bereitgestellt werden (Art. 10 Abs. 10 CRA-E und Annex II).

Da die Vorschriften im Einzelnen sehr kompliziert sein können, empfehlen wir Ihnen dringend, mit einem unserer Experten in Kontakt zu treten.

Fazit zum Cyber Resilience Act

Die Umsetzung des Cyber Resilience Act wird zweifellos zu einem höheren Sicherheitsniveau für vernetzte Produkte führen. Dies ist von entscheidender Bedeutung, da diese Produkte eine zunehmend wichtige Rolle in unserem Alltag spielen. Ein höheres Sicherheitsniveau bedeutet weniger Angriffsmöglichkeiten für Cyberkriminelle und somit mehr Vertrauen der Verbraucher in die digitale Welt. 

Der Weg zur Cybersicherheit ist eine gemeinsame Anstrengung von Herstellern, Verbrauchern und Regulierungsbehörden. Der Cyber Resilience Act ist ein Schritt in die richtige Richtung und ein Beispiel dafür, wie Gesetze und Vorschriften dazu beitragen können, die digitale Welt sicherer zu gestalten.

Jetzt anfragen