Die EU hat mit dem Cyber Resilience Act (CRA) neue Vorgaben für Hersteller und Händler eingeführt, um die Cybersicherheit von vernetzten Produkten entlang ihres gesamten Lebenszyklus zu stärken. Angesichts der wachsenden Bedrohung durch Cyberangriffe und der steigenden Vernetzung von Produkten und Dienstleistungen in allen Bereichen des Geschäfts- und Alltagslebens reagiert die EU mit verschiedenen Regulierungsinitiativen, um diesen Risiken wirksam zu begegnen. Der CRA zielt insbesondere darauf ab, die Risiken im Zusammenhang mit vernetzten Produkten zu minimieren, indem er neue Standards und Richtlinien einführt, die für alle EU-Mitgliedstaaten verbindlich sind.
Die Bedeutung des Cyber Resilience Act
Die fortlaufende Vernetzung von Produkten und Dienstleistungen hat die Angriffsfläche für Cyberangriffe erheblich vergrößert. Um dieser wachsenden Bedrohung effektiv zu begegnen, hat die EU den Cyber Resilience Act (CRA) eingeführt. Dieser zielt darauf ab, die Cybersicherheit von vernetzten Produkten entlang ihres gesamten Lebenszyklus zu stärken und einen gemeinsamen Rechtsrahmen für die Sicherheit dieser Produkte in der gesamten EU zu schaffen. Der CRA betrifft Produkte, die digitale Elemente enthalten und eine Datenverbindung ermöglichen, sei es mit anderen Produkten oder Komponenten. Indem er neue Standards, Leitlinien und bewährte Verfahren einführt, soll der CRA dazu beitragen, die Cybersicherheit in der gesamten EU nachhaltig zu verbessern.
Der Weg zum Cyber Resilience Act
Im Juli 2023 veröffentlichte der EU-Rat ein Verhandlungsmandat für den CRA, das mit der Zustimmung des Europäischen Parlaments im März 2024 finalisiert wurde. Die meisten Vorgaben treten innerhalb einer Übergangsfrist von bis zu 36 Monaten in Kraft, einige jedoch bereits nach 21 Monaten. Der CRA betrifft nicht nur Produkte für Endverbraucher, sondern auch industrielle Komponenten innerhalb kritischer Infrastrukturen. Daher gibt es enge Wechselwirkungen zwischen dem CRA und anderen Regularien, wie zum Beispiel der NIS-2-Richtlinie.
Regulierung mit Augenmaß: Kategorien von Produkten
Um die Anforderungen an vernetzte Produkte angemessen zu definieren, unterscheidet der CRA vier verschiedene Kategorien.
- Standardkategorie: Produkte, die keinerlei cybersicherheitsrelevante Aufgaben erfüllen, wie Social-Media-Apps oder vernetzte Haushaltsgeräte, fallen in diese Kategorie.
- Klasse I: Produkte, die cybersicherheitsrelevante Aufgaben erfüllen, wie Antivirensoftware oder Netzwerkkomponenten.
- Klasse II: Produkte, deren Manipulation weitreichende Folgen für andere digitale Produkte hätte, wie industrielle Firewalls oder SCADA-Systeme.
- Kritische Infrastrukturen: Produkte, die wichtige Sicherheitsfunktionen innerhalb kritischer Infrastrukturen erfüllen, wie Smart-Metering-Gateways.
CE-Kennzeichnung und Konformitätserklärung
Hersteller und Händler müssen im Rahmen des CRA ein Risiko-Assessment durchführen und eine umfassende Dokumentation über die Sicherheitsmerkmale und -funktionen ihrer Produkte führen. Rund 90 Prozent der Produkte auf dem europäischen Markt werden voraussichtlich in die Standardkategorie fallen. Für diese Produkte gelten grundlegende Prinzipien, wie ein angemessenes Cybersicherheitsniveau entlang des gesamten Lebenszyklus. Unternehmen können Produkte dieser Kategorie selbst prüfen und eine Konformitätserklärung abgeben, bevor sie das CE-Kennzeichen auf dem Produkt anbringen dürfen. Für Produkte der Klasse I ist zu prüfen, ob ein harmonisierter Standard verfügbar ist. Ist das nicht der Fall, müssen sie eine externe Prüfstelle involvieren. Produkte der Klasse II und kritischen Infrastrukturen erfordern immer eine externe Prüfung.
Pflichten und Sanktionen
Mit der Verabschiedung des CRA kommen zusätzliche Pflichten auf Unternehmen zu. Sie müssen die erwartete Lebensdauer ihrer Produkte angeben, die standardmäßig mindestens fünf Jahre beträgt. Marktüberwachungsbehörden überwachen diese Angaben und vergleichen die Lebensdauer vergleichbarer Produkte im Markt. Treten sicherheitsrelevante Unregelmäßigkeiten auf, müssen Hersteller diese innerhalb von 24 Stunden an das nationale Cyber Security Incident Response Team melden. Über die gesamte Lebensdauer des Produkts hinweg müssen kostenlose Sicherheitsupdates zur Verfügung gestellt werden. Bei Verstößen gegen den CRA drohen Strafen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Umsatzes. Außerdem können die Behörden Produkte bei Verstößen vom Markt nehmen.
Fazit
Der Cyber Resilience Act ist eine sinnvolle Ergänzung für die europäische Regulierungslandschaft und stärkt die Cybersicherheit von vernetzten Produkten. Sowohl Verbraucher als auch B2B-Anwender können sich zukünftig auf die langfristige Sicherheit ihrer Produkte verlassen. Da Unternehmen außerhalb der EU dieselben Anforderungen erfüllen müssen, um ihre Produkte in der EU anbieten zu dürfen, bleibt die Wettbewerbsgleichheit auf dem Markt gewahrt. Herstellern und Händlern von vernetzten Produkten bleibt ausreichend Zeit, ihr Portfolio umfassend zu prüfen und mögliche Defizite aufzuarbeiten. Ein proaktiver Ansatz ist jedoch entscheidend, um den kommenden Anforderungen gerecht zu werden und von Anfang an den geforderten Konformitätsnachweis zu erbringen.