Der Cyber Resilience Act: Was Sie (schon) jetzt wissen sollten!

Fast unbemerkt im Schatten der KI-Verordnung wurde letzte Woche am 12. März 2024 der sogenannte Cyber Resilience Act („CRA“) vom Europäischen Parlament verabschiedet. Dieser umfangreiche Rechtsakt bringt weitreichende Sicherheitsanforderungen für Hersteller, Importeure und Händler von Hard- und Softwareprodukten, die diese in der Europäischen Union anbieten wollen. Ziel der CRA ist es, die Cybersicherheit zu erhöhen und weit verbreitete Schwachstellen zu bekämpfen, die unter anderem durch uneinheitliche Bereitstellung von Sicherheitsupdates und mangelndes Verständnis der Nutzer weitreichende Folgen haben können. Das Gesetz ergänzt damit die NIS-2-Richtlinie, die insbesondere auf die unternehmensbezogene Cyber-Sicherheit abzielt.

Was umfasst der Cyber Resilience Act?

Der Anwendungsbereich ist damit sehr weit gefasst und umfasst alle möglichen Arten von Hard- und Software mit niedrigem bis hohem Risikoprofil. Der CRA unterscheidet zunächst zwischen drei Produktkategorien:

• den „einfachen“ Produkten mit digitalen Elementen,
• den wichtigen Produkten mit digitalen Elementen der Klasse I und II und
• den kritischen Produkten mit digitalen Elementen.

Je nach Produktkategorie sind die Anforderungen an die Produkte unterschiedlich.

Wichtige Produkte der Klasse I umfassen

• Identitätsmanagementsysteme,
• eigenständige und eingebettete Browser,
• Passwort-Manager,
• Anti-Malware,
• Netzmanagementsysteme,
• Systeme für die Verwaltung von Sicherheitsinformationen und -ereignissen,
• Bootmanager,
• Public-Key-Infrastrukturen und Software für die Ausstellung digitaler Zertifikate,
• physische und virtuelle Netzschnittstellen,
• Betriebssysteme,
• Router, Modems und Switches,
• Mikroprozessoren,
• Mikrocontroller,
• Anwendungsspezifische integrierte Schaltungen und Field Programmable Gate Arrays,
• Produkte mit Sicherheitsfunktionen für die intelligente häusliche Umgebung,
• internetfähiges Spielzeug,
• Smart Home Assistenten,
• Wearables für die Gesundheitsüberwachung.

In die Klasse II fallen

• Hypervisoren,
• Container-Laufzeitsysteme,
• Firewalls,
• Angriffserkennungs- und/oder -präventionssysteme sowie
• Manipulationssichere Mikroprozessoren und Mikrocontroller.

Der Anhang mit den kritischen Produkten umfasst derzeit Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsystemen sowie Smartcards oder ähnliche Geräte. Beide Listen sollen von der EU-Kommission künftig durch delegierte Rechtsakte erweitert und präzisiert werden.

Grundlegende Anforderungen an die Cybersicherheit

Um ein Produkt mit digitalen Elementen in Verkehr bringen zu können, muss es einige grundlegende Anforderungen erfüllen.

In einem ersten Schritt müssen die Hersteller eine Bewertung der Cybersicherheitsrisiken ihrer Produkte durchführen und dokumentieren, deren Ergebnisse sie von der Planung über die Herstellung bis hin zur erwarteten Produktlebensdauer berücksichtigen müssen.

Auf der Grundlage dieser Bewertung müssen die Produkte insbesondere

• frei von bekannten Sicherheitslücken sein,
• über sichere Standardeinstellungen verfügen und
• grundsätzlich kostenlose Sicherheitsupdates, auch automatisch, ermöglichen.

Sie müssen

• vor unberechtigtem Zugriff schützen,
• die Vertraulichkeit und Integrität der Daten wahren,
• die Datenverarbeitung minimieren und
• die Kernfunktionen auch nach Störfällen sicherstellen.

Das Produktdesign muss Angriffe minimieren, Auswirkungen begrenzen und transparente Sicherheitsinformationen bereitstellen.

Damit verbunden ist die Verpflichtung, Schwachstellen zu identifizieren und zu dokumentieren, die Produktsicherheit regelmäßig zu überprüfen und Vorsorgemaßnahmen zu treffen, einschließlich einer Strategie für die koordinierte Offenlegung von Schwachstellen.

Der Unterstützungszeitraum für Produkte mit digitalen Elementen, in dem auch Sicherheitsupdates bereitgestellt werden müssen und die technische Dokumentation zu erstellen ist, soll grundsätzlich mindestens fünf Jahre betragen. Das Ende des Unterstützungszeitraums soll beim Kauf klar und verständlich angegeben werden.

Gleichzeitig werden Importeure und Händler von Produkten in die Pflicht genommen, sicherzustellen, dass die Produkte den Anforderungen der Verordnung entsprechen.

Konformitätsverfahren und Kennzeichnung (CE-Kennzeichnung)

Für Produkte mit digitalen Komponenten muss eine EU-Konformitätserklärung des Herstellers vorliegen, die die Einhaltung der grundlegenden Anforderungen gewährleistet. Die entsprechende CE-Kennzeichnung muss gut sichtbar, leserlich und dauerhaft auf dem Produkt angebracht sein. Bei Softwareprodukten ist die Software entweder auf der Konformitätserklärung oder auf der das Softwareprodukt begleitenden Website anzugeben.

Das vorgesehene Konformitätsbewertungsverfahren kann bei Produkten, die nicht als wichtig oder kritisch eingestuft sind, vom Hersteller in eigener Verantwortung durchgeführt werden. Die Einschaltung einer unabhängigen benannten Stelle ist für wichtige Produkte der Klasse I freiwillig, für wichtige Produkte der Klasse II jedoch verpflichtend.

Zentrale Meldestelle

Die Hersteller sollen eine zentrale Meldestelle einrichten, bei der die Anwender Schwachstellen melden und Informationen darüber erhalten können. Diese Meldestelle sollte nicht nur automatisiert betrieben werden, sondern auch den Kontakt zu einem menschlichen Ansprechpartner ermöglichen.

Meldepflichten

Hersteller müssen Sicherheitsverletzungen durch böswillige Akteure sowie Cybersicherheitsvorfälle, die zu einem erhöhten Risiko für Nutzer oder andere Personen führen, melden. Hierfür wird von der ENISA eine einheitliche Meldeplattform eingerichtet. Diese Meldungen müssen in der Regel unverzüglich erfolgen, können aber im Einzelfall aus Sicherheitsgründen für einen erforderlichen Zeitraum aufgeschoben werden. Behobene Schwachstellen werden im Einvernehmen mit dem Hersteller in einer europäischen Schwachstellendatenbank erfasst.

Überwachung und Durchsetzung

Die Überwachung und Durchsetzung erfolgt im Wesentlichen durch Marktüberwachungsbehörden, die nun in jedem Mitgliedstaat benannt werden müssen. Diese können bei Bedarf auch Zugang zu internen Daten der Hersteller verlangen, um die Konformität der Produkte zu beurteilen.

Bei Verstößen drohen - wie auch bei anderen EU-Rechtsakten - je nach Art und Schwere empfindliche Bußgelder. Im Falle des Cyber Resilience Act können sie bis zu 15 Millionen Euro oder 2,5 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen. Die konkrete Ausgestaltung obliegt den EU-Mitgliedstaaten.

Zeitlicher Horizont

Der CRA muss nun noch formell vom Rat der Europäischen Union verabschiedet werden. Dies geschieht voraussichtlich im April 2024. Wie bei anderen EU-Rechtsakten üblich, tritt der CRA dann am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die Verordnung wird 36 Monate nach ihrem Inkrafttreten in vollem Umfang anwendbar sein, wobei einige Teilaspekte, darunter die Meldepflicht für Sicherheitsvorfälle, bereits früher gelten werden.

Produkte mit digitalen Elementen, die vor dem vollständigen Inkrafttreten der Verordnung in Verkehr gebracht wurden, sind von den Anforderungen nicht betroffen, sofern sie nach diesem Zeitpunkt nicht wesentlich geändert werden. Dies gilt jedoch nicht für die Meldepflicht von Sicherheitsvorfällen.

Einschätzung

Der Cyber Resilience Act verpflichtet Wirtschaftsakteure zu besonderer Sorgfalt im Kontext der Cybersicherheit. Dies führt einerseits zu einem beachtlichen Mehraufwand, gewährleistet aber eine gewisse Rechtssicherheit, da die Verordnung unionsweit gilt. Damit können Produkte, die die Anforderungen der Verordnung erfüllen, grundsätzlich auch in jedem andere EU-Mitgliedsstaat auf den Markt gebracht werden, ohne dass striktere Anforderungen an die Cybersicherheit das wirtschaftliche Tätigwerden verhindern. Auch wenn die Anforderungen des Cyber Resilience Act erst in gut 36 Monaten in vollem Umfang anwendbar sind, müssen sie bei Produkten mit langen Entwicklungszyklen und bei Verträgen mit langer Laufzeit frühzeitig mitgedacht werden.

Aus rechtlicher Sicht werden neben der Einhaltung von Pflichtinformationen neue Aspekte bei der Verhandlung von IT-Verträgen eine tragende Rolle spielen. So sollten Hersteller, die Komponenten von Dritten für ihre Produkte beziehen, Absicherungen fordern, dass diese Komponenten im Einklang mit der Verordnung stehen.

Daniel Trunk